Unsere Sicherheitsvorschau-Versionen haben seit September 2025 die Sicherheitsupdates für das Android Open Source Project für Dezember 2025 bereitgestellt. Die Sicherheitsupdates für Dezember 2025 sind jetzt öffentlich und werden in unsere regulären Versionen integriert, während unsere Sicherheitsvorschauen bis März 2026 verfügbar sind.

Eine Reihe der ursprünglich für Dezember 2025 geplanten Patches wurden optional gemacht und auf zukünftige Monate verschoben, sodass sie nicht im öffentlichen Bulletin aufgeführt sind. Deshalb listet sogar unser Sicherheitsvorschau-Release von September 2025 CVEs auf, die im Dezember 2025 noch nicht öffentlich sind.

Der Grund, warum Patches verschoben werden, ist, dass OEMs nicht in der Lage sind, Patches schnell zu integrieren, zu testen und zu versenden. Wenn Probleme identifiziert werden, einschließlich wenn ein OEM Schwierigkeiten damit hat, werden sie oft auf einen zukünftigen Monat verschoben. Unsere Sicherheitsvorschauen können weiterhin diese versenden.

GrapheneOS ist das einzige Android-basierte Betriebssystem, das die vollständigen Sicherheitsvorschau-Patches bereitstellt. Samsung liefert nur eine kleine Auswahl ihrer Flaggschiff-Geräte. Das Pixel-Stock-Betriebssystem erhält einen Teil davon frühzeitig, aber wir sind uns nicht sicher, wie viel genau, da sie ihre Richtlinien zur Auflistung der Patches nicht einhalten.

Die Bereitstellung unserer Sicherheitsvorschau-Patches ist für uns viel Arbeit. Es erfordert einen Vollzeitentwickler, der einen erheblichen Teil seiner Zeit dafür aufwendet. Es ist schwer zu verstehen, warum große Unternehmen mit diesen Patches nicht Schritt halten können, aber was zählt, ist, dass wir sie frühzeitig bereitstellen können.

Die Sicherheits-Patches für Android-Preview werden derzeit auf Android 13, 14, 15 und 16 zurückportiert. Da GrapheneOS auf Android 16 QPR1 basiert, müssen wir die Patches von 16 auf 16 QPR1 vorwärtsportieren. Unserem Verständnis nach werden sie auch beginnen, einige vierteljährliche Releases zurückzuprogrammieren.

Android 16 QPR2 scheint die erste vierteljährliche Veröffentlichung von Android zu sein, die auch auf Nicht-Pixel-Geräten ausgeliefert wird. Wenn das der Fall ist, müssen sie auch Sicherheitsvorschau-Patches bereitstellen, die dafür zurückportiert werden. Es ist unklar, ob dies für jede vierteljährliche Veröffentlichung geschehen wird.

Ein erheblicher Teil der Zeit, die wir damit verbringen, ist ein Grund, warum die Entwicklung von GrapheneOS-Funktionen langsamer geworden ist. Die Erweiterung unserer Server und die Migration von OVH sind ein weiterer Grund. Wir werden mehr Leute einstellen und unsere Organisationsstruktur verbessern, um die Dinge besser voranzubringen.

Wir würden es sehr bevorzugen, wenn Patches 1 Woche im Voraus an OEMs offengelegt werden, anstatt 2-4 Monate im Voraus, damit unsere Sicherheitsvorschau-Versionen nur eine Woche lang existieren müssten und reguläre Versionen die Patches viel schneller erhalten würden. OEMs sollten einfach viel mehr Leute einstellen und es besser machen.