Проект GrapheneOS, який розробляє альтернативну вільну прошивку Android, націлену на посилення безпеки та забезпечення конфіденційності, повідомив про внесення компанією Google змін до політики публікації виправлень уразливостей для платформи Android та розкриття інформації про вразливості. Жовтневий звіт про вразливість Android опубликован пустым.
Отныне Google изначально предоставляет исправления безопасности для Android исключительно OEM-производителям по закрытым каналам с соглашением о неразглашении, обязующем их не раскрывать исходный код с применением предоставленных патчей на срок 3 месяца с момента получения. В течение этого времени возможно распространение исключительно бинарных сборок с включением исправления.
Сам код продовжує бути відкритою ліцензією Apache, але на право розповсюдження накладається тимчасове обмеження через угоду про нерозголошення. Мотивом цієї зміни у політиці компанії є «прагнення до підвищеної безпеки», яке відзначається як спроба реалізації принципу «Безпека через неясність».
Незважаючи на складності для відкритих сторонніх прошивок, проект GrapheneOS знайшов вихід із ситуації, знайшовши партнера серед OEM-постачальників, який надає для проекту закриті ембарго патчі до їх офіційного розголошення.
Відзначається, що відтепер GrapheneOS надаватиме два різні канали з релізами — з повністю відтворюваними збірками на момент публікацій на основі AOSP, але без закритих виправлень безпеки, і зі збірками із включеними патчами, вихідний код яких буде опублікований лише після закінчення ембарго.
Джерело: opennet.ru
