谷歌強化對AOSP外部貢獻者的審查 避免被惡意提交Bug代碼

谷歌強化對AOSP外部貢獻者的審查 避免被惡意提交Bug代碼

Android開源項目（Android Open Source Project，AOSP）是指由Android的開發(fā)人員、流程和源代碼組成的項目。AOSP的開發(fā)人員負責(zé)監(jiān)督項目并開發(fā)源代碼，而流程則是為了管理軟件的開發(fā)而使用的工具和程序，最終得到的是可用于手機和其他設(shè)備的源代碼。 目前，AOSP采用的是Apache 2.0開源許可證，這意味著任何人都可以修改其代碼。然而，這種策略的一個缺點就是給惡意人員提供了一種簡單的破壞途徑。為了應(yīng)對安全問題，谷歌正在加強對外部貢獻人員的審查。 Android專家Mishaal Rahman解釋稱，現(xiàn)在所有對AOSP的外部更改都需要兩位谷歌審核人員進行審查和批準(zhǔn)。目的是防止代碼中隱藏的安全漏洞和Bug進入AOSP，而不是限制誰可以向AOSP提交代碼。事實上，Rahman明確指出，非Google員工并未被列入貢獻黑名單。相反，外部代碼只需接受審查，讓直接受影響的人有機會確定它是否應(yīng)該被整合進AOSP。這是一個更徹底的審查流程，有助于篩選最終代碼，確認最有益的部分，并減少安全問題。 外媒認為，這一策略可能會大幅減少谷歌過去所面臨的一些與漏洞相關(guān)的問題。就在去年，David Schütz發(fā)現(xiàn)了一個存在于AOSP中的漏洞，這是一種可以允許黑客繞過安卓鎖屏的缺陷。他后來因報告該漏洞而從谷歌獲得了7萬美元的獎勵。值得注意的是，谷歌已于2010年啟動了一個名為漏洞賞金計劃（Vulnerability Rewards Program）的項目，該項目自開啟以來已貢獻過11000個以上的漏洞，而谷歌均會以現(xiàn)金作為獎勵。目前，谷歌已經(jīng)向這些白帽子支付了數(shù)百萬美元。

(8332807)