Le nostre versioni di anteprima della sicurezza hanno fornito le patch di sicurezza di dicembre 2025 per il Progetto Open Source Android da settembre 2025. Le patch di sicurezza di dicembre 2025 sono ora pubbliche e vengono integrate nelle nostre versioni regolari, mentre le nostre anteprime di sicurezza si estendono fino a marzo 2026.

Un gruppo di patch precedentemente programmate per dicembre 2025 è stato reso facoltativo e rinviato ai mesi futuri, quindi non sono elencate nel bollettino pubblico. Ecco perché anche le nostre versioni di anteprima della sicurezza di settembre 2025 elencano CVE che non sono ancora pubblici a dicembre 2025.

Il motivo per cui le patch vengono rinviate è che gli OEM non sono in grado di integrare, testare e spedire rapidamente le patch. Quando vengono identificati problemi, incluso il fatto che un OEM ha difficoltà con essi, spesso li rinviano a un mese futuro. Le nostre anteprime di sicurezza possono continuare a spedire queste.

GrapheneOS è l'unico sistema operativo basato su Android che fornisce tutte le patch di sicurezza in anteprima. Samsung spedisce un piccolo sottoinsieme dei loro dispositivi di punta. Il sistema operativo stock di Pixel riceve una parte di queste patch in anticipo, ma non siamo sicuri esattamente di quanto, poiché non seguono le loro linee guida per l'elenco delle patch.

Fornire le nostre patch di anteprima della sicurezza è un lavoro molto impegnativo per noi. Richiede uno sviluppatore a tempo pieno che dedichi una frazione significativa del proprio tempo a questo. È difficile capire perché le grandi aziende non riescano a tenere il passo con queste patch, ma ciò che conta è che possiamo fornirle in anticipo.

Le patch di sicurezza di Android Preview sono attualmente retroportate su Android 13, 14, 15 e 16. Poiché GrapheneOS è basato su Android 16 QPR1, dobbiamo portare avanti le patch da 16 a 16 QPR1. La nostra comprensione è che inizieranno a retroportare anche alcune versioni trimestrali.

Android 16 QPR2 sembra essere il primo rilascio trimestrale di Android che verrà distribuito su dispositivi non Pixel. Se è così, dovranno iniziare a fornire anche le patch di anteprima di sicurezza retroportate. Non è chiaro se ciò accadrà per ogni rilascio trimestrale.

Dedicarci un tempo significativo a questo è parte del motivo per cui lo sviluppo delle funzionalità di GrapheneOS è rallentato. Espandere i nostri server e ora migrare da OVH è un altro motivo. Assumeremo più persone e miglioreremo la nostra struttura organizzativa per far muovere le cose meglio.

Preferiremmo di gran lunga che le patch venissero comunicate agli OEM con 1 settimana di anticipo invece di 2-4 mesi, in modo che le nostre versioni di anteprima della sicurezza debbano esistere solo per una settimana e le versioni regolari ricevano le patch molto più rapidamente. Gli OEM dovrebbero semplicemente assumere molte più persone e fare meglio.