Vào tháng 2 năm 2022, Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) đã xuất bản phiên bản 1.1 của Khung phát triển phần mềm an toàn (SSDF), một bộ nguyên tắc toàn diện về các biện pháp phát triển phần mềm an toàn để đáp ứng Lệnh hành pháp (EO) 14028 về an ninh mạng năm 2021.
Trong khuôn khổ các yêu cầu này, chính phủ Hoa Kỳ có thể yêu cầu danh sách thành phần phần mềm (SBOM), trong đó liệt kê các thành phần của một bản phát hành phần mềm.
SBOM được tự động tạo cho các bản dựng Tích hợp liên tục Android (Android CI). Nếu bạn sử dụng một trong các bản dựng CI, hãy làm theo các bước sau để lấy SBOM cho một bản dựng. Nếu không, hãy làm theo các bước để tạo SBOM tuỳ chỉnh.
Lấy SBOM được tạo trước
Cách lấy SBOM được tạo sẵn:
Trong trình duyệt, hãy truy cập vào
ci.android.com.Trong trường Nhập tên nhánh, hãy nhập
aosp-android-latest-release.Đối với mọi bản dựng có trạng thái màu xanh lục, hãy nhấp vào mũi tên xuống Xem cấu phần phần mềm. Màn hình Build artifacts (Tạo cấu phần phần mềm) sẽ xuất hiện.
Trong màn hình Build artifacts (Tạo cấu phần phần mềm), hãy dùng lệnh tìm để xác định vị trí thư mục SBOM JSON (CTRL+F hoặc CMD+F).
Tạo SBOM tuỳ chỉnh
Đối với mọi nội dung bổ sung cho nền tảng, bao gồm cả mọi chuỗi công cụ nhị phân hoặc bản dựng và phát hành, bạn phải cung cấp một bản trình bày SBOM cho sản phẩm của mình đáp ứng Các phần tử tối thiểu cho danh sách thành phần phần mềm (SBOM). Cách tạo SBOM tuỳ chỉnh:
Chạy các lệnh sau để thiết lập môi trường và tạo SBOM:
$ source build/envsetup.sh $ lunch TARGET $ m sbom # Generates an SBOMTARGETđề cập đến cùng một mục tiêu bản dựng mà bạn đang dùng để tạo Android, chẳng hạn nhưaosp_arm64-userdebug.Để đảm bảo SBOM được tạo đúng cách, hãy thực thi:
$ ls out/dist/sbom*