Het GrapheneOS-project ontwikkelt een alternatieve open-source firmware. Android, een bedrijf dat zich richt op het verbeteren van de beveiliging en privacy, heeft aangekondigd dat Google wijzigingen heeft aangebracht in zijn beleid voor het publiceren van beveiligingspatches voor het platform. Android en openbaarmaking van kwetsbaarheden. Kwetsbaarheidsrapport van oktober. Android Leeg gepubliceerd.
Google biedt nu standaard beveiligingspatches aan voor Android Uitsluitend bestemd voor OEM's via gesloten kanalen met een geheimhoudingsovereenkomst die hen verplicht de broncode met de geleverde patches gedurende drie maanden na ontvangst niet openbaar te maken. Gedurende deze periode mogen alleen binaire builds met de patch worden gedistribueerd.
De code zelf blijft onder de Apache open source-licentie, maar de distributierechten worden tijdelijk beperkt door een geheimhoudingsovereenkomst. De motivatie voor deze beleidswijziging is een "streven naar meer beveiliging", omschreven als een poging om het principe van "Beveiliging door Onduidelijkheid" te implementeren.
Ondanks de uitdagingen die dit met zich meebrengt voor open-sourcefirmware van derden, heeft het GrapheneOS-project een manier gevonden om dit te omzeilen door samen te werken met een OEM die verboden patches aan het project levert voordat ze officieel worden uitgebracht.
Er wordt opgemerkt dat GrapheneOS vanaf nu twee verschillende releasekanalen zal bieden: volledig reproduceerbare builds op het moment van publicatie op basis van AOSP, maar zonder afgesloten beveiligingsupdates, en builds met meegeleverde patches waarvan de reproduceerbare broncode pas wordt gepubliceerd nadat het embargo is verlopen.
Bron: opennet.ru
