В феврале 2022 года Национальный институт стандартов и технологий (NIST) опубликовал версию 1.1 « Структуры безопасной разработки программного обеспечения» (SSDF) — набор всеобъемлющих рекомендаций по методам безопасной разработки программного обеспечения в ответ на Указ о кибербезопасности (EO) 14028 от 2021 года .
В рамках этих требований правительство США может запросить спецификацию программного обеспечения (SBOM) , в которой перечислены компоненты выпуска программного обеспечения.
Модели SBOM автоматически генерируются для сборок Android Continuous Integration (Android CI). Если вы используете одну из сборок CI, выполните следующие шаги для получения модели SBOM . В противном случае выполните следующие шаги для создания собственной модели SBOM .
Получите предварительно сгенерированный SBOM
Чтобы получить предварительно сгенерированный SBOM:
В браузере перейдите на
ci.android.com.В поле Введите имя ветки введите
aosp-android-latest-release.Для любой сборки с зелёным статусом нажмите стрелку вниз на кнопке «Просмотр артефактов» . Откроется экран «Артефакты сборки».
На экране «Сборка артефактов» используйте команду find, чтобы найти папку SBOM JSON ( CTRL+F или CMD+F ).
Создайте пользовательский SBOM
Для любых дополнений к платформе, включая любые двоичные файлы или цепочки инструментов сборки и выпуска, необходимо предоставить SBOM-представление вашего продукта, соответствующее минимальным элементам спецификации программного обеспечения (SBOM) . Чтобы создать пользовательскую SBOM-модель:
Выполните следующие команды для настройки среды и сборки SBOM:
$ source build/envsetup.sh $ lunch TARGET $ m sbom # Generates an SBOMTARGETотносится к той же цели сборки, которую вы используете для сборки Android, напримерaosp_arm64-userdebug.Чтобы убедиться, что SBOM построен правильно, выполните:
$ ls out/dist/sbom*