Nos versions de prévisualisation de sécurité ont fourni les correctifs de sécurité de décembre 2025 pour le projet Android Open Source depuis septembre 2025. Les correctifs de sécurité de décembre 2025 sont désormais publics et sont intégrés dans nos versions régulières tandis que nos prévisualisations de sécurité vont jusqu'en mars 2026.

Un certain nombre de correctifs initialement prévus pour décembre 2025 ont été rendus optionnels et reportés à des mois futurs, donc ils ne figurent pas dans le bulletin public. C'est pourquoi même nos versions de prévisualisation de sécurité de septembre 2025 listent des CVE qui ne sont toujours pas publics en décembre 2025.

La raison pour laquelle les correctifs sont reportés est que les OEM ne sont pas capables d'intégrer, de tester et d'expédier rapidement les correctifs. Lorsque des problèmes sont identifiés, y compris un OEM ayant des difficultés avec cela, ils le reportent souvent à un mois futur. Nos aperçus de sécurité peuvent continuer à expédier ceux-ci.

GrapheneOS est le seul système d'exploitation basé sur Android à fournir l'intégralité des correctifs de sécurité en avant-première. Samsung expédie un petit sous-ensemble de ses appareils phares. Le système d'exploitation stock de Pixel reçoit une partie de ces correctifs en avance, mais nous ne sommes pas sûrs exactement de la quantité, car ils ne suivent pas leurs directives pour l'énumération des correctifs.

Fournir nos correctifs de sécurité en avant-première est un travail considérable pour nous. Cela nécessite un développeur à temps plein consacrant une part significative de son temps à cela. Il est difficile de comprendre pourquoi les grandes entreprises ne peuvent pas suivre ces correctifs, mais ce qui compte, c'est que nous pouvons les fournir tôt.

Les correctifs de sécurité Android Preview sont actuellement des rétroportages vers Android 13, 14, 15 et 16. Étant donné que GrapheneOS est basé sur Android 16 QPR1, nous devons faire un portage des correctifs de 16 vers 16 QPR1. Notre compréhension est qu'ils vont également commencer à rétroporter vers certaines versions trimestrielles.

Android 16 QPR2 semble être le premier lancement trimestriel d'Android qui sera expédié par des appareils non-Pixel. Si c'est le cas, ils devront également commencer à fournir des correctifs de sécurité en avant-première rétroportés. Il n'est pas clair si cela se produira pour chaque lancement trimestriel.

Passer un temps significatif sur cela fait partie de la raison pour laquelle le développement des fonctionnalités de GrapheneOS a ralenti. L'expansion de nos serveurs et maintenant la migration loin d'OVH en est une autre. Nous allons embaucher plus de personnes et améliorer notre structure organisationnelle pour faire avancer les choses.

Nous préférerions largement que les correctifs soient divulgués aux OEM une semaine à l'avance au lieu de 2 à 4 mois à l'avance, afin que nos versions de prévisualisation de sécurité n'aient besoin d'exister que pendant une semaine et que les versions régulières reçoivent les correctifs beaucoup plus rapidement. Les OEM devraient simplement embaucher beaucoup plus de personnes et faire mieux.