בפברואר 2022, המכון הלאומי לתקנים וטכנולוגיה (NIST) פרסם את גרסה 1.1 של המסגרת לפיתוח תוכנה מאובטח (SSDF), קבוצה של הנחיות מקיפות בנושא שיטות לפיתוח תוכנה מאובטח בתגובה לצו הנשיאותי בנושא אבטחת סייבר (EO) 14028 משנת 2021.
כחלק מהדרישות האלה, ממשלת ארה"ב עשויה לבקש רשימת חומרים (SBOM) של תוכנה, שכוללת את הרכיבים של גרסת תוכנה.
רשימות SBOM נוצרות באופן אוטומטי עבור גרסאות build של אינטגרציה רציפה ב-Android (Android CI). אם אתם משתמשים באחד מה-CI builds, אתם יכולים לפעול לפי השלבים הבאים כדי לקבל SBOM עבור build. אם לא, פועלים לפי השלבים ליצירת SBOM בהתאמה אישית.
קבלת SBOM שנוצר מראש
כדי לקבל SBOM שנוצר מראש:
בדפדפן, עוברים אל
ci.android.com.בשדה Enter a branch name, מקלידים
aosp-android-latest-release.בכל אחת מהגרסאות עם סטטוס ירוק, לוחצים על החץ למטה הצגת ארטיפקטים. יופיע המסך Build artifacts (יצירת ארטיפקטים).
במסך Build artifacts (פריטי בנייה), משתמשים בפקודת חיפוש כדי לאתר את תיקיית ה-JSON של ה-SBOM (CTRL+F או CMD+F).
יצירת SBOM בהתאמה אישית
לכל תוסף לפלטפורמה, כולל כל שרשרת כלים בינארית או שרשרת כלים לבנייה ולשחרור, עליך לספק ייצוג של ה-SBOM של המוצר שעומד בדרישות של האלמנטים המינימליים ל-SBOM של תוכנה. כדי ליצור SBOM בהתאמה אישית:
מריצים את הפקודות הבאות כדי להגדיר את הסביבה וליצור את ה-SBOM:
$ source build/envsetup.sh $ lunch TARGET $ m sbom # Generates an SBOMהערך
TARGETמתייחס לאותו יעד build שבו אתם משתמשים כדי לבצע build של Android, כמוaosp_arm64-userdebug.כדי לוודא שרשימת ה-SBOM נוצרה בצורה נכונה, מריצים את הפקודה:
$ ls out/dist/sbom*