GrapheneOS là hệ điều hành Android duy nhất cung cấp đầy đủ các bản vá bảo mật xem trước

• GrapheneOS là hệ điều hành dựa trên Android duy nhất cung cấp đầy đủ các bản vá bảo mật xem trước
• Từ tháng 9 năm 2025, dự án đã cung cấp trước bản vá bảo mật tháng 12 năm 2025, và hiện tại đã bao gồm các bản vá đến tháng 3 năm 2026
• Các nhà sản xuất khác cần thời gian để tích hợp và kiểm thử bản vá nên một số bản vá bị trì hoãn hoặc chỉ áp dụng có chọn lọc
• Việc cung cấp bản vá sớm như vậy đòi hỏi một nhà phát triển chuyên trách đầu tư lượng thời gian đáng kể, ảnh hưởng đến tốc độ phát triển tính năng
• Các nhà sản xuất lớn cần cải thiện tốc độ phản ứng với bản vá bảo mật, và cách tiếp cận bảo mật chủ động của GrapheneOS là điểm khác biệt quan trọng trong ngành

Tình hình cung cấp bản vá bảo mật xem trước của GrapheneOS

• GrapheneOS đã cung cấp trước bản vá bảo mật Android Open Source Project (AOSP) tháng 12 năm 2025 từ tháng 9 năm 2025
  • Bản vá tháng 12 năm 2025 hiện đang được tích hợp vào bản phát hành chính thức, còn phiên bản xem trước bảo mật đã bao gồm các bản vá đến tháng 3 năm 2026
• Một số bản vá dự kiến cho tháng 12 năm 2025 đã được chuyển thành tùy chọn (optional) và dời sang các tháng sau, vì vậy bản xem trước tháng 9 có chứa các CVE chưa được công bố
• Nguyên nhân chính của việc hoãn bản vá là do các OEM (nhà sản xuất) không thể nhanh chóng tích hợp, kiểm thử và phân phối bản vá
  • Khi phát sinh vấn đề, OEM sẽ chuyển bản vá đó sang tháng tiếp theo, còn GrapheneOS vẫn tiếp tục tự triển khai các bản vá này

So sánh với các nhà sản xuất Android khác

• GrapheneOS là hệ điều hành dựa trên Android duy nhất cung cấp đầy đủ các bản vá bảo mật xem trước
  • Samsung chỉ áp dụng giới hạn trên một số thiết bị flagship
  • Hệ điều hành mặc định của Pixel có áp dụng sớm một phần bản vá, nhưng không tuân theo hướng dẫn công bố danh sách bản vá, nên phạm vi chính xác không rõ ràng
• Để cung cấp các bản vá này, GrapheneOS có 1 nhà phát triển chuyên trách dành ra lượng thời gian đáng kể
  • Dự án cũng chỉ ra rằng các công ty lớn không duy trì được tốc độ ở cùng mức như vậy

Phiên bản Android và cấu trúc bản vá

• Hiện tại các bản vá bảo mật xem trước đang được backport sang các phiên bản Android 13, 14, 15, 16
• Vì GrapheneOS dựa trên Android 16 QPR1, nên cần forward-port từ Android 16 sang QPR1
• Android 16 QPR2 được kỳ vọng là bản phát hành theo quý đầu tiên được phân phối cả cho thiết bị không phải Pixel
  • Do đó có thể cũng sẽ cần các bản vá bảo mật xem trước đã được backport cho QPR2

Nguồn lực phát triển và mở rộng tổ chức

• Việc duy trì bản xem trước bảo mật tiêu tốn nhiều thời gian nên làm chậm tốc độ phát triển tính năng
• Dự án cũng đang tiến hành mở rộng máy chủ và di chuyển khỏi OVH
• Trong tương lai, dự án có kế hoạch nâng cao hiệu quả phát triển thông qua tuyển thêm nhân lực và cải thiện cấu trúc tổ chức

Thời điểm công bố bản vá và yêu cầu cải thiện từ OEM

• GrapheneOS hy vọng rút ngắn thời gian công bố trước bản vá cho OEM xuống còn 1 tuần
  • Hiện tại bản vá được công bố trước từ 2 đến 4 tháng, khiến các bản phát hành xem trước bảo mật phải được duy trì trong thời gian dài
• Dự án nhấn mạnh rằng OEM cần bổ sung thêm nhân lực và tăng cường năng lực phản ứng bảo mật

Thảo luận cộng đồng và thông tin bổ sung

• Người dùng xác nhận rằng GrapheneOS phân phối các bản cập nhật bảo mật sớm trước khi công khai từ vài tháng
  • Ví dụ: bản vá tháng 3 năm 2026 đã được phát hành từ tháng 11 năm 2025
• GrapheneOS có NDA (thỏa thuận bảo mật) với OEM nên có quyền truy cập mã nguồn
  • Mã chỉ có thể được công bố sau thời điểm Google công khai
• Một số người dùng chia sẻ trải nghiệm cài GrapheneOS trên Pixel 8 và cho biết quá trình cài đặt khá đơn giản
• Phản hồi từ người dùng cũng bao gồm tính năng chuyển tiếp thông báo giữa các hồ sơ, lỗi khởi động khi kết nối DisplayPort, và khả năng hỗ trợ Pixel 10