Nasze wersje zapoznawcze zabezpieczeń dostarczyły poprawki zabezpieczeń z grudnia 2025 roku dla projektu Android Open Source od września 2025 roku. Poprawki zabezpieczeń z grudnia 2025 roku są już publiczne i są integrowane z naszymi regularnymi wydaniami, podczas gdy nasze zapowiedzi zabezpieczeń mają ważność do marca 2026 roku.

Wiele poprawek wcześniej zaplanowanych na grudzień 2025 zostało uczynionych opcjonalnymi i odłożonych na przyszłe miesiące, więc nie są wymienione w publicznym biuletynie. Dlatego nawet nasze wydania zapowiedzi zabezpieczeń z września 2025 zawierają CVE, które w grudniu 2025 wciąż nie są publiczne.

Powodem, dla którego poprawki są odkładane, jest to, że producenci sprzętu (OEM) nie są w stanie szybko integrować, testować i wysyłać poprawek. Gdy zidentyfikowane zostaną problemy, w tym trudności ze strony OEM, często odkładają je na przyszły miesiąc. Nasze zapowiedzi zabezpieczeń mogą nadal wysyłać te poprawki.

GrapheneOS jest jedynym systemem operacyjnym opartym na Androidzie, który dostarcza pełne poprawki zabezpieczeń w wersji zapoznawczej. Samsung wysyła mały zestaw swoich flagowych urządzeń. System operacyjny Pixel stock otrzymuje część z nich wcześniej, ale nie jesteśmy pewni dokładnie ile, ponieważ nie przestrzegają swoich wytycznych dotyczących listowania poprawek.

Dostarczanie naszych poprawek zabezpieczeń to dla nas dużo pracy. Wymaga to pełnoetatowego programisty, który spędza znaczną część swojego czasu na tym. Trudno zrozumieć, dlaczego duże firmy nie mogą nadążyć za tymi poprawkami, ale najważniejsze jest to, że możemy je dostarczać wcześnie.

Łaty zabezpieczeń Androida w wersji preview są obecnie przenoszone do Androida 13, 14, 15 i 16. Ponieważ GrapheneOS oparty jest na Androidzie 16 QPR1, musimy przenieść łaty z 16 do 16 QPR1. Nasze zrozumienie jest takie, że zaczną również przenosić do niektórych kwartalnych wydań.

Android 16 QPR2 wydaje się być pierwszym kwartalnym wydaniem Androida, które będzie dostarczane przez urządzenia niebędące Pixelami. Jeśli tak się stanie, będą musieli również zacząć dostarczać poprawki zabezpieczeń w wersji backportowanej do tego wydania. Nie jest jasne, czy to się zdarzy w przypadku każdego kwartalnego wydania.

Spędzanie znacznej ilości czasu na tym jest częścią powodu, dla którego rozwój funkcji GrapheneOS spowolnił. Rozszerzenie naszych serwerów i teraz migracja z OVH to kolejny powód. Zatrudnimy więcej osób i poprawimy naszą strukturę organizacyjną, aby lepiej zorganizować pracę.

Bardzo wolelibyśmy, aby łatki były ujawniane producentom sprzętu (OEM) tydzień wcześniej zamiast 2-4 miesięcy wcześniej, aby nasze wydania zapowiedzi zabezpieczeń musiały istnieć tylko przez tydzień, a regularne wydania otrzymywałyby łatki znacznie szybciej. Producenci sprzętu powinni po prostu zatrudnić znacznie więcej ludzi i robić to lepiej.