Создайте программную спецификацию материалов (SBOM)

В феврале 2022 года Национальный институт стандартов и технологий (NIST) опубликовал версию 1.1 Secure Software Development Framework (SSDF) — набора комплексных рекомендаций по безопасной практике разработки программного обеспечения в ответ на Исполнительный указ по кибербезопасности (EO) 14028 от 2021 года .

В рамках этих требований правительство США может запросить спецификацию программного обеспечения (SBOM) , в которой перечислены компоненты выпуска программного обеспечения.

SBOM автоматически генерируются для сборок Android Continuous Integration (Android CI). Если вы используете одну из сборок CI, выполните следующие действия, чтобы получить SBOM для сборки . В противном случае следуйте инструкциям по созданию пользовательского SBOM .

Получите предварительно созданный SBOM

Чтобы получить предварительно созданный SBOM:

  1. В браузере перейдите на ci.android.com .

  2. В поле Введите имя ветки введите aosp-main .

  3. Для любой из сборок с зеленым статусом щелкните стрелку вниз «Просмотреть артефакты» . Появится экран сборки артефактов.

  4. На экране «Построить артефакты» используйте команду поиска, чтобы найти файл SBOM JSON ( CTRL+F или CMD+F ).

Создайте собственный SBOM

Для любых дополнений к платформе, включая любые двоичные файлы или цепочки инструментов сборки и выпуска, вы должны предоставить представление вашего продукта в формате SBOM, соответствующее минимальным элементам спецификации программного обеспечения (SBOM) . Чтобы создать собственный SBOM:

  1. Выполните следующие команды, чтобы настроить среду и построить SBOM:

    $ source build/envsetup.sh
    $ lunch TARGET
    $ m sbom # Generates an SBOM

    TARGET относится к той же цели сборки, которую вы используете для сборки Android, например aosp_arm64-userdebug .

  2. Чтобы убедиться, что SBOM построен правильно, выполните:

    $ ls out/dist/sbom*