Фон

Многие разработчики программного обеспечения предлагают специальные выпуски своих продуктов с "долгосрочной поддержкой" (LTS) или "выпуском расширенной поддержки" (ESR). Вы устанавливаете продукт один раз и получаете обновления для системы безопасности на срок до десяти лет без необходимости обновления до следующей основной версии программного обеспечения.

Вот несколько примеров: Вы можете установить одну версию Firefox ESR и затем получать обновления безопасности для версии в течение года. Или вы можете установить одну версию Ubuntu LTS, а затем получать обновления безопасности для этой версии в течение пяти лет.

К сожалению, Google не предлагает специальной долгосрочной версии поддержки Android. Исправления безопасности переносятся в версию Android вашего устройства до тех пор, пока Google не прекратит их портирование. Эти исправленные версии Android встроены в новые образы прошивки для вашего устройства до тех пор, пока производитель устройства или сторонний сборщик ПЗУ не прекратит создавать новые образы.

(Например, похоже, что Android 6.0.1 «Зефир» все еще получает исправления безопасности. Последние версии Android 6.0.1 - это android-6.0.1_r56 и android-6.0.1_r63. Каждая из этих восьми версий Android была выпущена на в тот же день: 1 августа 16 г. Каждое из восьми было разработано для поддержки различного набора устройств Nexus . Производители устройств могут выбрать любое из восьми и затем перенести его на другие устройства Android. Похоже, Android 5.1.1 «Lollipop» также может получать исправления безопасности. Последняя версия android-5.1.1_r38, выпущенная 19 июля 16 года, также может быть известна по коду сборки LMY49M.)

IOS

Apple имеет тенденцию поддерживать устройства iOS в течение трех-пяти лет после их первоначального выпуска. (Источник.) Они поставляют как новые функции (которые замедляют работу вашего устройства, тем самым побуждают вас к обновлению), так и обновления безопасности. Но я хочу устройство, которое будет более открытым и расширяемым, чем устройство Apple.

Мой вопрос

Если я сегодня покупаю мобильный телефон Android и хочу получать обновления безопасности для него как можно больше лет, как мне выбрать?

(Ежемесячные обновления безопасности хороши, но сегодня я не спрашиваю о ежемесячных обновлениях безопасности. Мой вопрос не в том, какие телефоны Android получают обновления безопасности чаще всего. Вместо этого, речь идет о том, какие телефоны Android получают обновления безопасности в течение наибольшего количества лет. после покупки - даже если мне придется ждать шесть или двенадцать месяцев между обновлениями.)

Пожалуйста, не рекомендуйте конкретную марку и модель мобильного телефона и оставьте это на этом. Такой ответ был бы полезен для читателей сегодня, но не для читателей, которые рассматривают этот вопрос через несколько лет. Вместо этого, пожалуйста, скажите мне, как сравнивать продукты самостоятельно. Насколько важно для меня выбрать наиболее продаваемое устройство? Имеет ли значение, куплю ли я телефон среднего класса (100-200 долларов США без контракта) или телефон высокого класса (600-800 долларов США без контракта)? Должен ли я выбирать оборудование от производителей, которые устанавливают свои драйверы в ядро ​​Linux , и если да, то какие это производители? Какие еще критерии я должен использовать, чтобы сделать свой выбор?

Пожалуйста, предположите, что я готов загрузить и установить пользовательские ПЗУ, чтобы получать обновления безопасности, но я не собираюсь ничего компилировать самостоятельно.

Я знаю, что вы не можете предсказать будущее с идеальной точностью. Пожалуйста, постарайся изо всех сил.

Голландская потребительская организация периодически проверяет свои смартфоны на наличие обновлений: https://www.consumentenbond.nl/acties/updaten/ruim-een-derde-smartphones-heeft-sterk-verouderde-veiligheidsupdate

Список в основном: телефоны Google Nexus / Pixel (~ 3 года), Nokia / HMD Global, флагман Samsung (~ 1,5 года) прошлого года (~ 1,5 года), флагман Sony Xperia этого года.

(Эти телефоны имели февральское обновление 2018 года, начало марта)

В то же время iDevices обновляется до 5 лет (4 года + обновления безопасности до следующей iOS). Это делает их дешевле по сравнению с прошлым годом в течение срока службы телефона. Пожалуйста, ознакомьтесь с таблицами «Амортизация» и «Источники» в этой книге Google Sheets .

Модульная может предложить официальную долгосрочную поддержку

Сегодня не совсем готовы модульные телефоны, подобные Project Ara . Имейте в виду, что график для модульных телефонов уже с годами проскальзывал, поэтому я все равно считаю даты сомнительными. Из-за их модульного характера ожидается, что они будут поддерживаться в течение длительного времени.

Обновление: Проект Ара был отменен вскоре после того, как я написал этот ответ. VentureBeat рассказывает о проекте Ara и о сложностях с модульными телефонами .

Неофициальная поддержка

Без официальной поддержки вы в основном пытаетесь предсказать будущее относительно того, какие телефоны будут иметь достаточно энтузиастов пользователей для поддержки телефонов. Для этого нет простых аппаратных или ценовых критериев.

Если вы хотите что-то сегодня, я бы порекомендовал устройство Nexus. Помимо гарантированных обновлений, кажется, что в сообществе достаточно последователей, что есть доступные ПЗУ через несколько лет после окончания официальной поддержки. Не ожидайте, что обновления будут выпущены своевременно, потому что люди в основном поставляют это в свободное от работы время. У меня есть Galaxy Nexus (maguro), например, который был выпущен в 2011 году . Последние релизы maguro Cyanogenmod :

1. см-13.0-20160820
2. см-13.0-20160816
3. см-12.1-20160719
4. см-11-20150626

Я был удивлен, увидев обновление линии 12.x в прошлом месяце, потому что это было так давно с момента последнего обновления. Я закончил тем, что вернулся к сборке 20150626 для целей разработки, потому что у видео на 12.x были проблемы, поэтому также имейте в виду, что пользовательские ПЗУ не могут творить чудеса с менее мощным оборудованием.

Наличие необычного оборудования не отговорило мотивированных добровольцев от продолжения поддержки Galaxy Nexus, который имеет необычный процессор Texas Instruments. Ходили слухи, что Google отказался от поддержки относительно рано из-за этого.

Вы должны догадаться, если вы не будете сами обслуживать устройство или платить кому-то за его обслуживание.

В других ответах упоминается, что дистрибутивы вторичного рынка могут предоставлять вам обновления безопасности. Это верно только в некоторой степени. Они обычно включают в себя низкоуровневый код (проприетарные двоичные объекты) от производителя, и эти части не получают обновлений после прекращения поддержки от производителя.

То же самое относится к ошибкам прошивки аппаратных компонентов. (например, Broadpwn)

PostmarketOS пытается решить эти проблемы с помощью дистрибутива GNU / Linux для телефонов и прошивок с открытым исходным кодом .

Лучшим вариантом будет купить телефон Google Nexus. Поскольку Google является разработчиком Android, телефоны Nexus сначала получают обновления.

Примером их обновлений является патч Stagefright. Самый старый телефон, который получил исправление безопасности, был Nexus 4. Телефон был выпущен в 2012 году и все еще получил обновление. Телефоны Nexus, которые не получили обновление от Google, получили его от сторонних разработчиков ROM - телефоны Google, похоже, привлекают разработчиков.

На момент написания статьи последний телефон Nexus - это Nexus 6P .

Список дат окончания поддержки для телефонов Google:

• Nexus 6P сентябрь 2017
• Nexus 5X сентябрь 2017
• Nexus 9 октября 2016
• Nexus 6 октября 2016 г.
• Nexus 5 октября 2015
• Nexus 7 (2013) июль 2015
• Nexus 4 ноября 2014
• Nexus 10 ноября 2014 г.
• Nexus 7 (2012) июнь 2014

Заплаты безопасности не гарантированно заканчиваются в эти даты, но вполне возможно, что они будут.

( Источник )

Список исправленных уязвимостей, распространяемых через OTA на устройства Nexus (stagefright):

• CVE-2015-3873
• CVE-2015-3872
• CVE-2015-3871
• CVE-2015-3868
• CVE-2015-3867
• CVE-2015-3869
• CVE-2015-3870
• CVE-2015-3823
• CVE-2015-6598
• CVE-2015-6599
• CVE-2015-6600
• CVE-2015-3870
• CVE-2015-6601
• CVE-2015-3876
• CVE-2015-6604

( Источник )

Что касается стокового Android, производители, которые в настоящее время наиболее бдительны в отношении своевременного обновления ОС своих последних моделей, - это Google в сотрудничестве с Nexus и Motorola в линейке Moto.

После того, как производители заканчивают свои обновления, сообщество продолжает выпускать пользовательские ПЗУ для популярных моделей. Возможно, самый широкий набор пользовательских дисков, CyanogenMod (CM) по-прежнему поддерживает старые устройства, такие как Galaxy S2, хотя и с некоторыми ограничениями . Способность поддерживать старые модели сильно зависит от выпуска исходных кодов производителями и (за некоторыми исключениями) кажется, что исходные коды устройств Snapdragon выпускаются чаще, чем исходные коды для устройств Exynos.

Список устройств от основных производителей, поддерживаемых последней версией CM (13), можно найти здесь, и он может дать вам некоторое представление о том, как устройства поддерживаются сообществом в долгосрочной перспективе.

Объединяя эти две перспективы, я бы сказал, что устройства Nexus обеспечивают наилучшую краткосрочную поддержку запасов. Тем не менее, вы часто можете найти флагманские телефоны с лучшими характеристиками, которые будут иметь такую ​​же долгосрочную поддержку сообщества. Вы можете избежать устройств Exynos, хотя.

Выберите флагманское устройство вместо устройства среднего или низкого диапазона. Flagships (и некоторые другие популярные модели) обычно долгое время поддерживаются сообществом. У меня есть Samsung Galaxy S3 (d2tmo), который вышел почти 4,5 года назад и до сих пор поддерживается Cyanogenmod. Он был выпущен с Icecream Sandwich и теперь обновлен до Marshmallow благодаря CM. В конечном счете, поддержка сообщества зависит от количества активных пользователей.

Google где-то опубликовал заявление о том, что они официально будут предоставлять поддержку своих телефонов Nexus только в течение двух лет, и это лучшее, что вы можете получить с помощью акций.

Если вы готовы катиться с пользовательскими ромами. Я думаю, что покупка телефона с набором микросхем от производителя с хорошим послужным списком в предоставлении драйверов для недавно выпущенной версии Android - хорошая ставка. Qualcomm по-прежнему предоставляет последние версии драйверов ядра для всех Snapdragon 6xx-8xx для Android 6.0, например, который предоставляет сообществу, например форумы XDA, возможность создавать пользовательские ромы для всех телефонов с чипсетом. Также выберите марку / производителя, который позволяет разблокировать загрузчик, например Sony, Motorola. Заблокированный загрузчик сильно влияет на сообщество в создании пользовательских дисков, заставляя их создавать эксплойты или обходные пути в устройстве, делая его потенциально нестабильным в использовании.

Но мой совет: просто выберите лучший телефон, который заполнит большую часть вашего флажка, и оставайтесь с ним до тех пор, пока он не сломается. Я думаю, что Android довольно безопасен, как есть.