Pada Februari 2022, National Institute of Standards and Technology (NIST) menerbitkan Secure Software Development Framework (SSDF) versi 1.1, serangkaian panduan komprehensif tentang praktik pengembangan software yang aman sebagai respons terhadap Cybersecurity Executive Order (EO) 14028 tahun 2021.
Sebagai bagian dari persyaratan ini, pemerintah AS mungkin meminta sebuah software bill of materials (SBOM), yang mencantumkan komponen rilis software.
SBOM otomatis dibuat untuk build Android Continuous Integration (Android CI). Jika Anda menggunakan salah satu build CI, gunakan langkah-langkah berikut untuk mendapatkan SBOM untuk build. Jika tidak, ikuti langkah-langkah untuk membuat SBOM kustom.
Mendapatkan SBOM yang telah dibuat sebelumnya
Untuk mendapatkan SBOM yang telah dibuat sebelumnya:
Di browser Anda, buka
ci.android.com.Di kolom Enter a branch name, ketik
aosp-android-latest-release.Untuk build dengan status hijau, klik tanda panah bawah View artifacts. Layar Build artifacts akan muncul.
Di layar Build artifacts, gunakan perintah temukan untuk menemukan folder JSON SBOM (CTRL+F atau CMD+F).
Membuat SBOM kustom
Untuk setiap penambahan ke platform, termasuk rantai alat biner atau build dan rilis, Anda harus memberikan representasi SBOM produk yang memenuhi the Elemen Minimal untuk Software Bill of Materials (SBOM). Untuk membuat SBOM kustom:
Jalankan perintah berikut untuk menyiapkan lingkungan dan membuat SBOM:
$ source build/envsetup.sh $ lunch TARGET $ m sbom # Generates an SBOMTARGETmengacu pada target build yang sama yang Anda gunakan untuk membuat Android, sepertiaosp_arm64-userdebug.Untuk memastikan SBOM dibuat dengan benar, jalankan:
$ ls out/dist/sbom*