Şubat 2022'de, Ulusal Standartlar ve Teknoloji Enstitüsü'nün (NIST) 2021 Siber Güvenlik Kararnamesi (EO) 14028 uyarınca güvenli yazılım geliştirme uygulamaları hakkında bir dizi kapsamlı yönergeler içeren Güvenli Yazılım Geliştirme Çerçevesi'nin (SSDF) 1.1 sürümü yayınlandı.
ABD hükümeti, bu şartlar kapsamında bir yazılım sürümünün bileşenlerini listeleyen bir yazılım malzeme faturası (SBOM) talep edebilir.
SBOM'ler, Android Sürekli Entegrasyon (Android CI) derlemeleri için otomatik olarak oluşturulur. CI derlemelerinden birini kullanıyorsanız bir derleme için SBOM almak üzere aşağıdaki adımları uygulayın. Aksi takdirde, özel SBOM oluşturma adımlarını izleyin.
Önceden oluşturulmuş bir SBOM edinme
Önceden oluşturulmuş bir SBOM almak için:
Tarayıcınızda
ci.android.comadresine gidin.Bir şube adı girin alanına
aosp-mainyazın.Yeşil durumlu derlemelerden herhangi biri için Yapıları görüntüle aşağı okunu tıklayın. Derleme yapıları ekranı görünür.
Derleme yapıları ekranında, SBOM JSON dosyasını bulmak için bir bul komutu kullanın (CTRL+F veya CMD+F).
Özel bir SBOM oluşturun
İkili program veya derleme ve yayınlama aracı zincirleri de dahil olmak üzere platforma yapılan tüm eklemeler için ürününüzün Yazılım Malzeme Listesi için Minimum Öğe (SBOM) şartlarını karşılayan bir SBOM temsilini sağlamanız gerekir. Özel bir SBOM oluşturmak için:
Ortamınızı kurmak ve SBOM'yi derlemek için aşağıdaki komutları çalıştırın:
$ source build/envsetup.sh $ lunch TARGET $ m sbom # Generates an SBOMTARGET, Android'i oluşturmak için kullandığınız derleme hedefini (ör.aosp_arm64-userdebug) ifade eder.SBOM'nin doğru oluşturulduğundan emin olmak için şu komutu çalıştırın:
$ ls out/dist/sbom*