Le projet GrapheneOS, qui développe un firmware alternatif open source AndroidGoogle, une entreprise visant à renforcer la sécurité et à garantir la confidentialité, a annoncé que Google a modifié sa politique de publication des correctifs de vulnérabilité pour sa plateforme. Android et divulgations de vulnérabilités. Rapport sur les vulnérabilités d'octobre Android опубликован пустым.
Отныне Google изначально предоставляет исправления безопасности для Android исключительно OEM-производителям по закрытым каналам с соглашением о неразглашении, обязующем их не раскрывать исходный код с применением предоставленных патчей на срок 3 месяца с момента получения. В течение этого времени возможно распространение исключительно бинарных сборок с включением исправления.
Le code lui-même reste sous licence open source Apache, mais les droits de distribution sont temporairement restreints par un accord de confidentialité. Ce changement de politique d'entreprise est motivé par une volonté de sécurité accrue, décrite comme une tentative de mettre en œuvre le principe de « sécurité par l'obscurité ».
Malgré les défis que cela pose pour les firmwares tiers open source, le projet GrapheneOS a trouvé un moyen de contourner ce problème en s'associant à un OEM qui fournit des correctifs sous embargo au projet avant leur publication officielle.
Il est à noter qu'à partir de maintenant, GrapheneOS fournira deux canaux de publication différents : des builds entièrement reproductibles au moment de la publication basées sur AOSP, mais sans correctifs de sécurité fermés, et des builds avec des correctifs inclus, dont le code source reproductible ne sera publié qu'après l'expiration de l'embargo.
Source: opennet.ru
