Våre sikkerhetsforhåndsvisninger har siden september 2025 gitt desember 2025-sikkerhetsoppdateringene for Android Open Source Project. Sikkerhetsoppdateringer for desember 2025 er nå offentlige og integreres i våre vanlige utgivelser, mens våre sikkerhetsforhåndsvisninger er tilgjengelige frem til mars 2026.

En rekke av oppdateringene som tidligere var planlagt til desember 2025, ble gjort valgfrie og utsatt til fremtidige måneder, så de er ikke oppført i det offentlige bulletinet. Derfor lister til og med våre sikkerhetsforhåndsvisninger fra september 2025 CVE-er som fortsatt ikke er offentlige i desember 2025.

Grunnen til at oppdateringer blir utsatt er at OEM-er ikke er i stand til å raskt integrere, teste og sende oppdateringer. Når det oppdages problemer, inkludert at en OEM har problemer med det, utsetter de det ofte til en fremtidig måned. Våre sikkerhetsforhåndsvisninger kan fortsette å sende disse.

GrapheneOS er det eneste Android-baserte operativsystemet som tilbyr fullstendige sikkerhetsforhåndsoppdateringer. Samsung leverer et lite utvalg av sine flaggskipenheter. Pixel Stock OS får en del av det tidlig, men vi er ikke helt sikre på hvor mye siden de ikke følger retningslinjene for å liste patcher.

Å tilby våre sikkerhetsforhåndsvisningsoppdateringer er mye arbeid for oss. Det krever at en heltidsutvikler bruker en betydelig del av tiden sin på det. Det er vanskelig å forstå hvorfor store selskaper ikke klarer å holde tritt med disse oppdateringene, men det som betyr noe er at vi kan levere dem tidlig.

Android-sikkerhetsforhåndsoppdateringer er for øyeblikket tilbakeportet til Android 13, 14, 15 og 16. Siden GrapheneOS er basert på Android 16 QPR1, må vi overføre patchene fra 16 til 16 QPR1. Vår forståelse er at de også vil begynne å backporte til noen kvartalsvise utgivelser.

Android 16 QPR2 ser ut til å være den første kvartalsvise utgivelsen av Android som skal leveres av ikke-Pixel-enheter. Hvis det er tilfellet, må de begynne å tilby sikkerhetsforhåndsoppdateringer som er backportet til den også. Det er uklart om det vil skje for hver kvartalsutgivelse.

Å bruke betydelig tid på dette er en del av grunnen til at utviklingen av GrapheneOS-funksjoner har gått tregere. Å utvide serverne våre og nå migrere bort fra OVH er en annen. Vi vil ansette flere folk og forbedre organisasjonsstrukturen vår for å få ting til å gå bedre.

Vi foretrekker sterkt at oppdateringer blir offentliggjort til OEM-er én uke i forveien i stedet for 2-4 måneder i forveien, slik at våre sikkerhetsforhåndsvisninger bare trenger å eksistere i en uke, og vanlige utgivelser får oppdateringene mye raskere. OEM-er bør bare ansette langt flere folk og gjøre det bedre.