非Googler貢獻的AOSP修補程式碼需經2人審核

為了提升Android核心安全性，Google將強化Android Open Source Project（AOSP）的外部修補程式碼貢獻審核，未來都需經由2名Google員工簽核同意才能成為修補程式。

大部份AOSP專案都是以Apache 2.0授權，意謂著任何人都能修改程式碼。這開放性使眾多開發人員都能貢獻程式碼到AOSP專案，而Google一些新功能也來自AOSP。但部落格Patreon Mishaal Rahman報導，Google對AOSP修補程式的審查更為嚴格。過去外部開發人員撰寫的修補程式只需經一位Google員工審查，但消息人士透露，從下個月開始，非Googler貢獻的AOSP修補程式碼，必須獲得2名Google內部審查員同意才能上傳。

至於Google員工撰寫的修補程式，則會由所修補的元件相關部門一名成員審核，才能整合到程式碼中。

最新措施是為了提升AOSP軟體供應鏈的安全性，以防止在修補程式整合到AOSP過程中，有意或無心把漏洞或惡意程式加入核心程式碼。根據Google自己的統計，去年安全研究界在Android上發現的漏洞中，光零時差漏洞就有41個，還不包含使用者遲遲未更新修補的已知漏洞。

Android Police報導2010年起，Google透過抓漏獎勵計畫，揪出1.1萬個漏洞，近年Google發出的獎金已達到數百萬美元。一名研究人員發現一項存在Android的漏洞，能讓攻擊者繞過Android生物辨識（如指紋）鎖定，而完全接管手機，獲頒獎金7萬美元。