10 月 13 日消息,据科技媒体 Winaero 今天报道,谷歌最近更新了 Android 系统安全补丁的分发政策与漏洞披露策略,影响开发者和安全研究员获取补丁细节的方式和时间。
根据专注隐私的衍生 Android 系统 Graphene OS(石墨烯 OS)本月报告,谷歌在今年 10 月的 Android 安全公告中并未公布任何漏洞细节,相比之下,上月的公告中列出了 114 项漏洞。
根据 Graphene OS 官方的说法,谷歌现在只通过封闭渠道向 OEM 厂商分发 Android 安全补丁,这些 OEM 厂家必须要签署保密协议才能获取到补丁,附上协议内容如下:
-
自收到补丁之日起三个月内不得公布补丁源码
-
在三个月的“封禁期”内,厂商只能发布包含修复内容的二进制版本
虽然补丁代码仍遵循 Apache 许可证,但三个月内的保密协议临时限制了代码再分发,谷歌对此解释道,这一政策旨在“提升整体安全性”,符合“隐晦式安全”(Security through obscurity)理念。
为了适应新政策,Graphene OS 现已与某不具名的 OEM 厂商达成合作,好在封禁期内获得补丁。