फरवरी 2022 में, नेशनल इंस्टीट्यूट ऑफ स्टैंडर्ड्स एंड टेक्नोलॉजी (एनआईएसटी) ने सिक्योर सॉफ्टवेयर डेवलपमेंट फ्रेमवर्क (एसएसडीएफ) का संस्करण 1.1 प्रकाशित किया, जो 2021 साइबर सुरक्षा कार्यकारी आदेश (ईओ) 14028 के जवाब में सुरक्षित सॉफ्टवेयर विकास प्रथाओं पर व्यापक दिशानिर्देशों का एक सेट है।
इन आवश्यकताओं के हिस्से के रूप में, अमेरिकी सरकार सामग्री के सॉफ़्टवेयर बिल (एसबीओएम) का अनुरोध कर सकती है, जो सॉफ़्टवेयर रिलीज़ के घटकों को सूचीबद्ध करता है।
एंड्रॉइड कंटीन्यूअस इंटीग्रेशन (एंड्रॉइड सीआई) बिल्ड के लिए एसबीओएम स्वचालित रूप से जेनरेट होते हैं। यदि आप सीआई बिल्ड में से किसी एक का उपयोग करते हैं, तो बिल्ड के लिए एसबीओएम प्राप्त करने के लिए निम्नलिखित चरणों का उपयोग करें। अन्यथा, कस्टम SBOM जेनरेट करने के लिए चरणों का पालन करें।
एक पूर्वनिर्मित एसबीओएम प्राप्त करें
पूर्वनिर्मित एसबीओएम प्राप्त करने के लिए:
अपने ब्राउज़र में,
ci.android.com
पर जाएँ।शाखा नाम दर्ज करें फ़ील्ड में,
aosp-main
टाइप करें।हरे रंग की स्थिति वाले किसी भी निर्माण के लिए, कलाकृतियों को देखें नीचे तीर पर क्लिक करें। बिल्ड आर्टिफैक्ट स्क्रीन प्रकट होती है।
बिल्ड आर्टिफैक्ट स्क्रीन में, SBOM JSON फ़ाइल ( CTRL+F या CMD+F ) का पता लगाने के लिए फाइंड कमांड का उपयोग करें।
एक कस्टम एसबीओएम उत्पन्न करें
प्लेटफ़ॉर्म में किसी भी अतिरिक्त के लिए, जिसमें किसी भी बाइनरी या बिल्ड और रिलीज़ टूल चेन शामिल हैं, आपको अपने उत्पाद का एक एसबीओएम प्रतिनिधित्व प्रदान करना होगा जो सामग्री के सॉफ़्टवेयर बिल (एसबीओएम) के लिए न्यूनतम तत्वों को पूरा करता हो। एक कस्टम एसबीओएम उत्पन्न करने के लिए:
अपना वातावरण स्थापित करने और एसबीओएम बनाने के लिए निम्नलिखित कमांड चलाएँ:
$ source build/envsetup.sh $ lunch TARGET $ m sbom # Generates an SBOM
TARGET
उसी बिल्ड लक्ष्य को संदर्भित करता है जिसका उपयोग आप Android बनाने के लिए कर रहे हैं, जैसे किaosp_arm64-userdebug
।यह सुनिश्चित करने के लिए कि एसबीओएम सही ढंग से बनाया गया है, निष्पादित करें:
$ ls out/dist/sbom*