谷歌近日宣布将调整安卓系统安全更新策略,推出“基于风险的安全更新系统”(RBUS),优先修复被主动利用或已知攻击链中的高风险漏洞,其余漏洞则集中在季度更新中发布。这一变化打破了安卓系统过去十年每月全量更新的传统,标志着谷歌在提升安全防护效率方面迈出重要一步。
过去,安卓系统每月发布安全公告,列出当月修复的所有漏洞,并提前30天向设备制造商(OEM)提供私有版本以便测试。然而,由于系统庞大复杂,加上OEM定制和运营商审批等环节,许多设备尤其是中低端机型往往需要2-3个月才能获得更新。新策略通过将每月更新限定为高风险漏洞,显著减少了OEM每月需处理的补丁数量,降低了测试与发布压力。
值得注意的是,高风险漏洞的定义不仅基于“严重”或“高”评级,更注重实际威胁程度。这一调整已初见成效:2025年7月的安全公告首次出现“零修复”情况,打破了120份公告的连续记录;而9月的季度公告则集中披露了119个漏洞。谷歌鼓励OEM至少保持季度更新,同时允许部分厂商继续按月更新。
不过,隐私安全项目GrapheneOS指出,季度更新提前数月向OEM披露可能增加漏洞外泄风险,同时谷歌不再为每月更新开放源代码,这也让大多数定制ROM难以维持月更节奏。对于用户而言,新策略下按月更新的设备体验不变,而更新频率较低的设备有望获得更一致的补丁覆盖,但安全防护将更多依赖季度集中更新,行业需在效率与风险间寻求平衡。
原创文章,作者:校草,如若转载,请注明出处:https://www.kejixun.co/article/733738.html
