Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), Şubat 2022'de 2021 Siber Güvenlik Yürütme Kararnamesi (EO) 14028'e yanıt olarak güvenli yazılım geliştirme uygulamalarıyla ilgili kapsamlı bir kurallar grubu olan Güvenli Yazılım Geliştirme Çerçevesi'nin (SSDF) 1.1 sürümünü yayınladı.
ABD hükümeti, bu şartlar kapsamında bir yazılım sürümünün bileşenlerini listeleyen bir yazılım malzeme listesi (SBOM) isteyebilir.
SBOM'ler, Android Sürekli Entegrasyon (Android CI) derlemeleri için otomatik olarak oluşturulur. CI derlemelerinden birini kullanıyorsanız bir derleme için SBOM almak üzere aşağıdaki adımları uygulayın. Aksi takdirde, özel bir SBOM oluşturma adımlarını uygulayın.
Önceden oluşturulmuş bir SBOM edinme
Önceden oluşturulmuş bir SBOM almak için:
Tarayıcınızda
ci.android.comadresine gidin.Bir şube adı girin alanına
aosp-mainyazın.Yeşil durumdaki derlemelerden herhangi biri için Öğeleri göster aşağı okunu tıklayın. Derleme yapıları ekranı görüntülenir.
Derleme yapıları ekranında, SBOM JSON dosyasını bulmak için bir bulma komutu kullanın (CTRL+F veya CMD+F).
Özel bir SBOM oluşturun
Platforma eklenen tüm öğeler (ör. ikili dosyalar veya derleme ve yayınlama araç zincirleri) için Yazılım Malzeme Listesi (SBOM) için Minimum Öğeler'i karşılayan ürününüzün SBOM temsilini sağlamanız gerekir. Özel bir SBOM oluşturmak için:
Ortamınızı ayarlamak ve SBOM'yi oluşturmak için aşağıdaki komutları çalıştırın:
$ source build/envsetup.sh $ lunch TARGET $ m sbom # Generates an SBOMTARGET, Android'i derlemek için kullandığınız derleme hedefini (ör.aosp_arm64-userdebug) ifade eder.SBOM'nin doğru oluşturulduğundan emin olmak için şu komutu çalıştırın:
$ ls out/dist/sbom*