Pada Februari 2022, National Institute of Standards and Technology (NIST) memublikasikan versi 1.1 Secure Software Development Framework (SSDF), serangkaian panduan komprehensif tentang praktik pengembangan software yang aman sebagai respons terhadap Perintah Eksekutif (EO) 14028 tentang Pengamanan Cyber 2021.
Sebagai bagian dari persyaratan ini, pemerintah AS dapat meminta software bill of materials (SBOM), yang mencantumkan komponen rilis software.
SBOM dibuat secara otomatis untuk build Android Continuous Integration (Android CI). Jika Anda menggunakan salah satu build CI, gunakan langkah-langkah berikut untuk mendapatkan SBOM untuk build. Atau, ikuti langkah-langkah untuk membuat SBOM kustom.
Mendapatkan SBOM yang telah dibuat sebelumnya
Untuk mendapatkan SBOM yang dibuat sebelumnya:
Di browser Anda, buka
ci.android.com.Di kolom Masukkan nama cabang, ketik
aosp-android-latest-release.Untuk build dengan status hijau, klik panah bawah Lihat artefak. Layar Artefak build akan muncul.
Di layar Artefak build, gunakan perintah penelusuran untuk menemukan folder JSON SBOM (CTRL+F atau CMD+F).
Membuat SBOM kustom
Untuk setiap penambahan ke platform, termasuk setiap rantai alat biner atau build dan rilis, Anda harus memberikan representasi SBOM produk yang memenuhi Elemen Minimal untuk Software Bill of Materials (SBOM). Untuk membuat SBOM kustom:
Jalankan perintah berikut untuk menyiapkan lingkungan dan membuat SBOM:
$ source build/envsetup.sh $ lunch TARGET $ m sbom # Generates an SBOMTARGETmengacu pada target build yang sama dengan yang Anda gunakan untuk membangun Android, sepertiaosp_arm64-userdebug.Untuk memastikan SBOM dibuat dengan benar, jalankan:
$ ls out/dist/sbom*