A febbraio 2022, il National Institute of Standards and Technology (NIST) ha pubblicato la versione 1.1 del Secure Software Development Framework (SSDF), un insieme di linee guida complete sulle pratiche di sviluppo di software sicuri in risposta all'Executive Order (EO) 14028 del 2021 sulla cybersicurezza.
Nell'ambito di questi requisiti, il governo degli Stati Uniti potrebbe richiedere un elenco dei componenti del software (SBOM), che elenca i componenti di una release del software.
Gli SBOM vengono generati automaticamente per le build di CI Android (Android Continuous Integration). Se utilizzi una delle build CI, segui questi passaggi per ottenere un SBOM per una build. In caso contrario, segui la procedura per generare un SBOM personalizzato.
Ottenere un SBOM pregenerato
Per ottenere un SBOM pregenerato:
Nel browser, vai a
ci.android.com.Nel campo Inserisci un nome per il ramo, digita
aosp-main.Per qualsiasi build con stato verde, fai clic sulla Freccia giù Visualizza artefatti. Viene visualizzata la schermata Artefatti build.
Nella schermata Artefatti build, utilizza un comando Trova per individuare il file JSON SBOM (CTRL+F o CMD+F).
Generare un SBOM personalizzato
Per eventuali aggiunte alla piattaforma, incluse eventuali catene di strumenti di compilazione e rilascio o binari, devi fornire una rappresentazione SBOM del tuo prodotto che soddisfi gli elementi minimi per una distinta componenti software (SBOM). Per generare un SBOM personalizzato:
Esegui i seguenti comandi per configurare l'ambiente e creare l'SBOM:
$ source build/envsetup.sh $ lunch TARGET $ m sbom # Generates an SBOMTARGETfa riferimento allo stesso target di compilazione che utilizzi per compilare Android, ad esempioaosp_arm64-userdebug.Per assicurarti che l'SBOM sia stato creato correttamente, esegui:
$ ls out/dist/sbom*