Tháng 2 năm 2022, Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST) phát hành phiên bản 1.1 của Khung phát triển phần mềm bảo mật (SSDF). Đây là một bộ hướng dẫn toàn diện về các phương pháp phát triển phần mềm bảo mật nhằm đáp ứng Lệnh điều hành về an ninh mạng (EO) 14028 năm 2021.
Theo các yêu cầu này, chính phủ Hoa Kỳ có thể yêu cầu hoá đơn vật liệu phần mềm (SBOM), trong đó liệt kê các thành phần của bản phát hành phần mềm.
SBOM được tạo tự động cho các bản dựng Tích hợp liên tục của Android (Android CI). Nếu bạn sử dụng một trong các bản dựng CI, hãy làm theo các bước sau để nhận SBOM cho bản dựng. Nếu không, hãy làm theo các bước để tạo SBOM tuỳ chỉnh.
Lấy SBOM được tạo trước
Cách lấy SBOM được tạo trước:
Trong trình duyệt, hãy chuyển đến
ci.android.com.Trong trường Nhập tên nhánh, nhập
aosp-main.Đối với bất kỳ bản dựng nào có trạng thái màu xanh lục, hãy nhấp vào mũi tên xuống Xem cấu phần phần mềm. Màn hình Cấu phần phần mềm bản dựng sẽ xuất hiện.
Trên màn hình Cấu phần phần mềm của bản dựng, hãy dùng lệnh tìm để xác định tệp JSON SBOM (Ctrl+F hoặc CMD+F).
Tạo SBOM tuỳ chỉnh
Đối với mọi nội dung bổ sung vào nền tảng, bao gồm mọi chuỗi công cụ tạo và phát hành nhị phân, bạn phải cung cấp bản đại diện SBOM của sản phẩm đáp ứng Các phần tử tối thiểu cho Bảng kê khai thành phần của phần mềm (SBOM). Cách tạo SBOM tuỳ chỉnh:
Chạy các lệnh sau để thiết lập môi trường và xây dựng SBOM:
$ source build/envsetup.sh $ lunch TARGET $ m sbom # Generates an SBOMTARGETđề cập đến cùng một mục tiêu bản dựng mà bạn đang dùng để tạo Android, chẳng hạn nhưaosp_arm64-userdebug.Để đảm bảo SBOM được tạo chính xác, hãy thực thi:
$ ls out/dist/sbom*