谷歌强化对 AOSP 外部贡献者的谷歌审查，避免被恶意提交 Bug 代码

作者：问舟 2023-09-19 07:20:33移动开发 Android Android 专家 Mishaal Rahman 解释称，强化现在所有对 AOSP 的对A的审g代外部更改都需要两位谷歌审核人员进行审查和批准。目的部贡是防止代码中隐藏的安全漏洞和 Bug 进入 AOSP—— 而不是限制谁可以向 AOSP 提交代码。

9 月 19 日消息，查避Android 开源项目 (Android Open Source Project，免被码AOSP) 是恶意指打造出 Android 的人员、流程和源代码。提交人员负责监督项目并开发源代码；流程则是谷歌指为了管理软件的开发而使用的工具和程序，最终得到的强化就是可用于手机和其他设备的源代码。

当下，对A的审g代AOSP 采用的部贡是 Apache 2.0 开源许可证，这意味着任何人都可以修改其代码。查避然而，免被码这种策略的恶意一个缺点就是给恶意人员提供了一种简单的破坏途径。为了应对安全问题，谷歌正在加强对外部贡献人员的审查。

Android 专家 Mishaal Rahman 解释称，现在所有对 AOSP 的外部更改都需要两位谷歌审核人员进行审查和批准。目的是防止代码中隐藏的安全漏洞和 Bug 进入 AOSP—— 而不是限制谁可以向 AOSP 提交代码。

事实上，Rahman 明确指出，非 Google 员工并未被列入贡献黑名单。相反，外部代码只需接受审查，让直接受影响的人有机会确定它是否应该被整合进 AOSP。这是一个更彻底的审查流程，有助于筛选最终代码，确认最有益的部分，并减少安全问题。

外媒认为，这一策略可能会大幅减少谷歌过去所面临的一些与漏洞相关的问题。

就在去年，David Schütz 发现了一个存在于 AOSP 中的漏洞，这是一种可以允许黑客绕过安卓锁屏的缺陷。他后来因报告该漏洞而从谷歌获得了 7 万美元（IT之家备注：当前约 51 万元人民币）的奖励。

值得注意的是，谷歌已于 2010 年启动了一个名为漏洞赏金计划（Vulnerability Rewards Program）的项目，该项目自开启以来已贡献过 11000 个以上的漏洞，而谷歌均会以现金作为奖励。目前，谷歌已经向这些白帽子支付了数百万美元。

责任编辑：姜华 来源： IT之家 Android谷歌

(责任编辑：焦点)