Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), Şubat 2022'de 2021 Siber Güvenlik Başkanlık Kararnamesi (EO) 14028'e yanıt olarak güvenli yazılım geliştirme uygulamalarıyla ilgili kapsamlı yönergeler içeren Güvenli Yazılım Geliştirme Çerçevesi'nin (SSDF) 1.1 sürümünü yayınladı.
Bu şartlar kapsamında ABD hükümeti, bir yazılım sürümünün bileşenlerini listeleyen bir yazılım malzeme listesi (SBOM) isteyebilir.
SBOM'lar, Android sürekli entegrasyonu (Android CI) derlemeleri için otomatik olarak oluşturulur. CI derlemelerinden birini kullanıyorsanız bir derleme için SBOM almak üzere aşağıdaki adımları uygulayın. Aksi takdirde, özel SBOM oluşturma adımlarını uygulayın.
Önceden oluşturulmuş bir SBOM elde etme
Önceden oluşturulmuş bir SBOM almak için:
Tarayıcınızda
ci.android.comadresine gidin.Şube adı girin alanına
aosp-android-latest-releaseyazın.Yeşil duruma sahip derlemelerden herhangi biri için Yapıları görüntüle aşağı okunu tıklayın. Derleme yapıları ekranı gösterilir.
Derleme yapıları ekranında, SBOM JSON klasörünü bulmak için bulma komutunu kullanın (CTRL+F veya CMD+F).
Özel SBOM oluşturma
İkili veya derleme ve yayınlama araç zincirleri de dahil olmak üzere platforma yapılan tüm eklemeler için ürününüzün Minimal Elements for a Software Bill of Materials (SBOM) (Yazılım Malzeme Listesi için Minimum Öğeler) şartlarını karşılayan bir SBOM gösterimini sağlamanız gerekir. Özel SBOM oluşturmak için:
Ortamınızı ayarlamak ve SBOM'yi oluşturmak için aşağıdaki komutları çalıştırın:
$ source build/envsetup.sh $ lunch TARGET $ m sbom # Generates an SBOMTARGET, Android'i oluşturmak için kullandığınız derleme hedefiyle (ör.aosp_arm64-userdebug) aynıdır.SBOM'un doğru şekilde oluşturulduğundan emin olmak için şunu çalıştırın:
$ ls out/dist/sbom*