Danny Weber
23:15 13-10-2025
© B. Naumkin
Google, Android güvenlik güncellemeleri için yeni politika: yamalar önce NDA’li OEM’lere gidecek, kaynak kodu üç aya dek saklanacak; GrapheneOS uyarıyor.
Google, Android’de güvenlik açıklarını duyurma ve yamaları dağıtma şeklini baştan aşağı yeniledi. Artık güvenlik güncellemeleri önce yalnızca gizlilik anlaşması (NDA) imzalayan donanım üreticilerine (OEM) gidecek.
Yeni kurallara göre, yamaların kaynak kodu güncelleme alındıktan sonra üç aya kadar yayımlanmayabilir. Bu süre boyunca üreticiler, teknik ayrıntıları açığa çıkarmadan yalnızca yamaları içeren ikili derlemeleri dağıtabilecek. Pratikte bu tercih, alışılmış şeffaflık temposunu yavaşlatıyor ve erken görünürlüğü dar bir ortak çevresiyle sınırlı tutuyor. Denge, hızlı dağıtım ile açık bilgi paylaşımı arasında farklı bir yere taşınıyor.
Daha önce Google, aylık Android Security bültenleriyle birlikte tam kapsamlı güvenlik açığı raporları yayımlıyordu. Örneğin Eylül 2025 listesi 114 tespit edilen sorunu içeriyordu; Ekim güncellemesi ise açıklamalarını tamamen dışarıda bıraktı. Aradaki fark gözden kaçacak gibi değil.
Bu değişimi ilk fark eden, gizlilik odaklı bağımsız Android dağıtımı GrapheneOS ekibi oldu. Proje, hızlı tepki verebilmek için zamanında teknik verilere güvenen bağımsız güvenlik araştırmacıları ve özel ROM geliştiricileri açısından yeni politikanın işleri zorlaştıracağını öne sürüyor.
Google ise bu geçici kısıtlamanın, saldırganların yamaları hızla analiz edip resmî güncellemeler gelmeden açıkları sömürmesini önleyerek genel güvenliği yükseltmeyi amaçladığını belirtiyor. Şirket, yaklaşımı düzeltmeler geniş çapta dağıtılana kadar ayrıntıları saklı tutmaya odaklanan bir gizlilik yoluyla güvenlik stratejisi olarak tanımlıyor.
Zamanında güncellemeleri göndermeyi sürdürebilmek için GrapheneOS, yeni düzende yamaları Google’dan doğrudan alan bir üreticiyle şimdiden iş birliği kurdu. Pragmatik bir ara çözüm; ancak erişimin artık açık dokümantasyondan çok resmî anlaşmalara bağlı hale geldiğini de gösteriyor.