ในเดือนกุมภาพันธ์ 2022 สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (National Institute of Standards and Technology: NIST) ได้เผยแพร่เวอร์ชัน 1.1 ของ กรอบการพัฒนาซอฟต์แวร์ที่ปลอดภัย (Secure Software Development Framework: SSDF) ซึ่งเป็นชุดหลักเกณฑ์ที่ครอบคลุมเกี่ยวกับแนวทางปฏิบัติด้านการพัฒนาซอฟต์แวร์ที่ปลอดภัยเพื่อตอบสนองต่อ คำสั่งบริหาร (Executive Order: EO) 14028 ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ปี 2021
ข้อกำหนดเหล่านี้อาจทำให้รัฐบาลสหรัฐฯ ขอรายการชิ้นส่วนซอฟต์แวร์ (SBOM) ซึ่งแสดงรายการคอมโพเนนต์ของซอฟต์แวร์ ที่เผยแพร่
ระบบจะสร้าง SBOM โดยอัตโนมัติสำหรับการสร้างการผสานรวมอย่างต่อเนื่องของ Android (Android CI) หากคุณใช้บิลด์ CI ให้ทำตามขั้นตอนต่อไปนี้ เพื่อ รับ SBOM สำหรับบิลด์ หรือทำตามขั้นตอนเพื่อ สร้าง SBOM ที่กำหนดเอง
รับ SBOM ที่สร้างไว้ล่วงหน้า
วิธีรับ SBOM ที่สร้างไว้ล่วงหน้า
ในเบราว์เซอร์ ให้ไปที่
ci.android.comในช่องป้อนชื่อสาขา ให้พิมพ์
aosp-android-latest-releaseสำหรับบิลด์ที่มีสถานะเป็นสีเขียว ให้คลิกลูกศรลงดูอาร์ติแฟกต์ หน้าจอ "สร้างอาร์ติแฟกต์" จะปรากฏขึ้น
ในหน้าจออาร์ติแฟกต์ของบิลด์ ให้ใช้คำสั่งค้นหาเพื่อค้นหาโฟลเดอร์ JSON ของ SBOM (CTRL+F หรือ CMD+F)
สร้าง SBOM ที่กำหนดเอง
สำหรับการเพิ่มข้อมูลใดๆ ลงในแพลตฟอร์ม รวมถึงไบนารีหรือเครื่องมือสร้างและเผยแพร่ คุณต้องระบุการแสดง SBOM ของผลิตภัณฑ์ที่เป็นไปตามองค์ประกอบขั้นต่ำสำหรับรายการวัสดุของซอฟต์แวร์ (SBOM) วิธีสร้าง SBOM ที่กำหนดเอง
เรียกใช้คำสั่งต่อไปนี้เพื่อตั้งค่าสภาพแวดล้อมและสร้าง SBOM
$ source build/envsetup.sh $ lunch TARGET $ m sbom # Generates an SBOMTARGETหมายถึงเป้าหมายของบิลด์เดียวกันกับที่คุณใช้สร้าง Android เช่นaosp_arm64-userdebugหากต้องการให้มั่นใจว่าสร้าง SBOM ได้อย่างถูกต้อง ให้ดำเนินการดังนี้
$ ls out/dist/sbom*