W lutym 2022 r. Narodowy Instytut Norm i Technologii (NIST) opublikował wersję 1.1 ramowego procesu bezpiecznego tworzenia oprogramowania (SSDF), czyli kompleksowych wytycznych dotyczących bezpiecznych metod tworzenia oprogramowania, opracowanych w odpowiedzi na Zarządzenie wykonawcze nr 14028 w sprawie cyberbezpieczeństwa z 2021 r..
W ramach tych wymagań rząd Stanów Zjednoczonych może poprosić o specyfikację SBOM, która zawiera listę komponentów wersji oprogramowania.
SBOM-y są generowane automatycznie w przypadku kompilacji ciągłej integracji Androida (Android CI). Jeśli używasz jednej z kompilacji CI, wykonaj te czynności, aby uzyskać SBOM dla kompilacji. W przeciwnym razie wykonaj czynności opisane w sekcji Generowanie niestandardowego pliku SBOM.
Pobieranie wygenerowanego wcześniej pliku SBOM
Aby uzyskać wygenerowany wcześniej plik SBOM:
W przeglądarce otwórz
ci.android.com.W polu Wpisz nazwę oddziału wpisz
aosp-android-latest-release.W przypadku kompilacji o zielonym stanie kliknij strzałkę w dół Wyświetl artefakty. Pojawi się ekran Tworzenie artefaktów.
Na ekranie „Elementy kompilacji” użyj polecenia znajdowania, aby zlokalizować folder JSON SBOM (CTRL+F lub CMD+F).
Generowanie niestandardowego pliku SBOM
W przypadku wszelkich dodatków do platformy, w tym binarnych łańcuchów narzędzi do kompilacji i publikowania, musisz podać reprezentację SBOM swojego produktu, która spełnia wymagania minimalnych elementów specyfikacji SBOM. Aby wygenerować niestandardowy plik SBOM:
Aby skonfigurować środowisko i utworzyć SBOM, uruchom te polecenia:
$ source build/envsetup.sh $ lunch TARGET $ m sbom # Generates an SBOMTARGETodnosi się do tego samego celu kompilacji, którego używasz do kompilacji Androida, np.aosp_arm64-userdebug.Aby mieć pewność, że SBOM został utworzony prawidłowo, wykonaj te czynności:
$ ls out/dist/sbom*