Google、Android OEMによるAOSP外コードのセキュリティ問題に取り組む 3
ストーリー by headless
対応 部門より
対応 部門より
Googleは2日、Android OEM特有のセキュリティ問題に対応する「Android Partner Vulnerability Initiative (APVI)」の開始を発表した(Android Developers Blogの記事、 9to5Googleの記事、 Monorail - apvi)。
GoogleはAndroid OSやAndroidアプリに関する脆弱性報告報奨金プログラムを行っており、報告されたAndroid Open Source Project (AOSP)ベースのコードに関する問題はAndroidのセキュリティに関する公開情報(ASB)を通じて開示している。一方、個別のAndroid OEMによるAOSP外のコードで見つかった問題に対処する明確な手段は最近まで用意されていなかった。
APVIはそのギャップを埋めるものであり、Googleが発見した問題の修正をOEMパートナーに促し、ユーザーに透明性を提供するものだという。APVIの取り組みは1年以上前から進められていたようで、既に8件の問題が修正されている。
GoogleはAndroid OSやAndroidアプリに関する脆弱性報告報奨金プログラムを行っており、報告されたAndroid Open Source Project (AOSP)ベースのコードに関する問題はAndroidのセキュリティに関する公開情報(ASB)を通じて開示している。一方、個別のAndroid OEMによるAOSP外のコードで見つかった問題に対処する明確な手段は最近まで用意されていなかった。
APVIはそのギャップを埋めるものであり、Googleが発見した問題の修正をOEMパートナーに促し、ユーザーに透明性を提供するものだという。APVIの取り組みは1年以上前から進められていたようで、既に8件の問題が修正されている。
ん? (スコア:0)
ベンダーパッチとは違うのかな?
毎月のAndroid Security Patch Levelを更新しても
Vendor Patch Levelはクローズドだから旧機種は非更新のまま
って状況が解消されるならXDA民としては嬉しいのだけれど
情報ソースにもVendorの文字がないので
なんのことを言っているのかが
ちょっと分かり辛いですね
Vendor Patch Levelが今後は
OEM Patch Levelとか
Partner Patch Levelとか
名称が変わるのか
それとも
「Android OEM特有のセキュリティ問題」って
Vendor Patch Levelとは別な部分の話なんでしょうか?
どなたかお分かりになりますか?
Re: (スコア:0)
Googleがパッチを作るわけではないんじゃない。
Googleは発見された脆弱性の情報を受け付けて、それをOEMに報告しつつ、一般にも公開する(多分期限を設けて)。
情報を受け付けて、流すだけ。
ただ、それを1箇所に集約することでユーザーには信用のおける情報ソースを提供しつつ、OEM会社に対しては未修正の脆弱性残してると評判が悪くるぞと牽制をかけられる。
結果Android全体の脆弱性が減ってAndroidの評判が上がる。
Googleにとっては一石二鳥なシステム。
Re: (スコア:0)
そこまで難しい話か? AOSPの上流に当たる本当の「Android」のバグトラッカーが非公開だったってだけの話だろ
AOSPはあくまでAndroidから無料公開できる部分を社会的な貢献として配ってるだけと認識すべき