בפברואר 2022, המכון הלאומי לתקנים וטכנולוגיה (National Institute of Standards and Technology – NIST) פרסם את גרסה 1.1 של Secure Software Development Framework (SSDF), קבוצת הנחיות מקיפות לגבי שיטות פיתוח מאובטחות של תוכנות בתגובה לצו המנהלי לאבטחת סייבר (EO) לשנת 14028.
כחלק מהדרישות האלה, הממשל בארה"ב עשוי לבקש חשבון תוכנה (SBOM), שכולל פירוט של הרכיבים של מהדורת תוכנה.
קובצי SBOM נוצרים באופן אוטומטי לגרסאות build של אינטגרציה רציפה (CI) של Android (Android CI). אם אתם משתמשים באחת מגרסאות ה-build של CI, תצטרכו לפעול לפי השלבים הבאים כדי לקבל SBOM ל-build. אם לא, בצעו את השלבים ליצירת SBOM בהתאמה אישית.
קבלת SBOM שנוצר מראש
כדי לקבל SBOM שנוצר מראש:
בדפדפן, עוברים אל
ci.android.com.בשדה Enter a branch name (הזנת שם הסתעפות), מקלידים
aosp-main.לוחצים על החץ למטה ViewArtifact לכל גרסאות ה-build שקיבלו סטטוס ירוק. יופיע המסך של פריטי מידע שנוצרו בתהליך הפיתוח (Artifact)
במסך BuildArtifact, משתמשים בפקודת חיפוש כדי לאתר את קובץ ה-SBOM JSON (CTRL+F או CMD+F).
יצירת SBOM בהתאמה אישית
לכל התוספות לפלטפורמה, כולל שרשראות של כלים בינאריים, build ושחרור, צריך לספק ייצוג SBOM של המוצר שעומד ב-Minimal Elements for a Software Bill of Materials (SBOM). כדי ליצור SBOM מותאם אישית:
מריצים את הפקודות הבאות כדי להגדיר את הסביבה ולפתח את ה-SBOM:
$ source build/envsetup.sh $ lunch TARGET $ m sbom # Generates an SBOMהערך
TARGETמתייחס לאותו יעד build שבו אתם משתמשים כדי לפתח את Android, למשלaosp_arm64-userdebug.כדי לוודא שה-SBOM נוצר כמו שצריך, מבצעים את הפעולות הבאות:
$ ls out/dist/sbom*