谷歌修改 Android 系统安全补丁政策：只与 OEM 厂商共享，前三个月禁止披露源码

据科技媒体 Winaero 今天报道，谷歌最近更新了 >Android 系统安全补丁的分发政策与漏洞披露策略，影响开发者和安全研究员获取补丁细节的方式和时间。

根据专注隐私的衍生 Android 系统 Graphene OS（石墨烯 OS）本月报告，谷歌在今年 10 月的 Android 安全公告中并未公布任何漏洞细节，相比之下，上月的公告中列出了 114 项漏洞。

根据 Graphene OS 官方的说法，谷歌现在只通过封闭渠道向 OEM 厂商分发 Android 安全补丁，这些 OEM 厂家必须要签署保密协议才能获取到补丁，附上协议内容如下：

• 自收到补丁之日起三个月内不得公布补丁源码

• 在三个月的“封禁期”内，厂商只能发布包含修复内容的二进制版本

虽然补丁代码仍遵循 Apache 许可证，但三个月内的保密协议临时限制了代码再分发，谷歌对此解释道，这一政策旨在“提升整体安全性”，符合“隐晦式安全”（Security through obscurity）理念。

为了适应新政策，Graphene OS 现已与某不具名的 OEM 厂商达成合作，好在封禁期内获得补丁。