ในเดือนกุมภาพันธ์ 2022 สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (National Institute for Standards and Technology: NIST) ได้เผยแพร่เฟรมเวิร์กการพัฒนาซอฟต์แวร์อย่างปลอดภัย (Secure Software Development Framework: SSDF) เวอร์ชัน 1.1 ซึ่งเป็นชุดหลักเกณฑ์ที่ครอบคลุมเกี่ยวกับแนวทางปฏิบัติด้านการพัฒนาซอฟต์แวร์อย่างปลอดภัยเพื่อตอบสนองคำสั่งผู้บริหารด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Executive Order: EO) 14028 ปี 2021
ภายใต้ข้อกำหนดเหล่านี้ รัฐบาลสหรัฐอเมริกาอาจขอใบแจ้งหนี้ของซอฟต์แวร์ (SBOM) ซึ่งแสดงรายการคอมโพเนนต์ของรุ่นซอฟต์แวร์
ระบบจะสร้าง SBOM โดยอัตโนมัติสำหรับบิลด์การผสานรวมอย่างต่อเนื่อง (CI) ของ Android หากคุณใช้บิลด์ CI รายการใดรายการหนึ่ง ให้ทำตามขั้นตอนต่อไปนี้เพื่อรับ SBOM สำหรับบิลด์ หรือทำตามขั้นตอนเพื่อสร้าง SBOM ที่กำหนดเอง
รับ SBOM ที่สร้างขึ้นล่วงหน้า
วิธีรับ SBOM ที่สร้างขึ้นล่วงหน้า
ไปที่
ci.android.comในเบราว์เซอร์พิมพ์
aosp-android-latest-releaseในช่องป้อนชื่อสาขาสำหรับบิลด์ที่มีสถานะสีเขียว ให้คลิกลูกศรลงดูอาร์ติแฟกต์ หน้าจอรายการต่างๆ ที่สร้างจากบิลด์จะปรากฏขึ้น
ในหน้าจอรายการต่างๆ ที่สร้าง ให้ใช้คำสั่งค้นหาเพื่อค้นหาโฟลเดอร์ JSON ของ SBOM (CTRL+F หรือ CMD+F)
สร้าง SBOM ที่กําหนดเอง
สำหรับส่วนเพิ่มเติมในแพลตฟอร์ม ซึ่งรวมถึงไบนารีหรือเชนเครื่องมือสำหรับบิลด์และรุ่นต่างๆ คุณต้องระบุตัวแทน SBOM ของผลิตภัณฑ์ที่เป็นไปตามองค์ประกอบขั้นต่ำสำหรับใบรายการประกอบซอฟต์แวร์ (SBOM) วิธีสร้าง SBOM ที่กําหนดเอง
เรียกใช้คำสั่งต่อไปนี้เพื่อตั้งค่าสภาพแวดล้อมและสร้าง SBOM
$ source build/envsetup.sh $ lunch TARGET $ m sbom # Generates an SBOMTARGETหมายถึงเป้าหมายของบิลด์เดียวกับที่คุณใช้สร้าง Android เช่นaosp_arm64-userdebugเรียกใช้คำสั่งต่อไปนี้เพื่อให้แน่ใจว่า SBOM สร้างขึ้นอย่างถูกต้อง
$ ls out/dist/sbom*