Android開源專案(AOSP)的一個重大變化正在悄然發生。Google正越來越重視外部對 AOSP 的貢獻,以防止安全漏洞和 Bug 進入 AOSP。從現在開始,所有外部程式碼的貢獇都需要獲得兩名 Google 評審的批准才會被接受。
這種變化的背後原因是很簡單:任何人都可以修改 AOSP 的程式碼,因為它採用 Apache 2.0 的授權。這種模式使得 AOSP 可以通過內部和外部貢獇共同成長。Google甚至已經建立了一份指南幫助大家了解如何對 AOSP 做出貢獇,還利用其中的一些內容來開發新的功能。但是,這種方法的缺點也很明顯:同時也給了壞人一個簡單的方法來徹底破壞整個系統。
因此,Google 正在做出應對安全問題的重大變化。Android 專家米沙爾·拉赫曼(Mishaal Rahman) 說明,所有外部程式碼貢獇現在都需要獲得兩名 Google 評審的批准才會被接受。目的是防止嵌入在程式碼中的安全漏洞和 Bug 進入 AOSP —— 不是限制誰可以提交程式碼到 AOSP。事實上,拉赫曼 指出非 Google 員工並不會被禁止貢獇。相反,外部程式碼將只需進行審核,這樣那些直接受影響的人就有機會決定它是否應該被整合進來。這是一種更徹底的審核過程,但最終也能夠幫助篩選出來的程式碼、找出最有益的貢獇和減少安全漏洞。
由於這個變化,Google 尚未對此做出評論。但是,這種變化可能會有效地防止過去 Google 面臨的問題。僅在上一年,一個 Bug 就被發現存在於 AOSP 中,而該 Bug 讓黑客可以輕易繞過 Android 鏡子屏幕。David Schütz 是發現這個 Bug 的人,他甚至還從 Google 得到了 7 萬美元作為獎勵。
Google 有一個名為漏洞獎賞計劃(Vulnerability Rewards Program,VRP)的獎金計畫已經開展了十年。自成立以來,這個計畫就一直在幫助發現 Bug 的人們獲得獎金。直到現在,這些 Bug 搜查者已經發現了超過 11,000 個 Bug,並因此獲得了數百萬美元的獎金。
如果你感興趣,我們建議你加入這個計畫。Google甚至還為那些想要成為 Bug Hunter 的人創建了一個教學平台,稱為 Bug Hunter University。該平台提供了所有你需要開始做出貢獇的資源。Google 也需要更多 Bug Hunter,有待幫助的是 Google Cloud(Agent Assist)、Android(應用程式),以及 Bard 等領域。如果你有競爭心,你也可以參與到漏洞發現競賽中,並且查看自己在排行榜上的排名。
在接下來的章節中,我們將更深入地探討這些變化。
Related Posts:
