Pada Februari 2022, National Institute of Standards and Technology (NIST) memublikasikan Secure Software Development Framework (SSDF) versi 1.1, serangkaian pedoman komprehensif tentang praktik pengembangan software yang aman sebagai respons terhadap 2021 Cybersecurity Executive Order (EO) 14028.
Sebagai bagian dari persyaratan ini, pemerintah Amerika Serikat dapat meminta Bill of Materials (SBOM) software yang mencantumkan komponen rilis software.
SBOM otomatis dibuat untuk build Android Continuous Integration (Android CI). Jika Anda menggunakan salah satu build CI, gunakan langkah-langkah berikut untuk mendapatkan SBOM untuk build. Jika tidak, ikuti langkah-langkah untuk membuat SBOM kustom.
Mendapatkan SBOM yang telah dibuat sebelumnya
Untuk mendapatkan SBOM yang telah dibuat sebelumnya:
Di browser Anda, buka
ci.android.com.Di kolom Enter a branch name, ketik
aosp-main.Untuk build apa pun dengan status hijau, klik panah bawah Viewartifact. Layar Build artefak akan muncul.
Di layar Build artefak, gunakan perintah cari untuk menemukan file JSON SBOM (CTRL+F atau CMD+F).
Membuat SBOM kustom
Untuk setiap penambahan pada platform, termasuk rantai alat biner atau build dan rilis, Anda harus memberikan representasi SBOM dari produk Anda yang memenuhi Elemen Minimal untuk Daftar Materi Software (SBOM). Untuk membuat SBOM kustom:
Jalankan perintah berikut untuk menyiapkan lingkungan dan membangun SBOM:
$ source build/envsetup.sh $ lunch TARGET $ m sbom # Generates an SBOMTARGETmengacu pada target build yang sama dengan yang Anda gunakan untuk membangun Android, sepertiaosp_arm64-userdebug.Untuk memastikan SBOM dibangun dengan benar, jalankan:
$ ls out/dist/sbom*