Lansările noastre de previzualizare a securității au furnizat patch-urile de securitate din decembrie 2025 pentru Proiectul Android Open Source din septembrie 2025. Patch-urile de securitate din decembrie 2025 sunt acum publice și integrate în versiunile noastre obișnuite, în timp ce previzualizările de securitate au fost până în martie 2026.

O mulțime de patch-uri programate anterior pentru decembrie 2025 au fost făcute opționale și amânate pentru lunile viitoare, așa că nu sunt listate în buletinul public. De aceea, chiar și lansările noastre de previzualizare de securitate din septembrie 2025 listează CVE-uri care încă nu sunt publice în decembrie 2025.

Motivul pentru care patch-urile sunt amânate este că producătorii nu sunt capabili să integreze, testeze și livreze rapid patch-urile. Când se identifică probleme, inclusiv un OEM care are probleme, adesea amână problema pentru o lună viitoare. Previzualizările noastre de securitate pot continua să le livreze.

GrapheneOS este singurul sistem de operare bazat pe Android care oferă patch-urile complete de previzualizare a securității. Samsung livrează un mic subset din dispozitivele lor de referință. Sistemul stock Pixel primește o parte din asta devreme, dar nu suntem siguri exact cât de mult, deoarece nu respectă regulile lor pentru patch-urile de listare.

Furnizarea patch-urilor noastre de previzualizare de securitate este multă muncă pentru noi. Este nevoie ca un dezvoltator cu normă întreagă să petreacă o fracțiune semnificativă din timpul său pe el. Este greu de înțeles de ce companiile mari nu pot ține pasul cu aceste patch-uri, dar ceea ce contează este că le putem oferi din timp.

Patch-urile de previzualizare a securității Android sunt în prezent backport-uri către Android 13, 14, 15 și 16. Deoarece GrapheneOS se bazează pe Android 16 QPR1, trebuie să portăm patch-urile direct de la 16 la 16 QPR1. Din câte știm, vor începe să facă backport și la unele lansări trimestriale.

Android 16 QPR2 pare să fie prima versiune trimestrială a Android care va fi livrată de dispozitive non-Pixel. Dacă este cazul, va trebui să înceapă să ofere patch-uri de previzualizare de securitate și backport către acesta. Nu este clar dacă acest lucru se va întâmpla pentru fiecare lansare trimestrială.

Faptul că am petrecut mult timp pe acest subiect este unul dintre motivele pentru care dezvoltarea funcționalităților GrapheneOS a încetinit. Extinderea serverelor noastre și migrarea acum de la OVH este o altă variantă. Vom angaja mai mulți oameni și vom îmbunătăți structura organizației pentru a pune lucrurile în mișcare mai bine.

Am prefera mult mai mult ca patch-urile să fie dezvăluite producătorilor cu o săptămână înainte, nu cu 2-4 luni înainte, astfel încât lansările noastre de previzualizare de securitate să existe doar o săptămână, iar versiunile obișnuite să primească patch-urile mult mai repede. Producătorii OEM ar trebui pur și simplu să angajeze mult mai mulți oameni și să facă mai bine.