Google изменила политику публикации исправлений безопасности Android, вводя новую практику закрытого распространения патчей с длительным эмбарго на исходный код. Об этом сообщили в проекте GrapheneOS.
Отныне Google сначала предоставляет исправления уязвимостей OEM-производителям по закрытым каналам с обязательным соглашением о неразглашении, в течение трёх месяцев запрещая публиковать исходный код этих патчей. Вместо исходников в этот период распространяются только бинарные сборки для установки, что ограничивает доступ к подробному анализу и модификации исправлений со стороны сторонних разработчиков и альтернативных проектов.
Ранее исправления безопасности Android публиковались с эмбарго около одного месяца, однако новая система предусматривает около трёх месяцев задержки между поставкой исправлений OEM и их публичным опубликованием. По истечении срока исходные патчи становятся доступными в официальном репозитории Android Open Source Project (AOSP).
Разработчики проекта GrapheneOS, ориентированного на максимальную безопасность, оперативно используют новые возможности Google и выпускают специальные «предварительные» версии с применёнными патчами безопасности за несколько месяцев до их официального раскрытия. Это позволяет пользователям получать более ранние обновления безопасности, хотя из-за эмбарго исходный код исправлений становится доступен позже. В будущем система обновлений будет иметь две версии выпуска — обычную и с безопасностными превью-патчами — предоставляя пользователям выбор и повышая тем самым уровень защиты.
Новая политика Google направлена на повышение безопасности платформы за счёт ограничения времени, когда уязвимости остаются очевидными потенциальным злоумышленникам, но одновременно усложняет работу сообществу открытого ПО и предприятий, которые нуждаются в полном доступе к исправлениям для адаптации и контроля качества.
Одновременно с этим обновления безопасности теперь включают более гибкую схему выпуска с двумя уровнями патчей — базовым и расширенным, что помогает быстро фиксировать проблемы, общие для всех устройств, и постепенно распространять полный набор исправлений.Резюмируя, с октября 2025 года владельцы Android-устройств, особенно пользователей альтернативных ОС и кастомных прошивок, столкнутся с изменениями в своевременности доступа к исправлениям, а OEM-производители получат первые патчи в бинарном виде с четырёхмесячным экслюзивным периодом. Google обещает сохранить открытость исходного кода, но с задержкой, что отражает баланс между скоростью обновлений и контролем над уязвимостями.
Последствия для России и отечественных разработчиков, могут быть такими, что ФСТЭК и разработчики казённых систем (например, РедОС-М) столкнутся с дополнительными ограничениями и трудностями при пересборке Android, так как прямой доступ к исправлениям будет затруднен. Это может уменьшить число конкурентов в сфере критически важных информационных инфраструктур (КИИ), например таких как Роса Мобайл, которые смогут получать исправления напрямую от Google по NDA, а альтернативные проекты — нет.
Подписывайтесь на наш Telegram-канал, чтобы быть в курсе всех новостей и событий Рунета.
