A febbraio 2022, il National Institute of Standards and Technology (NIST) ha pubblicato la versione 1.1 del Secure Software Development Framework (SSDF), un insieme di linee guida complete sulle pratiche di sviluppo di software sicuri in risposta all'Executive Order (EO) 14028 del 2021 sulla cybersicurezza.
Nell'ambito di questi requisiti, il governo degli Stati Uniti potrebbe richiedere un elenco dei componenti del software (SBOM), che elenca i componenti di una release del software.
Gli SBOM vengono generati automaticamente per le build di integrazione continua Android. Se utilizzi una delle build CI, segui i passaggi riportati di seguito per ottenere un SBOM per una build. In caso contrario, segui la procedura per generare un SBOM personalizzato.
Ottenere un SBOM pregenerato
Per ottenere un SBOM pregenerato:
Nel browser, vai a
ci.android.com.Nel campo Inserisci un nome per il ramo, digita
aosp-android-latest-release.Per le build con stato verde, fai clic sulla Freccia giù Visualizza artefatti. Viene visualizzata la schermata Elementi di compilazione.
Nella schermata Elementi di compilazione, utilizza un comando di ricerca per individuare la cartella JSON SBOM (CTRL+F o CMD+F).
Generare un SBOM personalizzato
Per eventuali aggiunte alla piattaforma, incluse eventuali catene di strumenti di compilazione e rilascio o binari, devi fornire una rappresentazione SBOM del tuo prodotto che soddisfi gli elementi minimi per una distinta componenti software (SBOM). Per generare un SBOM personalizzato:
Esegui i seguenti comandi per configurare l'ambiente e generare l'SBOM:
$ source build/envsetup.sh $ lunch TARGET $ m sbom # Generates an SBOMTARGETfa riferimento allo stesso target di compilazione che stai utilizzando per compilare Android, ad esempioaosp_arm64-userdebug.Per assicurarti che l'SBOM sia stato creato correttamente, esegui:
$ ls out/dist/sbom*