[ON] Google меняет политику публикации исправлений уязвимостей в Android

[rssbot]

Проект GrapheneOS, разрабатывающий альтернативную свободную прошивку Android, нацеленную на усиление безопасности и обеспечение конфиденциальности, сообщил о внесении компанией Google изменений в политику публикации исправлений уязвимостей для платформы Android и раскрытия информации об уязвимостях. Октябрьский отчёт об уязвимостях в Android опубликован пустым (в сентябрьском отчёте была информация о 114 уязвимостях).


Отныне Google изначально предоставляет исправления безопасности для Android исключительно OEM-производителям по закрытым каналам с соглашением о неразглашении, обязующем их не раскрывать исходный код с применением предоставленных патчей на срок 3 месяца с момента получения. В течение этого времени возможно распространение исключительно бинарных сборок с включением исправления.



Сам код продолжает быть под открытой лицензией Apache, но на право распространения накладывается временное ограничение через соглашение о неразглашении. Мотивом данного изменения в политике компании является "стремление к повышенной безопасности", отмечаемое как попытка реализации принципа "Безопасность через неясность".


Несмотря на создаваемые этим сложности для открытых сторонних прошивок, проект GrapheneOS нашёл выход из ситуации, найдя партнёра среди OEM-поставщиков, который предоставляет для проекта закрытые эмбарго патчи до их официального разглашения.


Отмечается, что отныне GrapheneOS будет предоставлять два разных канала с релизами - с полностью воспроизводимыми сборками на момент публикаций на основе AOSP, но без закрытых исправлений безопасности, и со сборками с включёнными патчами, воспроизводимый исходный код которых будет опубликован лишь после истечения эмбарго.


Источник: https://www.opennet.ru/opennews/art.shtml?num=64039
(opennet.ru, основная лента)