谷歌強(qiáng)化對(duì) AOSP 外部貢獻(xiàn)者的審查，避免被惡意提交 Bug 代碼

IT之家 9 月 19 日消息，Android 開源項(xiàng)目 (Android Open Source Project，AOSP) 是指打造出 Android 的人員、流程和源代碼。人員負(fù)責(zé)監(jiān)督項(xiàng)目并開發(fā)源代碼；流程則是指為了管理軟件的開發(fā)而使用的工具和程序，最終得到的就是可用于手機(jī)和其他設(shè)備的源代碼。

當(dāng)下，AOSP 采用的是 Apache 2.0 開源許可證，這意味著任何人都可以修改其代碼。然而，這種策略的一個(gè)缺點(diǎn)就是給惡意人員提供了一種簡(jiǎn)單的破壞途徑。為了應(yīng)對(duì)安全問題，谷歌正在加強(qiáng)對(duì)外部貢獻(xiàn)人員的審查。

Android 專家 Mishaal Rahman 解釋稱，現(xiàn)在所有對(duì) AOSP 的外部更改都需要兩位谷歌審核人員進(jìn)行審查和批準(zhǔn)。目的是防止代碼中隱藏的安全漏洞和 Bug 進(jìn)入 AOSP—— 而不是限制誰(shuí)可以向 AOSP 提交代碼。

事實(shí)上，Rahman 明確指出，非 Google 員工并未被列入貢獻(xiàn)黑名單。相反，外部代碼只需接受審查，讓直接受影響的人有機(jī)會(huì)確定它是否應(yīng)該被整合進(jìn) AOSP。這是一個(gè)更徹底的審查流程，有助于篩選最終代碼，確認(rèn)最有益的部分，并減少安全問題。

外媒認(rèn)為，這一策略可能會(huì)大幅減少谷歌過去所面臨的一些與漏洞相關(guān)的問題。

就在去年，David Schütz 發(fā)現(xiàn)了一個(gè)存在于 AOSP 中的漏洞，這是一種可以允許黑客繞過安卓鎖屏的缺陷。他后來因報(bào)告該漏洞而從谷歌獲得了 7 萬美元（IT之家備注：當(dāng)前約 51 萬元人民幣）的獎(jiǎng)勵(lì)。

值得注意的是，谷歌已于 2010 年啟動(dòng)了一個(gè)名為漏洞賞金計(jì)劃（Vulnerability Rewards Program）的項(xiàng)目，該項(xiàng)目自開啟以來已貢獻(xiàn)過 11000 個(gè)以上的漏洞，而谷歌均會(huì)以現(xiàn)金作為獎(jiǎng)勵(lì)。目前，谷歌已經(jīng)向這些白帽子支付了數(shù)百萬美元。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。