फरवरी 2022 में, नेशनल इंस्टीट्यूट ऑफ स्टैंडर्ड्स एंड टेक्नोलॉजी (एनआईएसटी) ने सिक्योर सॉफ्टवेयर डेवलपमेंट फ्रेमवर्क (एसएसडीएफ) का संस्करण 1.1 प्रकाशित किया, जो 2021 साइबर सुरक्षा कार्यकारी आदेश (ईओ) 14028 के जवाब में सुरक्षित सॉफ्टवेयर विकास प्रथाओं पर व्यापक दिशानिर्देशों का एक सेट है।
इन आवश्यकताओं के हिस्से के रूप में, अमेरिकी सरकार सामग्री के सॉफ़्टवेयर बिल (एसबीओएम) का अनुरोध कर सकती है, जो सॉफ़्टवेयर रिलीज़ के घटकों को सूचीबद्ध करता है।
एंड्रॉइड कंटीन्यूअस इंटीग्रेशन (एंड्रॉइड सीआई) बिल्ड के लिए एसबीओएम स्वचालित रूप से जेनरेट होते हैं। यदि आप सीआई बिल्ड में से किसी एक का उपयोग करते हैं, तो बिल्ड के लिए एसबीओएम प्राप्त करने के लिए निम्नलिखित चरणों का उपयोग करें। अन्यथा, कस्टम SBOM जेनरेट करने के लिए चरणों का पालन करें।
एक पूर्वनिर्मित एसबीओएम प्राप्त करें
पूर्वनिर्मित एसबीओएम प्राप्त करने के लिए:
अपने ब्राउज़र में,
ci.android.comपर जाएँ।शाखा नाम दर्ज करें फ़ील्ड में,
aosp-mainटाइप करें।हरे रंग की स्थिति वाले किसी भी निर्माण के लिए, कलाकृतियों को देखें नीचे तीर पर क्लिक करें। बिल्ड आर्टिफैक्ट स्क्रीन प्रकट होती है।
बिल्ड आर्टिफैक्ट स्क्रीन में, SBOM JSON फ़ाइल ( CTRL+F या CMD+F ) का पता लगाने के लिए फाइंड कमांड का उपयोग करें।
एक कस्टम एसबीओएम उत्पन्न करें
प्लेटफ़ॉर्म में किसी भी अतिरिक्त के लिए, जिसमें किसी भी बाइनरी या बिल्ड और रिलीज़ टूल चेन शामिल हैं, आपको अपने उत्पाद का एक एसबीओएम प्रतिनिधित्व प्रदान करना होगा जो सामग्री के सॉफ़्टवेयर बिल (एसबीओएम) के लिए न्यूनतम तत्वों को पूरा करता हो। एक कस्टम एसबीओएम उत्पन्न करने के लिए:
अपना वातावरण स्थापित करने और एसबीओएम बनाने के लिए निम्नलिखित कमांड चलाएँ:
$ source build/envsetup.sh $ lunch TARGET $ m sbom # Generates an SBOMTARGETउसी बिल्ड लक्ष्य को संदर्भित करता है जिसका उपयोग आप Android बनाने के लिए कर रहे हैं, जैसे किaosp_arm64-userdebug।यह सुनिश्चित करने के लिए कि एसबीओएम सही ढंग से बनाया गया है, निष्पादित करें:
$ ls out/dist/sbom*