Naše bezpečnostní preview verze poskytují od září 2025 bezpečnostní záplaty pro Android Open Source Project z prosince 2025. Bezpečnostní záplaty z prosince 2025 jsou nyní veřejné a integrovány do našich běžných verzí, zatímco bezpečnostní preview jsou dostupné do března 2026.

Řada patchů původně plánovaných na prosinec 2025 byla zvolená a odložena na budoucí měsíce, takže nejsou uvedena ve veřejném bulletinu. Proto i naše bezpečnostní preview verze v září 2025 uvádějí CVE, které v prosinci 2025 stále nejsou veřejné.

Důvod, proč se záplaty odkládají, je ten, že výrobci nejsou schopni rychle integrovat, testovat a dodat záplaty. Když se objeví problémy, včetně toho, že má OEM potíže, často to odloží na další měsíc. Naše bezpečnostní preview mohou tyto náhledy nadále rozesílat.

GrapheneOS je jediný operační systém založený na Androidu, který poskytuje kompletní bezpečnostní preview záplaty. Samsung dodává malou část svých vlajkových zařízení. Pixel stock OS dostane část z ní brzy, ale nejsme si jisti přesně kolik, protože nedodržují pokyny pro aktualizace na listování.

Poskytování našich bezpečnostních preview záplat je pro nás hodně práce. Vyžaduje to vývojáře na plný úvazek, který tomu věnuje významnou část svého času. Je těžké pochopit, proč velké firmy nedokážou držet krok s těmito záplatami, ale důležité je, že je můžeme poskytnout včas.

Bezpečnostní preview záplaty pro Android jsou v současnosti zpětně portovány na Android 13, 14, 15 a 16. Protože GrapheneOS je založen na Androidu 16 QPR1, musíme přesměrovat patche z 16 na 16 QPR1. Podle našich informací začnou také zpětně portovat na některá čtvrtletní vydání.

Android 16 QPR2 se zdá být prvním čtvrtletním vydáním Androidu, které bude dodáváno i na zařízeních mimo Pixel. Pokud je to tak, budou muset začít poskytovat bezpečnostní preview záplaty také zpětně přenesené na tento systém. Není jasné, zda to bude u každého čtvrtletního vydání.

Věnovat tomu značné množství času je jedním z důvodů, proč se vývoj funkcí GrapheneOS zpomalil. Další je rozšíření našich serverů a nyní migrace pryč od OVH. Najímáme více lidí a zlepšujeme organizační strukturu, aby věci plynuly rychleji.

Byli bychom mnohem raději, kdyby byly záplaty OEM zveřejňovány týden dopředu místo 2-4 měsíců dopředu, aby naše bezpečnostní preview verze musely existovat jen týden a běžné verze by měly záplaty mnohem rychleji. OEM by měli najímat mnohem více lidí a dělat to lépe.