パスワードを忘れた? アカウント作成
14932693 story
Android

Google、Android OEMによるAOSP外コードのセキュリティ問題に取り組む 3

ストーリー by headless
対応 部門より
Googleは2日、Android OEM特有のセキュリティ問題に対応する「Android Partner Vulnerability Initiative (APVI)」の開始を発表した(Android Developers Blogの記事9to5Googleの記事Monorail - apvi)。

GoogleはAndroid OSやAndroidアプリに関する脆弱性報告報奨金プログラムを行っており、報告されたAndroid Open Source Project (AOSP)ベースのコードに関する問題はAndroidのセキュリティに関する公開情報(ASB)を通じて開示している。一方、個別のAndroid OEMによるAOSP外のコードで見つかった問題に対処する明確な手段は最近まで用意されていなかった。

APVIはそのギャップを埋めるものであり、Googleが発見した問題の修正をOEMパートナーに促し、ユーザーに透明性を提供するものだという。APVIの取り組みは1年以上前から進められていたようで、既に8件の問題が修正されている。
  • by Anonymous Coward on 2020年10月04日 16時16分 (#3900383)

    ベンダーパッチとは違うのかな?

    毎月のAndroid Security Patch Levelを更新しても
    Vendor Patch Levelはクローズドだから旧機種は非更新のまま
    って状況が解消されるならXDA民としては嬉しいのだけれど

    情報ソースにもVendorの文字がないので
    なんのことを言っているのかが
    ちょっと分かり辛いですね

    Vendor Patch Levelが今後は
    OEM Patch Levelとか
    Partner Patch Levelとか
    名称が変わるのか

    それとも
    「Android OEM特有のセキュリティ問題」って
    Vendor Patch Levelとは別な部分の話なんでしょうか?

    どなたかお分かりになりますか?

    ここに返信
    • by Anonymous Coward

      Googleがパッチを作るわけではないんじゃない。

      Googleは発見された脆弱性の情報を受け付けて、それをOEMに報告しつつ、一般にも公開する(多分期限を設けて)。
      情報を受け付けて、流すだけ。

      ただ、それを1箇所に集約することでユーザーには信用のおける情報ソースを提供しつつ、OEM会社に対しては未修正の脆弱性残してると評判が悪くるぞと牽制をかけられる。
      結果Android全体の脆弱性が減ってAndroidの評判が上がる。

      Googleにとっては一石二鳥なシステム。

    • by Anonymous Coward

      そこまで難しい話か? AOSPの上流に当たる本当の「Android」のバグトラッカーが非公開だったってだけの話だろ
      AOSPはあくまでAndroidから無料公開できる部分を社会的な貢献として配ってるだけと認識すべき

typodupeerror

クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人

読み込み中...