В феврале 2022 года Национальный институт стандартов и технологий (NIST) опубликовал версию 1.1 Рамочной программы безопасной разработки программного обеспечения (SSDF) , представляющей собой набор всеобъемлющих рекомендаций по безопасной разработке программного обеспечения в ответ на Указ Президента США по кибербезопасности № 14028 от 2021 года .
В рамках этих требований правительство США может запросить спецификацию программного обеспечения (SBOM) , в которой перечислены компоненты выпускаемого программного обеспечения.
SBOM-файлы автоматически генерируются для сборок Android Continuous Integration (Android CI). Если вы используете одну из сборок CI, выполните следующие шаги, чтобы получить SBOM-файл для сборки . В противном случае выполните шаги для генерации пользовательского SBOM-файла .
Получите предварительно сгенерированную спецификацию материалов (SBOM).
Для получения предварительно сгенерированного SBOM:
В браузере перейдите по адресу
ci.android.com.В поле «Введите имя ветки» введите
aosp-android-latest-release.Для любой из сборок с зеленым статусом нажмите стрелку вниз « Просмотреть артефакты» . Откроется экран «Артефакты сборки».
На экране «Артефакты сборки» используйте команду поиска, чтобы найти папку SBOM JSON ( CTRL+F или CMD+F ).
Сгенерируйте пользовательскую спецификацию материалов (SBOM).
Для любых дополнений к платформе, включая любые бинарные файлы или цепочки инструментов сборки и выпуска, необходимо предоставить спецификацию программного обеспечения (SBOM), соответствующую минимальным элементам спецификации программного обеспечения (SBOM) . Для генерации пользовательской спецификации программного обеспечения:
Выполните следующие команды, чтобы настроить среду и собрать SBOM:
$ source build/envsetup.sh $ lunch TARGET $ m sbom # Generates an SBOMTARGETуказывает на ту же целевую сборку, которую вы используете для сборки Android, например,aosp_arm64-userdebug.Для обеспечения корректной сборки SBOM выполните следующую команду:
$ ls out/dist/sbom*