В феврале 2022 года Национальный институт стандартов и технологий (NIST) опубликовал версию 1.1 « Структуры безопасной разработки программного обеспечения» (SSDF) , набора всеобъемлющих рекомендаций по методам безопасной разработки программного обеспечения в ответ на Указ о кибербезопасности (EO) 14028 от 2021 года .
В рамках этих требований правительство США может запросить спецификацию программного обеспечения (SBOM) , в которой перечислены компоненты выпуска программного обеспечения.
SBOM автоматически генерируются для сборок Android Continuous Integration (Android CI). Если вы используете одну из сборок CI, выполните следующие шаги для получения SBOM для сборки . В противном случае выполните шаги для генерации пользовательского SBOM .
Получите предварительно сгенерированный SBOM
Чтобы получить предварительно сгенерированный SBOM:
В браузере перейдите на
ci.android.com.В поле «Введите имя ветки» введите
aosp-android-latest-release.Для любой сборки с зеленым статусом нажмите стрелку вниз View artifacts . Появится экран Build artifacts.
На экране «Сборка артефактов» используйте команду find, чтобы найти папку SBOM JSON ( CTRL+F или CMD+F ).
Создайте пользовательский SBOM
Для любых дополнений к платформе, включая любые двоичные или сборочные и релизные цепочки инструментов, вы должны предоставить SBOM-представление вашего продукта, которое соответствует минимальным элементам для спецификации программного обеспечения (SBOM) . Чтобы создать пользовательский SBOM:
Выполните следующие команды для настройки среды и сборки SBOM:
$ source build/envsetup.sh $ lunch TARGET $ m sbom # Generates an SBOMTARGETссылается на ту же цель сборки, которую вы используете для сборки Android, напримерaosp_arm64-userdebug.Чтобы убедиться, что SBOM построен правильно, выполните:
$ ls out/dist/sbom*