Η Google θα απαιτεί πλέον τον έλεγχο των εξωτερικών συνεισφορών AOSP
Περίληψη
-
Η Google αυξάνει τον έλεγχο των εξωτερικών συνεισφορών στο Έργο Ανοιχτού Κώδικα Android (AOSP) για να αποτρέψει τα
τρωτά σημεία ασφαλείας
και τα σφάλματα από το να εισέλθουν στο AOSP. - Όλες οι συνεισφορές εξωτερικού κώδικα στο AOSP απαιτούν πλέον έγκριση από δύο αναθεωρητές της Google.
- Η διαδικασία αναθεώρησης βοηθά στην αναζήτηση του εισερχόμενου κώδικα, στον εντοπισμό ευεργετικών συνεισφορών και στη μείωση των προβλημάτων ασφάλειας, χωρίς να περιορίζει ποιος μπορεί να συνεισφέρει στο AOSP.
Το μεγαλύτερο μέρος του Έργου Ανοιχτού Κώδικα Android (AOSP) έχει άδεια χρήσης σύμφωνα με το Apache 2.0, πράγμα που σημαίνει ότι ο καθένας μπορεί να τροποποιήσει τον κώδικά του. Αυτός ο τύπος μοντέλου είναι που επιτρέπει επίσης στην AOSP να αναπτύσσεται μέσω εσωτερικών και εξωτερικών συνεισφορών. Η Google έχει αναπτύξει έναν οδηγό για να βοηθήσει τους ανθρώπους να κατανοήσουν πώς να συνεισφέρουν κώδικα στο AOSP, και μάλιστα χρησιμοποίησε μέρος αυτού του περιεχομένου για τη δημιουργία νέων λειτουργιών. Ωστόσο, ένα μειονέκτημα αυτής της προσέγγισης είναι ότι δίνει ταυτόχρονα στους κακούς ηθοποιούς έναν εύκολο τρόπο να εμποδίσουν ολόκληρο το σύστημα. Ως απάντηση στις ανησυχίες για την ασφάλεια, η Google αυξάνει τον έλεγχο της για τις εξωτερικές συνεισφορές.
Ειδικός Android
Ο Mishaal Rahman εξηγεί
ότι όλες οι εξωτερικές συνεισφορές κώδικα στο AOSP θα χρειάζονται πλέον δύο αναθεωρητές της Google για να τις ελέγξουν και να τις εγκρίνουν πριν από την υποβολή. Ο στόχος είναι να αποτραπούν τα τρωτά σημεία ασφαλείας και τα σφάλματα που είναι ενσωματωμένα στον κώδικα από το να περάσουν στο AOSP — όχι να περιοριστεί ποιος μπορεί να υποβάλει κώδικα στο AOSP. Στην πραγματικότητα, ο Rahman διευκρινίζει ότι οι μη υπάλληλοι της Google δεν περιλαμβάνονται στη μαύρη λίστα για να συνεισφέρουν. Αντίθετα, ο εξωτερικός κώδικας απλώς θα υπόκειται σε έλεγχο, δίνοντας σε όσους επηρεάζονται άμεσα την ευκαιρία να προσδιορίσουν εάν θα πρέπει να ενσωματωθεί. Είναι μια πιο ενδελεχής διαδικασία ελέγχου, αλλά τελικά βοηθά στην αναζήτηση του εισερχόμενου κώδικα, στον εντοπισμό του πιο ωφέλιμου και στη μείωση των προβλημάτων ασφαλείας. Κατά τη στιγμή της σύνταξης, η Google δεν είχε ακόμη απαντήσει σε αιτήματα για σχόλια σχετικά με την αλλαγή.
Πηγή: Google
Η νέα απαίτηση θα μπορούσε να αποτρέψει πολλά ζητήματα σχετικά με την ευπάθεια, τα οποία έχει αντιμετωπίσει η Google στο παρελθόν. Μόλις πέρυσι, ένα σφάλμα που ζούσε στο AOSP ανακαλύφθηκε και κατηγορήθηκε ότι δημιούργησε ένα ελάττωμα που επέτρεπε στους χάκερ να παρακάμψουν τις
οθόνες
κλειδώματος Android. Ο David Schütz ήταν ο υπεύθυνος για τον εντοπισμό του και έλαβε 70.000 $ από την Google για την αναφορά του.
Η Google έχει συγκεκριμένα ένα πρόγραμμα επιβράβευσης σφαλμάτων γνωστό ως Πρόγραμμα επιβράβευσης ευπάθειας (VRP), το οποίο ξεκίνησε το 2010. Έκτοτε, περισσότερα από 11.000 σφάλματα έχουν εντοπιστεί από άτομα που τα αναζητούν με αντάλλαγμα μετρητά. Η Google έχει πληρώσει εκατομμύρια δολάρια σε αυτούς τους sleuth όλα αυτά τα χρόνια, αλλά ίσως θα υπάρξει λιγότερη ανάγκη με την εφαρμογή της διαδικασίας ελέγχου.
Αν όντως βρείτε μια παρόρμηση να συμμετάσχετε στο κυνήγι, η Google έχει προχωρήσει μέχρι να δημιουργήσει
Πανεπιστήμιο Bug Hunter
, το οποίο παρέχει όλα όσα χρειάζεστε για να ξεκινήσετε. Μερικές από τις κύριες περιοχές όπου η Google χρειάζεται κυνηγούς είναι το Google
Cloud
(Agent Assist), το Android (εφαρμογές), το Google
Apps
Script Editor και το Bard. Υπάρχει επίσης ένας πίνακας κατάταξης όπου μπορείτε να δείτε πώς ανταποκρίνεστε σε άλλους κυνηγούς σφαλμάτων, εάν έχετε ένα ανταγωνιστικό σερί.
