- Google прекратила публиковать в открытом доступе информацию об исправлениях уязвимостей в Android и перешла на закрытую схему распространения патчей.
- Исправления безопасности теперь предоставляются OEM-производителям по неразглашению с трехмесячным эмбарго на раскрытие исходного кода патчей.
- Проект GrapheneOS нашёл партнёра среди OEM-поставщиков для получения закрытых патчей и будет выпускать две версии сборок — с открытым исходным кодом и с закрытыми исправлениями.
Компания Google изменила свою политику публикации исправлений уязвимостей для платформы Android, отказавшись от открытого Bulletins Security и перейдя к распространению патчей по закрытым каналам. Последний отчёт об уязвимостях Android за октябрь 2025 года оказался полностью пустым, что резко контрастирует с сентябрьским докладом, в котором было опубликовано описание 114 уязвимостей. В Google объяснили это переходом к модели сотрудничества с производителями устройств (OEM) на условиях неразглашения информации.
Согласно новым правилам, патчи безопасности теперь предоставляются OEM-партнёрам по закрытым каналам с обязательным соглашением о секретности, которое запрещает публиковать исходный код с применёнными патчами на протяжении трёх месяцев с момента получения. В течение этого периода распространение разрешено только в виде бинарных сборок. Формально исходный код исправлений остается под открытой лицензией Apache, однако накладывается временный режим ограничения на распространение, призванный повысить безопасность за счёт ограничения информации об уязвимостях — своего рода реализация концепции «Безопасность через неясность».
Эти изменения создают серьезные препятствия для сторонних открытых прошивок, таких как GrapheneOS, которая ориентирована на безопасность и конфиденциальность в экосистеме Android. Команда проекта сообщила, что им удалось найти обходное решение: один из OEM-производителей согласился предоставить закрытые патчи от Google до официального публичного раскрытия. Это позволяет GrapheneOS выпускать обновления с включёнными закрытыми исправлениями.
Для сохранения прозрачности и возможности использования полностью свободных сборок GrapheneOS планирует поддерживать два канала релизов. Первый будет содержать полностью воспроизводимые сборки на основе AOSP без закрытых исправлений безопасности. Второй — со сборками, включающими патчи Google, исходный код которых станет публичным лишь после истечения трёхмесячного эмбарго.
Таким образом, с одной стороны, новая политика Google направлена на улучшение безопасности платформы через ограничение информации, с другой — вызывает сложности для сообщества открытого программного обеспечения, заставляя искать новые пути для обеспечения своевременного обновления и исправления уязвимостей в альтернативных Android-решениях.
