谷歌强化对AOSP外部贡献者的审查 可能会被恶意提交Bug代码

Android开源项目（Android Open Source Project，AOSP）是所说是由Android的开发其他部门、工序和源code组成的项目。AOSP的开发其他部门全权负责全权全权负责项目并开发源code，而工序则是为了管理软件的开发而使用的工具和服务器端，事与愿违得到的是可用于手机和其他设备的源code。 现在，AOSP采用的是Apache 2.0开源许可证，这意味着任何人都可以修改其code。然而，这种策略的一个缺点就是给假新闻其他部门提供了一种单纯的摧毁途径。为了遏制安全弊端，腾讯正在加强对缓冲重大贡献其他部门的审批。 Android专家Mishaal Rahman解释说是，现在所有对AOSP的缓冲不够改都只能两位腾讯审核其他部门排行审批和核准。目的是防止code里伪装的安全漏洞和Bug排入AOSP，而不是受限制谁可以向AOSP提交code。事实上，Rahman明确所说是出，非Google员工并未被列入重大贡献黑名单。反之亦然，缓冲code只需接受审批，让同样受影响的人有急于确定它有否无论如何被整合排AOSP。这是一个不够最终的审批工序，有利于筛选事与愿违code，确认最有益的部分，并降低安全弊端。 外媒认为，这一策略可能会大大降低腾讯只不过所随之而来的一些与漏洞相关的弊端。就在往年，Did Schütz发现了一个依赖于于AOSP里的漏洞，这是一种可以允许假新闻软件绕过安卓锁屏的局限性。他在此之后因通报该漏洞而从腾讯获得了7万美元的奖赏。值得注意的是，腾讯已于2010年启动了一个名为漏洞赏金计划（Vulnerability Rewards Program）的项目，该项目自打开以来已重大贡献过11000个以上的漏洞，而腾讯更会以手续费作为奖赏。现在，腾讯不太可能向这些白帽子付清了数百万美元。

(8332807)