फ़रवरी 2022 में, नैशनल इंस्टिट्यूट ऑफ़ स्टैंडर्ड्स ऐंड टेक्नोलॉजी (एनआईएसटी) ने सिक्योर सॉफ़्टवेयर डेवलपमेंट फ़्रेमवर्क (एसएसडीएफ़) का 1.1 वर्शन पब्लिश किया. यह 2021 सायबर सिक्योरिटी एक्ज़ीक्यूटिव ऑर्डर (ईओ) 14028 के तहत, सुरक्षित सॉफ़्टवेयर डेवलपमेंट के तरीकों पर बेहतर दिशा-निर्देशों का एक सेट है.
इन ज़रूरी शर्तों के तहत, अमेरिका की सरकार सॉफ़्टवेयर बिल ऑफ़ मटीरियल (एसबीओएम) का अनुरोध कर सकती है, जिसमें सॉफ़्टवेयर रिलीज़ के कॉम्पोनेंट की सूची दी गई हो.
Android लगातार इंटिग्रेशन (Android CI) बिल्ड के लिए, एसबीओएम अपने-आप जनरेट होते हैं. अगर किसी सीआई बिल्ड का इस्तेमाल किया जाता है, तो बिल्ड के लिए एसबीओएम पाने के लिए, यह तरीका अपनाएं. अगर ऐसा नहीं है, तो कस्टम एसबीओएम जनरेट करने के लिए यह तरीका अपनाएं.
पहले से जनरेट किया गया एसबीओएम पाएं
पहले से जनरेट किया गया एसबीओएम पाने के लिए:
अपने ब्राउज़र में,
ci.android.comपर जाएं.ब्रांच का नाम डालें फ़ील्ड में,
aosp-mainटाइप करें.हरे रंग के स्टेटस वाले किसी भी बिल्ड के लिए, आर्टफ़ैक्ट देखें डाउन ऐरो पर क्लिक करें. 'बिल्ड आर्टफ़ैक्ट' की स्क्रीन दिखेगी.
बिल्ड आर्टफ़ैक्ट की स्क्रीन पर, एसबीओएम JSON फ़ाइल (CTRL+F या CMD+F) ढूंढने के लिए, 'ढूंढें' कमांड का इस्तेमाल करें.
पसंद के मुताबिक एसबीओएम जनरेट करना
प्लैटफ़ॉर्म पर कोई भी बाइनरी या बिल्ड और रिलीज़ टूल चेन शामिल करने के लिए, आपको अपने उस प्रॉडक्ट का एसबीओएम प्रतिनिधि बताना होगा जो सॉफ़्टवेयर बिल ऑफ़ मटीरियल के कम से कम एलिमेंट (एसबीओएम) को पूरा करता हो. पसंद के मुताबिक एसबीओएम जनरेट करने के लिए:
अपना एनवायरमेंट सेट अप करने और एसबीओएम बनाने के लिए, नीचे दिए गए कमांड चलाएं:
$ source build/envsetup.sh $ lunch TARGET $ m sbom # Generates an SBOMTARGET, उसी बिल्ड टारगेट को दिखाता है जिसका इस्तेमाल Android को बनाने के लिए किया जा रहा है, जैसे किaosp_arm64-userdebug.यह पक्का करने के लिए कि एसबीओएम सही तरीके से बनाया गया हो, इन्हें लागू करें:
$ ls out/dist/sbom*