2022 年 2 月,美國國家標準暨技術研究院 (NIST) 發布了安全軟體開發架構 (SSDF) 1.1 版,這是一套全面的指南,說明如何實踐安全軟體開發做法,以回應2021 年網路安全行政命令 (EO) 14028。
美國政府可能會要求提供軟體物料清單 (SBOM),列出軟體版本的元件。
系統會自動為 Android 持續整合 (Android CI) 建構作業產生 SBOM。如果您使用其中一個 CI 建構,請按照下列步驟取得建構的 SBOM。否則,請按照產生自訂 SBOM的步驟操作。
取得預先產生的 SBOM
如要取得預先產生的 SBOM,請按照下列步驟操作:
在瀏覽器中前往
ci.android.com。在「Enter a branch name」欄位中輸入
aosp-android-latest-release。針對狀態為綠色的任何版本,請按一下「View artifacts」向下箭頭。畫面隨即顯示「Build artifacts」(建構構件) 畫面。
在「Build artifacts」畫面中,使用「Find」指令找出 SBOM JSON 資料夾 (CTRL+F 或 CMD+F)。
產生自訂 SBOM
針對平台的任何新增項目 (包括任何二進位檔或建構和發布工具鍊),您必須提供符合 軟體物料清單 (SBOM) 的最低元素 的產品 SBOM 表示法。如要產生自訂 SBOM,請按照下列步驟操作:
執行下列指令,設定環境並建構 SBOM:
$ source build/envsetup.sh $ lunch TARGET $ m sbom # Generates an SBOMTARGET是指您用來建構 Android 的建構目標,例如aosp_arm64-userdebug。如要確保 SBOM 建構正確,請執行:
$ ls out/dist/sbom*