谷歌强制要求制造商至少为安卓设备提供两年的安全更新
安卓生态系统糟糕的安全性是有目共睹的,但毕竟谷歌始终保持每月为安卓系统提供安全更新修复各种漏洞。
遗憾的是绝大多数制造商对已经出售的安卓设备安全性毫不关心,很多的设备自发布后就不会提供任何更新。
但漏洞始终是存在的不管是否修复都在那里,这些未被修复的漏洞导致整个安卓生态系统千疮百孔支离破碎。
强制要求制造商提供两年安全更新:
根据最新泄露的文件谷歌开始更新与制造商的授权协议,授权协议明确要求制造商必须提供两年的安全更新。
如果不遵守该协议那么制造商将无法获得谷歌的设备认证,谷歌希望用这种方式来推动制造商对安全的关心。
具体要求包括:在2018年1月31日后激活的设备且设备激活总量超过10万台,那么制造商就得提供安全更新。
更新频率要求:制造商在推出设备首年里至少发布四个安全更新,至于发布次年的安全更新目前还尚未确定。
最后谷歌要求制造商延迟发布安全更新不得超过90天,也就是说平均每个季度制造商必须提供一个安全更新。
重要说明:上述协议内容为泄露的目前尚未被证实的,后续是否确定或变更其中条款等依谷歌官方消息为准。
谷歌表示90天延迟是最低安全要求:
某个漏洞被发现到被谷歌修复和推出安全更新,安全更新推出90天内制造商则必须将安全更新推送给用户们。
谷歌发言人表示90天已是最低安全要求,因此协议明确说明制造商如果因为各种问题延迟也不得超过 90 天。
如果制造商超过该期限发布安全更新同样会被视作是违反授权协议,那么将面临着被取消谷歌认证的惩罚等。
对于国内用户来说有用吗:
坦白的说蓝点网认为谷歌新措施对国内用户应该用处不大,毕竟谷歌设备认证主要针对的是销往国外的设备。
并且绝大多数厂商每年都发布很多设备但申请谷歌认证的并不多,至少国内厂商对此可能并不是那么的在意。
同时即便是通过谷歌认证的设备也可能存在国内版和国际版,到时候厂商是否向国内用户提供更新也是问题。