Nel febbraio 2022, il National Institute of Standards and Technology (NIST) ha pubblicato la versione 1.1 del Secure Software Development Framework (SSDF) , una serie di linee guida complete sulle pratiche di sviluppo software sicure in risposta al Cybersecurity Executive Order (EO) 14028 del 2021 .
Nell'ambito di questi requisiti, il governo degli Stati Uniti potrebbe richiedere una distinta base del software (SBOM) , che elenca i componenti di una versione software.
Le SBOM vengono generate automaticamente per le build Android Continuous Integration (Android CI). Se utilizzi una delle build CI, segui i passaggi seguenti per ottenere una SBOM per una build . Altrimenti, seguire i passaggi per generare una SBOM personalizzata .
Ottenere una SBOM pregenerata
Per ottenere una SBOM pregenerata:
Nel tuo browser, vai a
ci.android.com
.Nel campo Inserisci un nome di ramo , digita
aosp-main
.Per qualsiasi build con stato verde, fai clic sulla freccia giù Visualizza artefatti . Viene visualizzata la schermata Crea artefatti.
Nella schermata Crea artefatti, utilizzare un comando di ricerca per individuare il file JSON SBOM ( CTRL+F o CMD+F ).
Genera una SBOM personalizzata
Per eventuali aggiunte alla piattaforma, inclusi eventuali binari o catene di strumenti di creazione e rilascio, è necessario fornire una rappresentazione SBOM del prodotto che soddisfi gli elementi minimi per una distinta base software (SBOM) . Per generare una SBOM personalizzata:
Esegui i comandi seguenti per configurare l'ambiente e creare la SBOM:
$ source build/envsetup.sh $ lunch TARGET $ m sbom # Generates an SBOM
TARGET
si riferisce allo stesso target di build che stai utilizzando per creare Android, ad esempioaosp_arm64-userdebug
.Per garantire che la SBOM sia stata creata correttamente, eseguire:
$ ls out/dist/sbom*