谷歌强化对 AOSP 外部贡献者的审查,避免被恶意提交 Bug 代码

移动开发 Android
Android 专家 Mishaal Rahman 解释称,现在所有对 AOSP 的外部更改都需要两位谷歌审核人员进行审查和批准。目的是防止代码中隐藏的安全漏洞和 Bug 进入 AOSP—— 而不是限制谁可以向 AOSP 提交代码。

9 月 19 日消息,Android 开源项目 (Android Open Source Project,AOSP) 是指打造出 Android 的人员、流程和源代码。人员负责监督项目并开发源代码;流程则是指为了管理软件的开发而使用的工具和程序,最终得到的就是可用于手机和其他设备的源代码。

当下,AOSP 采用的是 Apache 2.0 开源许可证,这意味着任何人都可以修改其代码。然而,这种策略的一个缺点就是给恶意人员提供了一种简单的破坏途径。为了应对安全问题,谷歌正在加强对外部贡献人员的审查。

Android 专家 Mishaal Rahman 解释称,现在所有对 AOSP 的外部更改都需要两位谷歌审核人员进行审查和批准。目的是防止代码中隐藏的安全漏洞和 Bug 进入 AOSP—— 而不是限制谁可以向 AOSP 提交代码。

事实上,Rahman 明确指出,非 Google 员工并未被列入贡献黑名单。相反,外部代码只需接受审查,让直接受影响的人有机会确定它是否应该被整合进 AOSP。这是一个更彻底的审查流程,有助于筛选最终代码,确认最有益的部分,并减少安全问题。

外媒认为,这一策略可能会大幅减少谷歌过去所面临的一些与漏洞相关的问题。

就在去年,David Schütz 发现了一个存在于 AOSP 中的漏洞,这是一种可以允许黑客绕过安卓锁屏的缺陷。他后来因报告该漏洞而从谷歌获得了 7 万美元(IT之家备注:当前约 51 万元人民币)的奖励。

值得注意的是,谷歌已于 2010 年启动了一个名为漏洞赏金计划(Vulnerability Rewards Program)的项目,该项目自开启以来已贡献过 11000 个以上的漏洞,而谷歌均会以现金作为奖励。目前,谷歌已经向这些白帽子支付了数百万美元。

责任编辑:姜华 来源: IT之家
相关推荐

2020-06-18 11:14:53

微软谷歌开源

2019-01-21 08:00:00

谷歌开源数据

2015-06-23 13:41:03

Docker开源社区代码贡献

2019-12-18 23:11:24

TF架构网络连接

2024-02-04 13:33:57

2022-03-26 10:18:26

GoogleRust获奖者

2009-07-21 08:41:52

Linux内核开源操作系统Intel

2015-07-22 16:08:46

OpenStack开源贡献代码

2016-02-01 09:24:24

Quora排行算法

2015-09-08 09:05:16

贡献者维基Linux

2013-09-09 12:35:54

MongoDB

2011-07-01 09:26:12

2016-10-27 16:03:28

Easystack开源

2012-11-13 10:47:59

大数据HBaseHadoop

2013-08-20 13:55:19

测试代码审查

2021-09-17 16:05:06

Google开源贡献者获奖者

2020-04-17 13:01:38

ASFApache董事会

2021-07-07 09:41:16

CentOS CentOS StreCentOS Stre

2015-05-19 09:11:32

OpenStackOpenStack贡献
点赞
收藏

51CTO技术栈公众号