A partire dal 27 marzo 2025, ti consigliamo di utilizzare android-latest-release anziché aosp-main per compilare e contribuire ad AOSP. Per ulteriori informazioni, vedi Modifiche ad AOSP.
Creare una distinta componenti software (SBOM)
Mantieni tutto organizzato con le raccolte
Salva e classifica i contenuti in base alle tue preferenze.
A febbraio 2022, il National Institute of Standards and Technology (NIST) ha pubblicato la versione 1.1 del Secure Software Development Framework (SSDF), un insieme di linee guida complete sulle pratiche di sviluppo di software sicuri in risposta all'Executive Order (EO) 14028 del 2021 sulla cybersicurezza.
Nell'ambito di questi requisiti, il governo degli Stati Uniti potrebbe richiedere un elenco dei componenti del software (SBOM), che elenca i componenti di una release del software.
Gli SBOM vengono generati automaticamente per le build di integrazione continua Android. Se utilizzi una delle build CI, segui i passaggi riportati di seguito per ottenere un SBOM per una build.
In caso contrario, segui la procedura per generare un SBOM personalizzato.
Ottenere un SBOM pregenerato
Per ottenere un SBOM pregenerato:
Nel browser, vai a ci.android.com.
Nel campo Inserisci un nome per il ramo, digita aosp-android-latest-release.
Per le build con stato verde, fai clic sulla Freccia giù Visualizza artefatti. Viene visualizzata la schermata Elementi di compilazione.
Nella schermata Elementi di compilazione, utilizza un comando di ricerca per individuare la cartella JSON SBOM (CTRL+F o CMD+F).
Generare un SBOM personalizzato
Per eventuali aggiunte alla piattaforma, incluse eventuali catene di strumenti di compilazione e rilascio o binari, devi fornire una rappresentazione SBOM del tuo prodotto che soddisfi gli elementi minimi per una distinta componenti software (SBOM).
Per generare un SBOM personalizzato:
Esegui i seguenti comandi per configurare l'ambiente e generare l'SBOM:
$ source build/envsetup.sh
$ lunch TARGET
$ m sbom # Generates an SBOM
TARGET fa riferimento allo stesso target di compilazione che stai utilizzando per compilare Android, ad esempio aosp_arm64-userdebug.
Per assicurarti che l'SBOM sia stato creato correttamente, esegui:
$ ls out/dist/sbom*
I campioni di contenuti e codice in questa pagina sono soggetti alle licenze descritte nella Licenza per i contenuti. Java e OpenJDK sono marchi o marchi registrati di Oracle e/o delle sue società consociate.
Ultimo aggiornamento 2025-07-27 UTC.
[[["Facile da capire","easyToUnderstand","thumb-up"],["Il problema è stato risolto","solvedMyProblem","thumb-up"],["Altra","otherUp","thumb-up"]],[["Mancano le informazioni di cui ho bisogno","missingTheInformationINeed","thumb-down"],["Troppo complicato/troppi passaggi","tooComplicatedTooManySteps","thumb-down"],["Obsoleti","outOfDate","thumb-down"],["Problema di traduzione","translationIssue","thumb-down"],["Problema relativo a esempi/codice","samplesCodeIssue","thumb-down"],["Altra","otherDown","thumb-down"]],["Ultimo aggiornamento 2025-07-27 UTC."],[],[],null,["# Create a software bill of materials (SBOM)\n\nIn February 2022, the National Institute of Standards and Technology (NIST)\npublished version 1.1 of the\n[Secure Software Development Framework (SSDF)](https://csrc.nist.gov/Projects/ssdf),\na set of comprehensive guidelines on secure software development practices in\nresponse to the\n[2021 Cybersecurity Executive Order (EO) 14028](https://www.federalregister.gov/documents/2021/05/17/2021-10460/improving-the-nations-cybersecurity).\n\nAs part of these requirements, the US government might request\na *software bill of materials (SBOM)*, which lists components of a software\nrelease.\n| **Note:** SBOMs generated using the steps on this page include the [Minimal Elements for a Software Bill of Materials (SBOM)](https://www.ntia.doc.gov/report/2021/minimum-elements-software-bill-materials-sbom) as published by the National Telecommunications and Information Administration (NTIA). Additionally, Android-based SBOM tooling and product SBOMs are compatible with the [Software Package Data Exchange (SPDX) 2.3](https://spdx.github.io/spdx-spec/v2.3/) format for communicating the component and metadata information associated with software packages.\n\nSBOMs are automatically generated for Android Continuous Integration\n(Android CI) builds. If you use one of the CI builds, use the following steps\nto\n[obtain an SBOM for a build](#obtain).\nOtherwise, follow the steps to\n[generate a custom SBOM](#generate).\n\nObtain a pregenerated SBOM\n--------------------------\n\nTo obtain a pregenerated SBOM:\n\n1. In your browser, navigate to `ci.android.com`.\n\n2. In the **Enter a branch name** field, type `aosp-android-latest-release`.\n\n3. For any of the builds with green status, click the **View artifacts**\n down arrow. The Build artifacts screen appears.\n\n4. In the Build artifacts screen, use a find command to locate the SBOM JSON\n folder (**CTRL+F** or **CMD+F**).\n\nGenerate a custom SBOM\n----------------------\n\nFor any additions to the platform, including any binary or build and release\ntool chains, you must provide a SBOM representation of your product that meets\nthe\n[Minimal Elements for a Software Bill of Materials (SBOM)](https://www.ntia.doc.gov/report/2021/minimum-elements-software-bill-materials-sbom).\nTo generate a custom SBOM:\n\n1. Run the following commands to set up your environment and build the SBOM:\n\n $ source build/envsetup.sh\n $ lunch \u003cvar translate=\"no\"\u003eTARGET\u003c/var\u003e\n $ m sbom # Generates an SBOM\n\n The \u003cvar translate=\"no\"\u003eTARGET\u003c/var\u003e refers to the same build target that you\n are using to build Android, such as `aosp_arm64-userdebug`.\n2. To ensure the SBOM built correctly, execute:\n\n $ ls out/dist/sbom*"]]
