1. 科技訊首頁
  2. 新聞

谷歌強化對 AOSP 外部貢獻者的審查,避免被惡意提交 Bug 代碼

潮玩君 ? ? 新聞

Android 開源項目 (Android Open Source Project,AOSP) 是指打造出 Android 的人員、流程和源代碼

9 月 19 日,谷歌將強化對 AOSP 外部貢獻者的審查。Android 開源項目 (Android Open Source Project,AOSP) 是指打造出 Android 的人員、流程和源代碼。人員負責監(jiān)督項目并開發(fā)源代碼;流程則是指為了管理軟件的開發(fā)而使用的工具和程序,最終得到的就是可用于手機和其他設備的源代碼。

谷歌強化對 AOSP 外部貢獻者的審查,避免被惡意提交 Bug 代碼

當下,AOSP 采用的是 Apache 2.0 開源許可證,這意味著任何人都可以修改其代碼。然而,這種策略的一個缺點就是給惡意人員提供了一種簡單的破壞途徑。為了應對安全問題,谷歌正在加強對外部貢獻人員的審查。

Android 專家 Mishaal Rahman 解釋稱,現(xiàn)在所有對 AOSP 的外部更改都需要兩位谷歌審核人員進行審查和批準。目的是防止代碼中隱藏的安全漏洞和 Bug 進入 AOSP—— 而不是限制誰可以向 AOSP 提交代碼。

事實上,Rahman 明確指出,非 Google 員工并未被列入貢獻黑名單。相反,外部代碼只需接受審查,讓直接受影響的人有機會確定它是否應該被整合進 AOSP。這是一個更徹底的審查流程,有助于篩選最終代碼,確認最有益的部分,并減少安全問題。外媒認為,這一策略可能會大幅減少谷歌過去所面臨的一些與漏洞相關的問題。

就在去年,David Schütz 發(fā)現(xiàn)了一個存在于 AOSP 中的漏洞,這是一種可以允許黑客繞過安卓鎖屏的缺陷。他后來因報告該漏洞而從谷歌獲得了 7 萬美元的獎勵。

值得注意的是,谷歌已于 2010 年啟動了一個名為漏洞賞金計劃(Vulnerability Rewards Program)的項目,該項目自開啟以來已貢獻過 11000 個以上的漏洞,而谷歌均會以現(xiàn)金作為獎勵。目前,谷歌已經(jīng)向這些白帽子支付了數(shù)百萬美元。

原創(chuàng)文章,作者:潮玩君,如若轉(zhuǎn)載,請注明出處:http://leeannwhittemore.com/article/582505.html

潮玩君的頭像潮玩君管理團隊

相關推薦

發(fā)表回復

登錄后才能評論