Traduction en français : (voir au-dessus pour la version d'origine en anglais)
Oriane : (Je veux dire : si vous êtes plus petit, vous êtes plus susceptible de compter sur des tiers pour votre logiciel ou une partie de celui-ci. Et cela peut aussi introduire des retards, je suppose, car plus de couches = plus de retards.)
GrapheneOS : Cela n'est pas pertinent pour corriger des problèmes comme celui-ci. Les problèmes libwebp, libvpx et autres problèmes similaires sont rapidement corrigés dans GrapheneOS et en interne pour le système d'exploitation Pixel, mais ils ont un processus de publication / certification très lent. Ce n'est pas un problème avec l'application de correctifs et la création d'une version mise à jour.
Oriane : Bon, le problème réside vraiment dans : l'accord qui a été négocié avec les fournisseurs et / ou l'OEM et / ou le fabricant.
GrapheneOS : Il s'agit du constructeur OEM, donc tout ce qui compte, c'est ce qu'il a négocié avec les fournisseurs et ses propres politiques. Ils ont intégré dans une certaine mesure les lésions cérébrales causées par les fournisseurs dans leurs propres politiques / approches, il est donc difficile de savoir à quel point les accords avec les fournisseurs coûtent cher par rapport à leur propre mauvais processus.
Oriane : Je comprends mieux, merci ! Et je suppose que le cas Pixel est le plus simple : Pixel est un produit Google. Peut-être que les fabricants de téléphones plus petits ont un processus encore plus lent ?
GrapheneOS : Le message initial concerne le système d’exploitation Pixel. On croit souvent, à tort, qu'Android est un système d'exploitation spécifique. Ce n'en est pas un. Chaque OEM possède ses propres forks d’AOSP. Les Pixels utilisent une arborescence source unique pour tous les modèles Pixel. La plupart des OEM ont plusieurs forks d’AOSP en même temps.
Android a résolu cette Faille WebP CVE-2023-4863 en quelques jours et a rapidement publié un bulletin partenaire définissant un nouveau niveau de correctif d'octobre (en septembre). Les OEM ont bien sûr été autorisés à publier le correctif immédiatement, car il n’y a pas d’embargo. Le fait d'être dans le bulletin d'octobre ne signifie pas que vous devez attendre.
Cela signifie que pour réclamer le niveau de correctif 06/10/2023 ou supérieur, vous devez le corriger. C'est ça. Ils n'ont pas pu l'ajouter au 01/10/2023, car ce correctif était déjà défini en septembre lorsque la faille WebP CVE-2023-4863 est arrivée. Ils ne peuvent pas l'inclure rétroactivement dans le 01/10/2023, qui était en test par les fournisseurs.
Ils auraient pu publier une version du système d'exploitation Pixel avec le correctif en septembre, si leurs processus leur permettaient de réaliser des versions sans x semaines de certification et s'ils étaient autorisés à réaliser plus d'une version par mois. Le retard n'est pas un problème technique. Ce n'est pas pour des raisons techniques.