בפברואר 2022, המכון הלאומי לתקנים וטכנולוגיה (NIST) פרסם את הגרסה 1.1 של Secure Software Development Framework (SSDF), קבוצה של הנחיות מקיפות לגבי שיטות לפיתוח תוכנה מאובטח, בתגובה לצו נשיאותי (EO) 14028 בנושא אבטחת סייבר לשנת 2021.
כחלק מהדרישות האלה, ממשלת ארה"ב עשויה לבקש רשימת רכיבים של תוכנה (SBOM), שבה מפורטים הרכיבים של גרסה של תוכנה.
קובצי SBOM נוצרים באופן אוטומטי לגרסאות build של Android Continuous Integration (Android CI). אם אתם משתמשים באחת מגרסאות ה-build של CI, תצטרכו לפעול לפי השלבים הבאים כדי לקבל SBOM ל-build. אחרת, פועלים לפי השלבים ליצירת SBOM בהתאמה אישית.
קבלת SBOM שנוצר מראש
כדי לקבל קובץ SBOM שנוצר מראש:
בדפדפן, עוברים אל
ci.android.com.בשדה Enter a branch name, מקלידים
aosp-main.לוחצים על החץ למטה View artifacts ליד כל גרסה זמינה עם סטטוס ירוק. המסך Build artifacts מופיע.
במסך BuildArtifact, משתמשים בפקודת חיפוש כדי לאתר את קובץ ה-SBOM JSON (CTRL+F או CMD+F).
יצירת SBOM בהתאמה אישית
לכל תוספת לפלטפורמה, כולל שרשראות כלים בינאריות או ליצירת גרסאות build ולפרסום, עליכם לספק ייצוג של SBOM של המוצר שלכם שעומד בדרישות של הרכיבים המינימליים של רשימת החומרים לתוכנה (SBOM). כדי ליצור קובץ SBOM בהתאמה אישית:
מריצים את הפקודות הבאות כדי להגדיר את הסביבה וליצור את ה-SBOM:
$ source build/envsetup.sh $ lunch TARGET $ m sbom # Generates an SBOMהערך של
TARGETמתייחס לאותו יעד build שבו אתם משתמשים כדי ליצור את Android, למשלaosp_arm64-userdebug.כדי לוודא שה-SBOM נוצר בצורה נכונה, מריצים את הפקודה:
$ ls out/dist/sbom*