Google APVI

Googleは10月2日(現地時間)、Androidパートナーが出荷する端末のセキュリティ問題を管理するために、Androidv Partner Vulnerability Initiative(APVI)の発足を発表しました。Googleが発見したセキュリティ問題の修正推進とユーザーへの情報提供を行います。

Androidには、セキュリティ研究者が発見した問題を報告できる Android Security Rewards Program (ASR)や、サードパーティアプリの脆弱性を報告する Google Play Security Rewards Programなどがすでにあります。Android自身の脆弱性については、Android Open Source Project (AOSP)ベースのコードを Android Security Bulletins (ASB)を通じてリリースされています。

しかし、これまで、サードパーティ特有の問題など、AOSPコード以外でGoogleが発見したセキュリティ問題を処理する明確なルールがありませんでした。APVIはこの問題に対応することを目的としています。

Googleが発見したセキュリティ問題については、OEMパートナーに伝えるとともに、ユーザーへの情報提供もかねてバグトラッカーで管理されます。すでにHUAWEIやOPPO、ZTE端末などで見つかった問題が登録されていますが、そのほとんどは修正済みとなっています。

Androidでは毎月、セキュリティパッチが提供されていますが、Pixel以外では、タイムリーに適用さることはほとんどありません。ただ、各メーカーが名指しで脆弱性を指摘されるのであれば、セキュリティパッチを含め、改修圧力が高まり、結果としてリリースが早くなる可能性はありそうです

via: XDA-Developers
source: Google