Résumé
- Google examine de plus près les contributions externes au projet Android Open Source (AOSP) afin d’empêcher que des failles de sécurité et des bugs ne parviennent à l’AOSP.
- Toutes les contributions de code externes à AOSP nécessitent désormais l’approbation de deux réviseurs Google.
- Le processus de révision permet de passer au crible le code entrant, d’identifier les contributions bénéfiques et de réduire les problèmes de sécurité, sans limiter les personnes pouvant contribuer à l’AOSP.
La plupart des Android Open source Project (AOSP) est sous licence Apache 2.0, ce qui signifie que n’importe qui peut modifier son code. C’est ce type de modèle qui permet également à l’AOSP de se développer grâce à des contributions internes et externes. Google a développé un guide pour aider les utilisateurs à comprendre comment contribuer au code AOSP, et a même utilisé une partie de ce contenu pour créer de nouvelles fonctionnalités. Cependant, l’un des inconvénients de cette approche est qu’elle donne simultanément aux mauvais acteurs un moyen simple de contrecarrer l’ensemble du système. En réponse à des problèmes de sécurité, Google augmente son contrôle des contributions externes.
Expert Android Mishaal Rahman explique que toutes les contributions de code externes à AOSP auront désormais besoin de deux réviseurs Google pour les examiner et les approuver avant leur soumission. L’objectif est d’empêcher les vulnérabilités de sécurité et les bogues intégrés dans le code d’atteindre l’AOSP, sans limiter le nombre de personnes pouvant soumettre du code à l’AOSP. En fait, Rahman précise que les non-Googleurs ne sont pas mis sur liste noire pour contribuer. Au lieu de cela, le code externe sera simplement soumis à un examen, donnant aux personnes directement concernées la possibilité de déterminer s’il doit être intégré. Il s’agit d’un processus de vérification plus approfondi, mais il permet en fin de compte de passer au crible le code entrant, d’identifier ce qui serait le plus bénéfique et de réduire les problèmes de sécurité. Au moment de la rédaction de cet article, Google n’avait pas encore répondu aux demandes de commentaires sur le changement.
La nouvelle exigence pourrait éviter plusieurs problèmes de vulnérabilité auxquels Google a été confronté dans le passé. Juste l’année dernière, un bug vivant au sein d’AOSP a été découvert et accusé d’avoir créé une faille permettant aux pirates informatiques de contourner les écrans de verrouillage Android. David Schütz était la personne responsable de sa détection et il a reçu 70 000 $ de Google pour l’avoir signalé.
Google a notamment un programme de bug bounty connu sous le nom de Vulnerability Rewards Program (VRP), lancé en 2010. Depuis lors, plus de 11 000 bugs ont été repérés par des personnes qui les recherchaient en échange d’argent. Google a versé des millions de dollars à ces détectives au fil des ans, mais le processus d’examen en sera peut-être moins nécessaire.
Si vous ressentez une envie de vous joindre à la chasse, Google est allé jusqu’à créer Université des chasseurs d’insectes, qui fournit tout ce dont vous avez besoin pour commencer. Certains des principaux domaines dans lesquels Google a besoin de chasseurs sont Google Cloud (Agent Assist), Android (applications), Google Apps Script Editor et Bard. Il existe également un classement dans lequel vous pouvez voir comment vous vous situez par rapport aux autres chasseurs de bogues, si vous avez un côté compétitif.