IT之家 9 月 15 日消息,科技媒體 androids Authority 於 9 月 13 日發布博文,報道稱是穀歌正計劃為安卓係統引入“基於風險的安全更新係統”(RBUS),優先在每月更新中修複處於被主動利用或已知攻擊鏈中的高風險漏洞,其餘漏洞集中在每季度發布。
IT之家援引該媒體報道,在過去 10 年間,穀歌每月都會發布安卓安全公告,列出當月修複的各類漏洞,並提前約 30 天向 OEM 提供私有版本,以便測試與整合。
然而安卓係統龐大複雜,漏洞發現與修補周期不一,再加上 OEM 定製與運營商審批等環節,許多設備難以獲得及時更新,尤其是中低端機型往往隻能每隔 2~3 個月才能更新一次。
穀歌為提升整體防護效率,計劃推出“基於風險的安全更新係統”(RBUS)。該策略將每月更新限定為僅包含高風險漏洞,例如正被主動利用或屬於已知攻擊鏈的漏洞,其餘修複推遲到季度更新中發布。
高風險定義並不僅依賴漏洞的“嚴重”或“高”評級,更注重漏洞的實際威脅程度,這樣可顯著減少 OEM 每月需處理的補丁數量,降低測試與發布壓力。
RBUS 實施後,每月安全公告可能出現“零修複”的情況,例如在 2025 年 7 月的公告中,是打破了這一長達十年的趨勢:在迄今為止發布的 120 份公告中,這是有史以來第一次沒有列出任何漏洞。
而季度公告則會明顯膨脹,如 9 月便集中披露了 119 個漏洞。穀歌鼓勵 OEM 至少保持季度更新,以最大化用戶安全,同時允許部分廠商在符合合規要求或自身策略下繼續每月更新。
穀歌表示,androids 與 Pixel 設備持續優先修補高風險漏洞,並在係統底層引入 Rust 等內存安全語言及硬件級防護機製。
不過,隱私安全項目 GrapheneOS 指出,季度更新提前數月向 OEM 披露,可能增加漏洞細節外泄的機會,給予攻擊者更長的利用窗口。此外,穀歌也不再為每月更新開放源代碼,這讓大多數定製 ROM 難以保持月更節奏。
對於用戶而言,如果設備原本就按月接收更新,體驗不會改變;而對於更新頻率較低的設備,新策略有望提高補丁發布的一致性與覆蓋麵。但這也意味著安全防護更多依賴季度集中更新,行業需平衡效率與潛在風險。