9 月 15 日消息， 科技 媒體 Android Authority 于 9 月 13 日發(fā)布博文，報(bào)道稱是谷歌正計(jì)劃為安卓系統(tǒng)引入“基于風(fēng)險(xiǎn)的安全更新系統(tǒng)”（RBUS）， 優(yōu)先在每月更新中修復(fù)處于被主動(dòng)利用或已知攻擊鏈中的高風(fēng)險(xiǎn)漏洞，其余漏洞集中在每季度發(fā)布。

IT之家援引該媒體報(bào)道，在過(guò)去 10 年間，谷歌每月都會(huì)發(fā)布安卓安全公告，列出當(dāng)月修復(fù)的各類漏洞，并提前約 30 天向 OEM 提供私有版本，以便測(cè)試與整合。

然而安卓系統(tǒng)龐大復(fù)雜，漏洞發(fā)現(xiàn)與修補(bǔ)周期不一，再加上 OEM 定制與運(yùn)營(yíng)商審批等環(huán)節(jié)，許多設(shè)備難以獲得及時(shí)更新，尤其是中低端機(jī)型往往只能每隔 2~3 個(gè)月才能更新一次。

谷歌為提升整體防護(hù)效率，計(jì)劃推出“基于風(fēng)險(xiǎn)的安全更新系統(tǒng)”（RBUS）。該策略將每月更新限定為僅包含高風(fēng)險(xiǎn)漏洞，例如正被主動(dòng)利用或?qū)儆谝阎翩湹穆┒矗溆嘈迯?fù)推遲到季度更新中發(fā)布。

高風(fēng)險(xiǎn)定義并不僅依賴漏洞的“嚴(yán)重”或“高”評(píng)級(jí)，更注重漏洞的實(shí)際威脅程度，這樣可顯著減少 OEM 每月需處理的補(bǔ)丁數(shù)量，降低測(cè)試與發(fā)布?jí)毫Α?/p>

RBUS 實(shí)施后，每月安全公告可能出現(xiàn)“零修復(fù)”的情況，例如在 2025 年 7 月的公告中，是打破了這一長(zhǎng)達(dá)十年的趨勢(shì)： 在迄今為止發(fā)布的 120 份公告中，這是有史以來(lái)第一次沒(méi)有列出任何漏洞。

而季度公告則會(huì)明顯膨脹，如 9 月便集中披露了 119 個(gè)漏洞。谷歌鼓勵(lì) OEM 至少保持季度更新，以最大化用戶安全，同時(shí)允許部分廠商在符合合規(guī)要求或自身策略下繼續(xù)每月更新。

谷歌表示，Android 與 Pixel 設(shè)備持續(xù)優(yōu)先修補(bǔ)高風(fēng)險(xiǎn)漏洞，并在系統(tǒng)底層引入 Rust 等內(nèi)存安全語(yǔ)言及硬件級(jí)防護(hù)機(jī)制。

不過(guò)，隱私安全項(xiàng)目 GrapheneOS 指出，季度更新提前數(shù)月向 OEM 披露，可能增加漏洞細(xì)節(jié)外泄的機(jī)會(huì)，給予攻擊者更長(zhǎng)的利用窗口。此外，谷歌也不再為每月更新開(kāi)放源代碼，這讓大多數(shù)定制 ROM 難以保持月更節(jié)奏。

對(duì)于用戶而言，如果設(shè)備原本就按月接收更新，體驗(yàn)不會(huì)改變；而對(duì)于更新頻率較低的設(shè)備，新策略有望提高補(bǔ)丁發(fā)布的一致性與覆蓋面。但這也意味著安全防護(hù)更多依賴季度集中更新，行業(yè)需平衡效率與潛在風(fēng)險(xiǎn)。

【來(lái)源： IT之家 】