Onze beveiligingspreview-releases hebben sinds september 2025 de beveiligingspatches van december 2025 voor het Android Open Source Project geleverd. De beveiligingspatches van december 2025 zijn nu openbaar en worden geïntegreerd in onze reguliere releases, terwijl onze beveiligingspreview's tot maart 2026 lopen.

Een aantal van de patches die eerder gepland waren voor december 2025 zijn optioneel gemaakt en uitgesteld naar toekomstige maanden, zodat ze niet in het openbare bulletin worden vermeld. Daarom bevatten zelfs onze beveiligingspreview-releases van september 2025 CVE's die in december 2025 nog steeds niet openbaar zijn.

De reden dat patches worden uitgesteld, is omdat OEM's niet in staat zijn om patches snel te integreren, te testen en te verzenden. Wanneer er problemen worden vastgesteld, waaronder dat een OEM er moeite mee heeft, zullen ze het vaak uitstellen naar een toekomstige maand. Onze beveiligingsvooruitzichten kunnen deze blijven verzenden.

GrapheneOS is het enige op Android gebaseerde besturingssysteem dat de volledige beveiligingspreviewpatches biedt. Samsung levert een klein subset van hun vlaggenschipapparaten. Pixel stock OS krijgt een deel ervan vroeg, maar we zijn niet zeker hoeveel precies, aangezien ze hun richtlijnen voor het vermelden van patches niet volgen.

Het bieden van onze beveiligingspreviewpatches is veel werk voor ons. Het vereist een fulltime ontwikkelaar die een aanzienlijk deel van zijn tijd eraan besteedt. Het is moeilijk te begrijpen waarom grote bedrijven deze patches niet kunnen bijhouden, maar wat telt is dat we ze vroeg kunnen aanbieden.

Android-beveiligingspreviewpatches worden momenteel teruggevoerd naar Android 13, 14, 15 en 16. Aangezien GrapheneOS is gebaseerd op Android 16 QPR1, moeten we de patches van 16 naar 16 QPR1 doorvoeren. Ons begrip is dat ze ook gaan beginnen met het terugvoeren naar enkele kwartaalreleases.

Android 16 QPR2 lijkt de eerste kwartaalrelease van Android te zijn die zal worden geleverd door niet-Pixelapparaten. Als dat het geval is, moeten ze ook beginnen met het aanbieden van beveiligingspreviewpatches die teruggeplaatst zijn naar deze versie. Het is niet duidelijk of dit voor elke kwartaalrelease zal gebeuren.

Een aanzienlijk deel van de tijd die aan dit project wordt besteed, is een van de redenen waarom de ontwikkeling van GrapheneOS-functies is vertraagd. Het uitbreiden van onze servers en nu migreren van OVH is een andere reden. We zullen meer mensen aannemen en onze organisatiestructuur verbeteren om de zaken beter op gang te krijgen.

We zouden het zeer op prijs stellen als patches 1 week van tevoren aan OEM's bekendgemaakt zouden worden in plaats van 2-4 maanden van tevoren, zodat onze beveiligingspreview-releases slechts een week hoeven te bestaan en reguliere releases de patches veel sneller zouden ontvangen. OEM's zouden gewoon veel meer mensen moeten aannemen en het beter moeten doen.