Google اکنون به بررسی مشارکت های خارجی AOSP نیاز دارد
خلاصه
- Google در حال افزایش بررسی مشارکتهای خارجی در پروژه منبع باز Android (AOSP) است تا از ایجاد آسیبپذیریها و اشکالات امنیتی به AOSP جلوگیری کند.
- همه مشارکتهای کد خارجی به AOSP اکنون به تأیید دو بازبین Google نیاز دارند.
- فرآیند بررسی به غربال کردن کدهای دریافتی، شناسایی مشارکتهای مفید و کاهش مشکلات امنیتی کمک میکند، بدون اینکه محدودیتی برای کمک به AOSP ایجاد کند.
بیشتر پروژه منبع باز Android (AOSP) تحت مجوز Apache 2.0 است، به این معنی که هر کسی بتواند کد آن را تغییر دهد. این نوع مدل است که به AOSP اجازه می دهد تا از طریق مشارکت های داخلی و خارجی به طور یکسان رشد کند. گوگل یک راهنمای برای کمک به مردم برای درک نحوه مشارکت کد در AOSP ایجاد کرده است و حتی از برخی از این محتوا برای ایجاد ویژگیهای جدید استفاده کرده است. با این حال، یکی از اشکالات این رویکرد این است که به طور همزمان به بازیگران بد یک راه آسان برای خنثی کردن کل سیستم می دهد. در پاسخ به نگرانیهای امنیتی، Google در حال افزایش نظارت بر مشارکتهای خارجی است.
کارشناس اندروید میشال رحمان توضیح میدهد اینکه همه مشارکتهای کد خارجی در AOSP اکنون به دو بازبین Google برای بررسی و تأیید آنها قبل از ارسال نیاز دارند. هدف این است که از ایجاد آسیبپذیریهای امنیتی و باگهای تعبیهشده در کد به AOSP جلوگیری شود – نه محدود کردن افرادی که میتوانند کد را به AOSP ارسال کنند. در واقع، رحمان مشخص میکند که افراد غیر Google برای مشارکت در لیست سیاه قرار نمیگیرند. در عوض، کد خارجی به سادگی مورد بررسی قرار می گیرد و به افرادی که مستقیماً تحت تأثیر قرار می گیرند فرصتی می دهد تا تعیین کنند که آیا باید یکپارچه شود یا خیر. این یک فرآیند بررسی دقیقتر است، اما در نهایت به بررسی کدهای دریافتی، شناسایی مواردی که بیشتر سودمند است و کاهش مشکلات امنیتی کمک میکند. در زمان نگارش این مقاله، Google هنوز به درخواستهای نظر درباره این تغییر پاسخ نداده است.
منبع: Google
نیاز جدید میتواند از چندین مشکل پیرامون آسیبپذیری که Google در گذشته با آنها مواجه بوده است، جلوگیری کند. همین سال گذشته، یک اشکال زندگی می کند درون AOSP کشف شد و به دلیل ایجاد نقصی که به هکرها اجازه میداد از صفحههای قفل اندروید دور بزنند، خطا شد. دیوید شوتز مسئول تشخیص آن بود و برای گزارش آن 70000 دلار از Google دریافت کرد.
Google دارای برنامه پاداش اشکال معروف به برنامه پاداش آسیب پذیری (VRP)، که در سال 2010 راه اندازی شد. از آن زمان تاکنون، بیش از 11000 اشکال توسط افرادی که در جستجوی آنها هستند در معاوضه با پول نقد Google در طول سالها میلیونها دلار به این کاراگاهها پرداخت کرده است، اما شاید نیاز کمتری به فرآیند بررسی وجود داشته باشد.
اگر تمایلی برای پیوستن به شکار پیدا کردید، Google تا آنجا پیش رفته که دانشگاه شکارچی اشکال، که همه چیزهایی را که برای شروع نیاز دارید فراهم می کند. برخی از مناطق اصلی که گوگل به شکارچیان نیاز دارد عبارتند از Google Cloud (Agent Assist)، اندروید (برنامهها)، ویرایشگر Google Apps Script و Bard. همچنین یک تابلوی امتیازات وجود دارد که در آن میتوانید ببینید که چگونه در مقابل سایر شکارچیان اشکال قرار میگیرید، در صورتی که رقابتی دارید.
