来源: 时间:2023-01-21 19:35:05
Aarogya Setu迈出了一大步,向公众公开了该应用程序的Android版本的源代码。周二,Aarogya Setu团队宣布制作应用程序源代码,并为开发人员提供机会来审查代码并提出改进建议,并发现漏洞 (如果有)。该团队还宣布了一个bug赏金计划,因为Aarogya Setu团队希望与全国各地的开发人员合作,并使该应用程序健壮和安全。Aarogya Setu说: “那些识别漏洞,错误或代码改进的人也将获得认可并赢得现金奖励。”该国家计划的奖金为10万。
“我只想指出,这是一件非常独特的事情,” NITI Aayog首席执行官Amitabh Kant说。“世界上任何地方都没有其他政府产品在世界任何地方都有如此规模的开源。”
“AarogyaSetu应用程序的开发牢记“ 设计隐私原则 ”。尽管采取了最好的措施,但可能存在漏洞。当发现此类漏洞时,政府希望尽快了解这些漏洞,使其能够迅速采取行动修复这些漏洞,从而提高安全性。除了安全性之外,还鼓励为提高效率而更改代码的建议。印度政府表示。
要访问源代码,您需要前往https://github.com/nic-delhi/AarogyaSetu_Android并注册参加。在撰写本文时,该网站有76个问题和29个请求请求。支持开源开发的过程将由国家信息中心 (NIC) 管理,所有代码建议将通过拉取请求审查进行处理。
阅读中心转变立场,发布Aarogya Setu应用程序的源代码
在向开发者社区开放消息来源时,印度政府表示,此举标志着他们对透明度和协作原则的持续承诺。“随着公共领域源代码的发布,我们希望扩大合作,并利用我们国家有才华的青年和公民中的顶尖技术人才的专业知识,并共同建立一个强大而安全的技术解决方案,以帮助支持一线卫生工作者抗击这一流行病的工作,” Aarogya Setu团队指出。
政府还宣布,iOS和KiOS版本的Aarogya Setu应用程序将在未来两周内以开源形式发布,服务器代码也将随后发布。在说明首先发布Android代码的原因时,政府表示,Aarogya Setu应用程序的近98% 用户使用Android手机。
阅读Aarogya Setu: 谁可以访问您的数据,何时访问?
在赏金计划的帮助下,印度政府旨在与安全研究人员和印度开发人员社区合作,以测试Aarogya Setu的安全有效性,并改善和增强其安全性并建立用户信任。bug赏金计划将由MyGov团队主持,将使安全研究人员能够利用10万卢比的赏金在应用程序中查找安全漏洞。政府还宣布了另一笔10万卢比的代码改进赏金。
要参与所有人,包括研究人员和Aarogya Setu应用程序的用户,将需要查找并报告影响应用程序隐私和信息安全态势的任何漏洞。然后,将需要通知安全研究人员发现的任何与安全或隐私相关的缺陷,以[email protected]主题行 “安全漏洞报告”。“这样做将被称为 '负责任披露',只有这种负责任的披露才有资格获得奖励。”
法官B N Srikrishna说,阅读强制使用Aarogya Setu应用程序是非法的
为了向源代码报告改进,用户或研究人员或开发人员也可以向[email protected]报告,主题行为 “代码改进”。安全研究人员将需要彻底记录调查结果。值得注意的是,具有完整漏洞详细信息 (包括pOC的屏幕截图或视频) 的报告对于有资格获得奖励至关重要。Aarogya Setu小组将与研究人员联系,以确认他们已收到报告。
然后将通知研究人员进行补救,并可能会提出问题或澄清。AarogyaSetu团队将努力进行必要的改进和补救,以修复该漏洞。
阅读Aarogya Setu可能很快就会预先安装在智能手机中
并非每个人都有资格获得奖励。值得注意的是,只有符合以下资格要求的提交材料才能获得奖励:
1) 漏洞必须是合格的漏洞,因此研究人员必须注意这一点。2) 安全研究人员不得在解决之前公开披露漏洞。3) 报告漏洞改进的研究人员不应为AarogyaSetu项目或其相关活动或倡议工作。4) 国家员工 (包括其家庭成员) 信息中心 (NIC) 和电子与信息技术部 (MeitY) 及其组成组织不符合资格。
有关bug赏金计划的更多详细信息,请访问MyGov网站。
相关推荐
猜你喜欢
