फ़रवरी 2022 में, नैशनल इंस्टिट्यूट ऑफ़ स्टैंडर्ड्स ऐंड टेक्नोलॉजी (एनआईएसटी) ने सिक्योर सॉफ़्टवेयर डेवलपमेंट फ़्रेमवर्क (एसएसडीएफ़) का वर्शन 1.1 पब्लिश किया. यह सुरक्षित सॉफ़्टवेयर डेवलपमेंट के तरीकों के बारे में, दिशा-निर्देशों का एक सेट है. इसे साल 2021 के सायबर सुरक्षा से जुड़े एक्ज़ेक्यूटिव ऑर्डर (ईओ) 14028 के जवाब में पब्लिश किया गया था.
इन ज़रूरी शर्तों के तहत, अमेरिका की सरकार सॉफ़्टवेयर बिल ऑफ़ मटीरियल्स (एसबीओएम) का अनुरोध कर सकती है. इसमें सॉफ़्टवेयर रिलीज़ के कॉम्पोनेंट की सूची होती है.
Android के लगातार इंटिग्रेशन (Android CI) बिल्ड के लिए, एसबीओएम अपने-आप जनरेट होते हैं. अगर सीआई बिल्ड में से किसी एक का इस्तेमाल किया जाता है, तो किसी बिल्ड के लिए एसबीओएम पाने के लिए, यह तरीका अपनाएं to obtain an SBOM for a build. इसके अलावा, कस्टम एसबीओएम जनरेट करने के लिए, यह तरीका अपनाएं .
पहले से जनरेट किया गया एसबीओएम पाना
पहले से जनरेट किया गया एसबीओएम पाने के लिए:
अपने ब्राउज़र में,
ci.android.comपर जाएं.ब्रांच का नाम डालें फ़ील्ड में,
aosp-android-latest-releaseटाइप करें.हरे रंग की स्थिति वाले किसी भी बिल्ड के लिए, आर्टफ़ैक्ट देखें डाउन ऐरो पर क्लिक करें. आपको बिल्ड आर्टफ़ैक्ट स्क्रीन दिखेगी.
बिल्ड आर्टफ़ैक्ट स्क्रीन में, एसबीओएम JSON फ़ोल्डर (CTRL+F या CMD+F) ढूंढने के लिए, 'खोजें' कमांड का इस्तेमाल करें.
कस्टम एसबीओएम जनरेट करना
प्लैटफ़ॉर्म में कोई भी चीज़ जोड़ने के लिए, आपको अपने प्रॉडक्ट का एसबीओएम वर्शन देना होगा. इसमें बाइनरी या बिल्ड और रिलीज़ टूल चेन भी शामिल हैं. यह वर्शन, सॉफ़्टवेयर बिल ऑफ़ मटीरियल्स (एसबीओएम) के लिए ज़रूरी एलिमेंट की ज़रूरी शर्तें पूरी करता हो the Minimal Elements for a Software Bill of Materials (SBOM). कस्टम एसबीओएम जनरेट करने के लिए:
अपना एनवायरमेंट सेट अप करने और एसबीओएम बनाने के लिए, ये कमांड दें:
$ source build/envsetup.sh $ lunch TARGET $ m sbom # Generates an SBOMTARGETसे मतलब उसी बिल्ड टारगेट से है जिसका इस्तेमाल, Android बनाने के लिए किया जा रहा है. जैसे,aosp_arm64-userdebug.यह पक्का करने के लिए कि एसबीओएम सही तरीके से बना है, यह कमांड चलाएं:
$ ls out/dist/sbom*