(資料圖片僅供參考)
IT之家 9 月 15 日消息,科技媒體 Android Authority 于 9 月 13 日發(fā)布博文,報道稱是谷歌正計劃為安卓系統引入“基于風險的安全更新系統”(RBUS),優(yōu)先在每月更新中修復處于被主動利用或已知攻擊鏈中的高風險漏洞,其余漏洞集中在每季度發(fā)布。
IT之家援引該媒體報道,在過去 10 年間,谷歌每月都會發(fā)布安卓安全公告,列出當月修復的各類漏洞,并提前約 30 天向 OEM 提供私有版本,以便測試與整合。
然而安卓系統龐大復雜,漏洞發(fā)現與修補周期不一,再加上 OEM 定制與運營商審批等環(huán)節(jié),許多設備難以獲得及時更新,尤其是中低端機型往往只能每隔 2~3 個月才能更新一次。
谷歌為提升整體防護效率,計劃推出“基于風險的安全更新系統”(RBUS)。該策略將每月更新限定為僅包含高風險漏洞,例如正被主動利用或屬于已知攻擊鏈的漏洞,其余修復推遲到季度更新中發(fā)布。
高風險定義并不僅依賴漏洞的“嚴重”或“高”評級,更注重漏洞的實際威脅程度,這樣可顯著減少 OEM 每月需處理的補丁數量,降低測試與發(fā)布壓力。
RBUS 實施后,每月安全公告可能出現“零修復”的情況,例如在 2025 年 7 月的公告中,是打破了這一長達十年的趨勢:在迄今為止發(fā)布的 120 份公告中,這是有史以來第一次沒有列出任何漏洞。
而季度公告則會明顯膨脹,如 9 月便集中披露了 119 個漏洞。谷歌鼓勵 OEM 至少保持季度更新,以最大化用戶安全,同時允許部分廠商在符合合規(guī)要求或自身策略下繼續(xù)每月更新。
谷歌表示,Android 與 Pixel 設備持續(xù)優(yōu)先修補高風險漏洞,并在系統底層引入 Rust 等內存安全語言及硬件級防護機制。
不過,隱私安全項目 GrapheneOS 指出,季度更新提前數月向 OEM 披露,可能增加漏洞細節(jié)外泄的機會,給予攻擊者更長的利用窗口。此外,谷歌也不再為每月更新開放源代碼,這讓大多數定制 ROM 難以保持月更節(jié)奏。
對于用戶而言,如果設備原本就按月接收更新,體驗不會改變;而對于更新頻率較低的設備,新策略有望提高補丁發(fā)布的一致性與覆蓋面。但這也意味著安全防護更多依賴季度集中更新,行業(yè)需平衡效率與潛在風險。
