Google公開了其Android安全更新計畫。在2017年中,共有約10億臺Android裝置獲取更新,比前一年多了30%,而Google提到,他們要繼續為Android引入新的流程與計畫,讓Android更新工作更為容易。

這個策略的最重要部分,就是要提高介面的模組性以及清晰度,讓作業系統的子系統更新時,不會對其他子系統產生影響。Treble專案則是簡化更新工程的第一個策略,把Android作業系統模組化,從硬體拆分出來,大幅簡化了更新裝置所需要的工作量,而新釋出的作業系統Android P就使用了這項新技術,使其系統更新更加有效率,是目前所有Android中最容易更新的版本,而模組化策略也同樣適用於安全更新,因為框架安全性更新可以獨立於裝置特定組件。

第二個策略是將作業系統的服務抽出,放到使用者模式的應用程式中,如此,這些應用程式便能獨立更新,Google提到,這個形式的更新不一定效率較差,有時候甚至更加快速,像是包括安全網路組件的Google Play服務以及Chrome瀏覽器,都可以像其他Google Play應用程式一樣單獨更新。

第三個策略則是合作夥伴計劃,透過與合作夥伴的合作,強化Android可更新性,Google提到,他們的GMS Express計畫就是與系統單晶片供應商合作,為系統單晶片參照設計提供每月的預整合和預測試Android安全更新,不只能降低成本,也能加速晶片上市的時程。

Google提到,在所有複雜的軟體系統中,臭蟲的發生都是無可避免的,但是不讓臭蟲有機會被用於惡意攻擊是有可能的。除了工程上的把關外,確實進行更新工作更是重要的一環,縱深防禦戰略是確保裝置安全的關鍵作法,Google每個月都會提供Android原始碼補丁給智慧手機供應商,讓他們能夠把這些補丁放入韌體更新中,提供給裝置使用者。

Google表示,每月更新是做好的作法,但即便Android供應商沒辦法應付每月更新頻率,至少需要在重大漏洞揭露之前提供用戶更新,常見漏洞揭露的時間為90天,因此每三個月更新一次韌體是最低的安全要求。


Advertisement

更多 iThome相關內容