Nel febbraio 2022, il National Institute of Standards and Technology (NIST) ha pubblicato la versione 1.1 del Secure Software Development Framework (SSDF), un insieme di linee guida complete sulle pratiche di sviluppo di software sicuro in risposta all'ordine esecutivo (EO) 14028 sulla cybersicurezza del 2021.
Nell'ambito di questi requisiti, il governo degli Stati Uniti potrebbe richiedere una distinta base software (SBOM), che elenca i componenti di una release software.
Le SBOM vengono generate automaticamente per le build di integrazione continua di Android (Android CI). Se utilizzi una delle build CI, segui questi passaggi per ottenere una SBOM per una build. In caso contrario, segui i passaggi per generare una SBOM personalizzata.
Ottenere una SBOM pregenerata
Per ottenere una SBOM pregenerata:
Nel browser, vai a
ci.android.com.Nel campo Inserisci il nome di una filiale, digita
aosp-android-latest-release.Per qualsiasi build con stato verde, fai clic sulla Freccia giù Visualizza artefatti. Viene visualizzata la schermata Crea artefatti.
Nella schermata Artefatti di build, utilizza un comando di ricerca per individuare la cartella JSON SBOM (CTRL+F o CMD+F).
Generare una SBOM personalizzata
Per qualsiasi aggiunta alla piattaforma, incluse eventuali catene di strumenti binari o di build e rilascio, devi fornire una rappresentazione SBOM del tuo prodotto che soddisfi i requisiti minimi per una distinta materiali software (SBOM). Per generare una SBOM personalizzata:
Esegui i seguenti comandi per configurare l'ambiente e creare la SBOM:
$ source build/envsetup.sh $ lunch TARGET $ m sbom # Generates an SBOMTARGETsi riferisce allo stesso target di build che utilizzi per creare Android, ad esempioaosp_arm64-userdebug.Per assicurarti che la SBOM sia stata creata correttamente, esegui:
$ ls out/dist/sbom*