החל מ-27 במרץ 2025, מומלץ להשתמש ב-android-latest-release במקום ב-aosp-main כדי ליצור תרומות ל-AOSP. מידע נוסף זמין במאמר שינויים ב-AOSP.
יצירת רשימת רכיבים של תוכנה (SBOM)
קל לארגן דפים בעזרת אוספים
אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.
בפברואר 2022, המכון הלאומי לתקנים וטכנולוגיה (NIST) פרסם את הגרסה 1.1 של Secure Software Development Framework (SSDF), קבוצה של הנחיות מקיפות לגבי שיטות לפיתוח תוכנה מאובטח, בתגובה לצו נשיאותי (EO) 14028 בנושא אבטחת סייבר לשנת 2021.
כחלק מהדרישות האלה, ממשלת ארה"ב עשויה לבקש רשימת רכיבים של תוכנה (SBOM), שבה מפורטים הרכיבים של גרסה של תוכנה.
קובצי SBOM נוצרים באופן אוטומטי לגרסאות build של Android Continuous Integration (Android CI). אם אתם משתמשים באחד מה-builds של CI, תוכלו לפעול לפי השלבים הבאים כדי לקבל SBOM ל-build.
אחרת, פועלים לפי השלבים ליצירת SBOM בהתאמה אישית.
קבלת SBOM שנוצר מראש
כדי לקבל קובץ SBOM שנוצר מראש:
בדפדפן, עוברים אל ci.android.com.
בשדה Enter a branch name, מקלידים aosp-android-latest-release.
לוחצים על החץ למטה View artifacts ליד כל גרסה מוצרית עם סטטוס ירוק. המסך Build artifacts מופיע.
במסך Build artifacts, משתמשים בפקודת חיפוש כדי לאתר את התיקייה של קובץ ה-JSON של ה-SBOM (CTRL+F או CMD+F).
יצירת SBOM בהתאמה אישית
לכל תוספת לפלטפורמה, כולל שרשראות כלים בינאריות או ליצירת גרסאות build ולפרסום, עליכם לספק ייצוג SBOM של המוצר שעומד בדרישות של הרכיבים המינימליים של רשימת החומרים לתוכנה (SBOM).
כדי ליצור קובץ SBOM בהתאמה אישית:
מריצים את הפקודות הבאות כדי להגדיר את הסביבה וליצור את ה-SBOM:
$ source build/envsetup.sh
$ lunch TARGET
$ m sbom # Generates an SBOM
הערך של TARGET מתייחס לאותו יעד build שבו אתם משתמשים כדי ליצור את Android, למשל aosp_arm64-userdebug.
כדי לוודא שה-SBOM נוצר בצורה נכונה, מריצים את הפקודה:
$ ls out/dist/sbom*
דוגמאות התוכן והקוד שבדף הזה כפופות לרישיונות המפורטים בקטע רישיון לתוכן. Java ו-OpenJDK הם סימנים מסחריים או סימנים מסחריים רשומים של חברת Oracle ו/או של השותפים העצמאיים שלה.
עדכון אחרון: 2025-07-27 (שעון UTC).
[[["התוכן קל להבנה","easyToUnderstand","thumb-up"],["התוכן עזר לי לפתור בעיה","solvedMyProblem","thumb-up"],["סיבה אחרת","otherUp","thumb-up"]],[["חסרים לי מידע או פרטים","missingTheInformationINeed","thumb-down"],["התוכן מורכב מדי או עם יותר מדי שלבים","tooComplicatedTooManySteps","thumb-down"],["התוכן לא עדכני","outOfDate","thumb-down"],["בעיה בתרגום","translationIssue","thumb-down"],["בעיה בדוגמאות/בקוד","samplesCodeIssue","thumb-down"],["סיבה אחרת","otherDown","thumb-down"]],["עדכון אחרון: 2025-07-27 (שעון UTC)."],[],[],null,["# Create a software bill of materials (SBOM)\n\nIn February 2022, the National Institute of Standards and Technology (NIST)\npublished version 1.1 of the\n[Secure Software Development Framework (SSDF)](https://csrc.nist.gov/Projects/ssdf),\na set of comprehensive guidelines on secure software development practices in\nresponse to the\n[2021 Cybersecurity Executive Order (EO) 14028](https://www.federalregister.gov/documents/2021/05/17/2021-10460/improving-the-nations-cybersecurity).\n\nAs part of these requirements, the US government might request\na *software bill of materials (SBOM)*, which lists components of a software\nrelease.\n| **Note:** SBOMs generated using the steps on this page include the [Minimal Elements for a Software Bill of Materials (SBOM)](https://www.ntia.doc.gov/report/2021/minimum-elements-software-bill-materials-sbom) as published by the National Telecommunications and Information Administration (NTIA). Additionally, Android-based SBOM tooling and product SBOMs are compatible with the [Software Package Data Exchange (SPDX) 2.3](https://spdx.github.io/spdx-spec/v2.3/) format for communicating the component and metadata information associated with software packages.\n\nSBOMs are automatically generated for Android Continuous Integration\n(Android CI) builds. If you use one of the CI builds, use the following steps\nto\n[obtain an SBOM for a build](#obtain).\nOtherwise, follow the steps to\n[generate a custom SBOM](#generate).\n\nObtain a pregenerated SBOM\n--------------------------\n\nTo obtain a pregenerated SBOM:\n\n1. In your browser, navigate to `ci.android.com`.\n\n2. In the **Enter a branch name** field, type `aosp-android-latest-release`.\n\n3. For any of the builds with green status, click the **View artifacts**\n down arrow. The Build artifacts screen appears.\n\n4. In the Build artifacts screen, use a find command to locate the SBOM JSON\n folder (**CTRL+F** or **CMD+F**).\n\nGenerate a custom SBOM\n----------------------\n\nFor any additions to the platform, including any binary or build and release\ntool chains, you must provide a SBOM representation of your product that meets\nthe\n[Minimal Elements for a Software Bill of Materials (SBOM)](https://www.ntia.doc.gov/report/2021/minimum-elements-software-bill-materials-sbom).\nTo generate a custom SBOM:\n\n1. Run the following commands to set up your environment and build the SBOM:\n\n $ source build/envsetup.sh\n $ lunch \u003cvar translate=\"no\"\u003eTARGET\u003c/var\u003e\n $ m sbom # Generates an SBOM\n\n The \u003cvar translate=\"no\"\u003eTARGET\u003c/var\u003e refers to the same build target that you\n are using to build Android, such as `aosp_arm64-userdebug`.\n2. To ensure the SBOM built correctly, execute:\n\n $ ls out/dist/sbom*"]]
