A febbraio 2022, il National Institute of Standards and Technology (NIST) ha pubblicato la versione 1.1 del Secure Software Development Framework (SSDF), una serie di linee guida complete sulle pratiche di sviluppo software sicuro in risposta al 2021 Cybersecurity Executive Order (EO) 14028.
Nell'ambito di questi requisiti, il governo degli Stati Uniti potrebbe richiedere una distinta dei materiali del software (SBOM), che elenca i componenti di una release del software.
Gli SBOM vengono generati automaticamente per le build di CI Android (Android Continuous Integration). Se utilizzi una delle build CI, segui questi passaggi per ottenere un SBOM per una build. In caso contrario, segui i passaggi per generare un SBOM personalizzato.
Ottieni un SBOM pregenerato
Per ottenere un SBOM pregenerato:
Nel browser, vai a
ci.android.com.Nel campo Inserisci un nome ramo, digita
aosp-main.Per qualsiasi build con stato verde, fai clic sulla Freccia giù Visualizza artefatti. Viene visualizzata la schermata Artefatti build.
Nella schermata Artefatti build, utilizza un comando Trova per individuare il file JSON SBOM (CTRL+F o CMD+F).
Genera un SBOM personalizzato
Per eventuali aggiunte alla piattaforma, incluse eventuali catene di strumenti binari o di build e rilascio, devi fornire una rappresentazione SBOM del prodotto che soddisfi gli elementi minimi per la distinta base del software (SBOM). Per generare un SBOM personalizzato:
Esegui questi comandi per configurare il tuo ambiente e creare l'SBOM:
$ source build/envsetup.sh $ lunch TARGET $ m sbom # Generates an SBOMTARGETsi riferisce allo stesso target di build che utilizzi per creare Android, ad esempioaosp_arm64-userdebug.Per assicurarti che SBOM venga creato correttamente, esegui:
$ ls out/dist/sbom*