As nossas versões de pré-visualização de segurança forneceram os patches de segurança de dezembro de 2025 para o Projeto de Código Aberto Android desde setembro de 2025. Os patches de segurança de dezembro de 2025 estão agora públicos e a serem integrados nas nossas versões regulares, enquanto as nossas pré-visualizações de segurança vão até março de 2026.

Um conjunto de correções anteriormente agendadas para dezembro de 2025 foi tornado opcional e adiado para meses futuros, por isso não estão listadas no boletim público. É por isso que até mesmo as nossas versões de pré-visualização de segurança de setembro de 2025 listam CVEs que ainda não são públicas em dezembro de 2025.

A razão pela qual os patches são adiados é porque os OEMs não são capazes de integrar, testar e enviar patches rapidamente. Quando problemas são identificados, incluindo um OEM tendo dificuldades com isso, eles frequentemente o adiam para um mês futuro. Nossas prévias de segurança podem continuar a enviar estes.

O GrapheneOS é o único sistema operativo baseado em Android que fornece os patches de segurança completos. A Samsung envia um pequeno subconjunto dos seus dispositivos topo de gama. O sistema operativo stock do Pixel recebe uma parte disso mais cedo, mas não temos certeza exatamente de quanto, uma vez que não seguem as suas diretrizes para listar os patches.

Fornecer os nossos patches de segurança é um trabalho árduo para nós. Requer um desenvolvedor em tempo integral a gastar uma fração significativa do seu tempo nisso. É difícil entender por que grandes empresas não conseguem acompanhar esses patches, mas o que importa é que conseguimos fornecê-los cedo.

Os patches de pré-visualização de segurança do Android estão atualmente a ser retroportados para o Android 13, 14, 15 e 16. Como o GrapheneOS é baseado no Android 16 QPR1, precisamos de fazer a retroportação dos patches do 16 para o 16 QPR1. A nossa compreensão é que eles vão começar a retroportar também para algumas versões trimestrais.

O Android 16 QPR2 parece ser o primeiro lançamento trimestral do Android que será enviado por dispositivos que não são da linha Pixel. Se esse for o caso, eles precisarão começar a fornecer patches de pré-visualização de segurança retroportados também. Não está claro se isso acontecerá para todos os lançamentos trimestrais.

Passar uma quantidade significativa de tempo nisso é parte da razão pela qual o desenvolvimento de recursos do GrapheneOS desacelerou. Expandir nossos servidores e agora migrar para longe da OVH é outro motivo. Estaremos contratando mais pessoas e melhorando nossa estrutura organizacional para que as coisas avancem melhor.

Preferiríamos muito que os patches fossem divulgados aos OEMs 1 semana antes, em vez de 2-4 meses antes, para que as nossas versões de pré-visualização de segurança precisassem existir apenas por uma semana e as versões regulares recebessem os patches muito mais rapidamente. Os OEMs deveriam simplesmente contratar muito mais pessoas e fazer melhor.