फ़रवरी 2022 में, नैशनल इंस्टिट्यूट ऑफ़ स्टैंडर्ड्स ऐंड टेक्नोलॉजी (एनआईएसटी) ने सिक्योर सॉफ़्टवेयर डेवलपमेंट फ़्रेमवर्क (एसएसडीएफ़) का वर्शन 1.1 पब्लिश किया था. यह साल 2021 के सायबर सुरक्षा से जुड़े एक्ज़ीक्यूटिव ऑर्डर (ईओ) 14028 के जवाब में, सुरक्षित सॉफ़्टवेयर डेवलपमेंट के तरीकों के बारे में दिशा-निर्देशों का एक सेट है.
इन ज़रूरी शर्तों के तहत, अमेरिका की सरकार सॉफ़्टवेयर बिल ऑफ़ मटीरियल्स (एसबीओएम) का अनुरोध कर सकती है. इसमें सॉफ़्टवेयर रिलीज़ के कॉम्पोनेंट की सूची होती है.
एसबीओएम, Android कंटीन्यूअस इंटिग्रेशन (Android CI) बिल्ड के लिए अपने-आप जनरेट होते हैं. अगर CI बिल्ड का इस्तेमाल किया जाता है, तो किसी बिल्ड के लिए एसबीओएम पाने के लिए, यह तरीका अपनाएं. इसके अलावा, कस्टम एसबीओएम जनरेट करने के लिए यह तरीका अपनाएं.
पहले से जनरेट किया गया SBOM पाना
पहले से जनरेट किया गया SBOM पाने के लिए:
अपने ब्राउज़र में,
ci.android.comपर जाएं.ब्रांच का नाम डालें फ़ील्ड में,
aosp-android-latest-releaseटाइप करें.ग्रीन स्टेटस वाली किसी भी बिल्ड के लिए, आर्टफ़ैक्ट देखें डाउन ऐरो पर क्लिक करें. इसके बाद, 'आर्टफ़ैक्ट बनाएं' स्क्रीन दिखेगी.
'आर्टफ़ैक्ट बनाएं' स्क्रीन पर, SBOM JSON फ़ोल्डर (CTRL+F या CMD+F) ढूंढने के लिए, 'ढूंढें' कमांड का इस्तेमाल करें.
अपनी पसंद के मुताबिक एसबीओएम जनरेट करना
अगर आपको प्लैटफ़ॉर्म में कोई भी चीज़ जोड़नी है, तो आपको अपने प्रॉडक्ट का एसबीओएम देना होगा. इसमें बाइनरी या बिल्ड और रिलीज़ टूल चेन भी शामिल हैं. यह एसबीओएम, सॉफ़्टवेयर बिल ऑफ़ मटीरियल (एसबीओएम) के लिए ज़रूरी एलिमेंट के मुताबिक होना चाहिए. कस्टम एसबीओएम जनरेट करने के लिए:
अपना एनवायरमेंट सेट अप करने और एसबीओएम बनाने के लिए, ये कमांड चलाएं:
$ source build/envsetup.sh $ lunch TARGET $ m sbom # Generates an SBOMTARGETउसी बिल्ड टारगेट को दिखाता है जिसका इस्तेमाल Android बनाने के लिए किया जा रहा है. जैसे,aosp_arm64-userdebug.यह पक्का करने के लिए कि SBOM सही तरीके से बनाया गया है, यह कमांड चलाएं:
$ ls out/dist/sbom*