ในเดือนกุมภาพันธ์ 2022 สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (National Institute for Standards and Technology: NIST) ได้เผยแพร่เฟรมเวิร์กการพัฒนาซอฟต์แวร์อย่างปลอดภัย (Secure Software Development Framework: SSDF) เวอร์ชัน 1.1 ซึ่งเป็นชุดหลักเกณฑ์ที่ครอบคลุมเกี่ยวกับแนวทางปฏิบัติด้านการพัฒนาซอฟต์แวร์อย่างปลอดภัยเพื่อตอบสนองคำสั่งผู้บริหารด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ (Executive Order: EO) 14028 ปี 2021
ภายใต้ข้อกำหนดเหล่านี้ รัฐบาลสหรัฐอเมริกาอาจขอใบแจ้งหนี้ของซอฟต์แวร์ (SBOM) ซึ่งแสดงรายการคอมโพเนนต์ของรุ่นซอฟต์แวร์
ระบบจะสร้าง SBOM โดยอัตโนมัติสำหรับบิลด์การผสานรวมอย่างต่อเนื่อง (Android CI) ของ Android หากคุณใช้บิลด์ CI รายการใดรายการหนึ่ง ให้ทำตามขั้นตอนต่อไปนี้เพื่อรับ SBOM สำหรับบิลด์ หรือทำตามขั้นตอนเพื่อสร้าง SBOM ที่กำหนดเอง
รับ SBOM ที่สร้างไว้ล่วงหน้า
หากต้องการรับ SBOM ที่สร้างไว้ล่วงหน้า ให้ทำดังนี้
ในเบราว์เซอร์ ให้ไปที่
ci.android.comพิมพ์
aosp-mainในช่องป้อนชื่อสาขาสำหรับบิลด์ที่มีสถานะสีเขียว ให้คลิกลูกศรลงดูอาร์ติแฟกต์ หน้าจอบิลด์อาร์ติแฟกต์จะปรากฏขึ้น
ในหน้าจอรายการต่างๆ ที่สร้างจากบิลด์ ให้ใช้คำสั่งค้นหาเพื่อค้นหาไฟล์ SBOM JSON (CTRL+F หรือ CMD+F)
สร้าง SBOM ที่กําหนดเอง
สำหรับส่วนเพิ่มเติมในแพลตฟอร์ม ซึ่งรวมถึงไบนารีหรือเชนเครื่องมือสำหรับบิลด์และรุ่นต่างๆ คุณต้องระบุตัวแทน SBOM ของผลิตภัณฑ์ที่เป็นไปตามองค์ประกอบขั้นต่ำสำหรับใบรายการประกอบซอฟต์แวร์ (SBOM) วิธีสร้าง SBOM ที่กำหนดเอง
เรียกใช้คำสั่งต่อไปนี้เพื่อตั้งค่าสภาพแวดล้อมและสร้าง SBOM
$ source build/envsetup.sh $ lunch TARGET $ m sbom # Generates an SBOMTARGETหมายถึงเป้าหมายของบิลด์เดียวกับที่คุณใช้สร้าง Android เช่นaosp_arm64-userdebugเรียกใช้คำสั่งต่อไปนี้เพื่อให้แน่ใจว่า SBOM สร้างขึ้นอย่างถูกต้อง
$ ls out/dist/sbom*