Nossas versões pré-visualizadas de segurança fornecem os patches de segurança de dezembro de 2025 para o Projeto Android Open Source desde setembro de 2025. Os patches de segurança de dezembro de 2025 agora são públicos e estão sendo integrados aos nossos lançamentos regulares, enquanto nossas prévias de segurança são até março de 2026.

Vários dos patches previamente programados para dezembro de 2025 foram tornados opcionais e adiados para meses futuros, então não estão listados no boletim público. Por isso, até mesmo nossos lançamentos de prévia de segurança de setembro de 2025 listam CVEs que ainda não são públicos em dezembro de 2025.

O motivo pelo qual os patches são adiados é porque os OEMs não conseguem integrar, testar e enviar patches rapidamente. Quando são identificados problemas, incluindo um fabricante com dificuldade, eles geralmente adiam para um mês futuro. Nossas prévias de segurança podem continuar enviando essas imagens.

O GrapheneOS é o único sistema operacional baseado em Android que oferece os patches completos de prévia de segurança. A Samsung entrega um pequeno subconjunto de seus dispositivos topo de linha. O sistema operacional original do Pixel recebe uma parte dele cedo, mas não temos certeza exatamente de quanto, já que eles não seguem as diretrizes para anúncios de patches.

Fornecer nossos patches de prévia de segurança é muito trabalho para nós. Isso exige que um desenvolvedor em tempo integral dedique uma fração significativa do tempo ao projeto. É difícil entender por que grandes empresas não conseguem acompanhar esses patches, mas o que importa é que podemos fornecê-los cedo.

Os patches de prévia de segurança do Android atualmente são backports para Android 13, 14, 15 e 16. Como o GrapheneOS é baseado no Android 16 QPR1, precisamos encaminhar os patches do 16 para o 16 QPR1. Pelo que entendemos, eles também vão começar a fazer backport para algumas versões trimestrais.

O Android 16 QPR2 parece ser o primeiro lançamento trimestral do Android que será distribuído por dispositivos que não sejam Pixel. Se for esse o caso, eles também precisarão começar a fornecer patches de prévia de segurança repassados para ele. Não está claro se isso acontecerá em todos os lançamentos trimestrais.

Dedicar uma quantidade significativa de tempo a isso é parte da razão pela qual o desenvolvimento de recursos do GrapheneOS desacelerou. Expandir nossos servidores e agora migrar para longe do OVH é outra. Vamos contratar mais pessoas e melhorar a estrutura da organização para fazer as coisas andarem melhor.

Preferiríamos muito mais que os patches fossem divulgados aos OEMs com uma semana de antecedência, em vez de 2-4 meses antes, para que nossos lançamentos de prévia de segurança precisassem existir por apenas uma semana e os lançamentos regulares recebessem os patches muito mais rápido. Os fabricantes deveriam simplesmente contratar muito mais pessoas e fazer melhor.