Chaos Computer Club 大会 通常线下举行，但疫情迫使它变成了一个名为 RC3 的虚拟活动。很多开源爱好者都来这里参观，所以不必惊讶普遍有喜欢 F-Droid 和 FOSS Android 应用的人。2019 年，我们在大会上已经举行了 F-Droid 会议。今年，我们在 2021 年 12 月 30 日安排了一次虚拟会议，并已在 F-Droid 论坛上，以及 Mastodon 和 Twitter 上宣布了这一活动。 大约 10 人 – 主要是各种开源应用的维护者 – 加入并讨论了近 3 个小时。当然有来自 F-Droid 本身的开发者（客户端应用，打包和服务器），也有来自 K-9 Mail, AntennaPod, Etar, Event Fahrplan 和 Tiny Weather Forecast 等应用的开发者。 在其他较小的主题中，我们讨论了以下内容：...

GNU/Linux 发行版如此受欢迎的一个原因是依赖管理内置于操作系统中。在 Debian 中，所有安装的软件都打包为 .deb，并且全部从 Debian 存储库安装。Android 一直缺乏这种依赖管理，我们中的许多人非常想要这样的功能。Android 的模式是所有依赖都应该包含在应用的 APK 文件中，而操作系统只提供最基本的 API。许多应用依赖于其他安装的应用。Android 和 Google Play 都无法表示这种关系。 多年来关于如何为 Android 实现良好的依赖管理进行了各种实验。F-Droid 中最近进行的依赖管理实验是“推送请求”。核心思想是为每个存储库设置一个依赖列表。例如，由于所有 Guardian Project 应用都支持 Tor，因此使用 Guardian Project 存储库意味着 Tor 将被自动安装是有道理的。根据过去几年的经验，很明显，这可以通过其他方式得到更好的处理。应用可以检查是否安装了它所需的应用。该应用应询问用户是否需要 Tor，然后引导他们完成安装过程。当时实施推送请求时还没有内置 F-Droid 的 ROM 项目。现在，将 Tor 作为 ROM 的一部分而不是通过推送请求显然更好。CalyxOS 的设置向导为设置核心依赖项提供了出色的 Android 原生用户体验。 我们现在正在从官方 F-Droid 客户端中移除对推送请求的支持。很明显，其他方法更适合 Android，因此最好消除与此功能相关的虽然小但仍然存在的安全风险。推送请求的“管道”仍将保留在代码库中，因此白标 分支仍然可以使用它。它对于全自动、无界面应用商店或作为标准设置的一部分的自动安装等仍然很有用。

感谢少数志愿者贡献者的努力，F-Droid 网站现在也可以提供罗马尼亚语版本了。虽然主要页面已经完成，但文档和应用描述仍在进行中。鼓励有兴趣帮助完成或改进现有翻译的人通过 F-Droid 的 Weblate (https://hosted.weblate.org/languages/ro/f-droid/) 做出贡献.

大家好， 鉴于最近发生的事件，F-Droid 团队决定从 Freenode 迁移到 OFTC。我们之所以选择 OFTC，是因为 F-Droid 团队对标的几个项目（例如 Debian 和 Tor）已经使用 OFTC 多年。 这个决定对我们来说并不容易，因为 #fdroid 频道是 10 多年前（2010 年 11 月 6 日）在 Freenode 上注册的，并且对于让我们的社区保持联系非常有帮助。 如果你目前在 freenode 上使用 #fdroid 或 #fdroid-dev，我们建议切换到 OFTC 上的 #fdroid 或 #froid-dev。OFTC 网站上有关于如何连接到 OFTC 服务器的说明。 如果你正在使用 #fdroid-official:matrix.org 或 #fdroid-dev:matrix.org Matrix 频道，则不需要采取任何进一步的措施。 截至 2021 年 6...

F-Droid 社区一直在讨论如何测量哪些应用受欢迎。从 2012 年到 2015 年，在 fdroiddata 中维护了一些简单的下载计数。我们还根据 Debian 的“流行度测试”勾勒出了一个想法。然后我们确定了一种从我们的网络服务器收集日志的安全方法。 一个中心思想始终是，一个好的 F-Droid 测量系统永远不会包括任何个人身份信息 (PII)，如电话号码、IP 地址、MAC、SSID、IMSI、IMEI、用户帐户等。此外，任何额外的数据收集都必须是选择加入的，例如，客户端软件报告的任何内容。 感谢 Guardian Project 的致力于隐私道德的测量的 Clean Insights 数据分析项目 ，我最近有一些时间致力于探索实际的测量。现在，有一些实际的数字可供人们使用！ F-Droid 网站 我们已为除 f-droid.org 之外我们的所有网络服务器添加了新的保护隐私的日志记录设置。Apache 配置 使用 “privacy+geo” 格式，并将日期/时间/时区减少为仅包含日期，删除 IP 地址、用户代理和 referer。nginx 配置 使用 “privacy+geo” 日志格式，并且也去除了 IP 地址，用户代理和 referer。主要区别在于 nginx 日志配置无法标准化日期，因此它们被完整地存储。然后，这些日志将被存储不超过两周，之后将被删除。测量进程在服务器本身上运行，然后仅将经过清理过的数据推送到私有的, 每个站点的 git 存储库。这些仅对核心贡献者可见，以防私人数据泄露。然后可以在公开之前手动删除私人数据。 更严格的 Apache 日志格式最终会出现在...

GitLab CI（持续集成）已成为 F-Droid 社区流程的重要组成部分。它是自由软件，建立在开放标准之上，运行良好。我们的测试生态系统中缺少的最后一点是在实际 Android 模拟器中运行测试的可靠方法。得益于很多人的推动，Google 现在实际测试了在 Docker 中运行 Android 模拟器。最近发布的 emulator SDK 包可以运行而没有立即崩溃！这是长期以来关于使用自由软件模拟器进行 Android 测试的最有希望的消息。不幸的是，它还不是一帆风顺的，让模拟器在 GitLab CI 中运行仍然需要一些魔法咒语。我们的要求是： 适用于默认的 gitlab.com 共享 runner。 不需要 KVM 或任何额外权限即可工作。 KVM 可用时使用 KVM。 我们现在拥有的为我们构建标准 fdroidclient CI 设置 奠定了基础。以前，我们仅能使用旧的 armeabi-v7a 模拟器，它们慢得几乎无法想象。这些是唯一可以在没有 KVM 支持的情况下在 Docker 中运行的模拟器系统映像。即使有 KVM 支持，模拟器似乎也很不稳定。这已经变得更好了，但仍然无法令人满意。 好消息是，在 Docker 中运行模拟器现在足够稳定，使人们可以真正围绕它构建东西，比如在 GitHub Actions 中运行模拟器。因为很多人使用 Google 模拟器，这应该可以让...

监视资本主义的恐怖清单中添加了一个新故事：美国军方正在从跟踪数百万人的公司购买跟踪和位置数据。用户必须有真正的选择退出以跟踪为主的“科技巨头”。我们审查提交给 fdroiddata 的所有应用以标记跟踪和其他“负面特征”。F-Droid 内置于 CalyxOS 等不包含专有的来自技术巨头的软件的移动平台中。由于我们只分发自由软件，这意味着我们有完整的源代码可供审查。这使得查找跟踪活动变得更加容易，即使它在应用开发人员不知情的情况下意外溜入，例如当一个自由库引入其他依赖项时。 目前，自动查找跟踪器最有效的方法是在提取的 APK 内容中搜索众所周知的字符串。域名就是一个例子，如果一个应用正在向 google-analytics.com 或 facebook.com 发送数据，那么很明显它正在执行某种跟踪。这些众所周知的字符串列表必须由人们创建和管理，然后收集和审查。Exodus Privacy 正是为此而创建了他们的 Exodus Tracker Investigation Platform (ETIP)。F-Droid, 耶鲁隐私实验室, jawz101, Guardian Project ，和其他人则将 εxodus ETIP 作为这些字符串的标准数据库共同努力。 在开放网络中搜索关键比特位 由于跟踪主要由试图获取客户的公司完成，因此他们在网络上宣传和记录他们的服务。我们花了一些时间搜索这些信息，看看我们能找到什么。我们主要使用两个信息进行搜索：我们提取 的 API Key 标识符和提供跟踪和相关服务的公司的 top 10 名单。由此，我们向 εxodus ETIP 数据库添加了 50 多个新的服务配置文件。我们还在现有条目中添加了超过 100 条附加信息，例如 SDK 标识字符串、文档链接、隐私政策以及有关公司跟踪方法的信息。 从那项研究中，我们保存了一些选定跟踪公司的选择承诺： “Glassbox 提供的客户体验分析解决方案不仅仅告诉你客户在做什么。它告诉你为什么。” “定位来自所有来源的流量，包括来自第三方...

F-Droid 长期以来一直透明地警告用户我们正在分发的应用的潜在风险。我们的团队目前特别关注：跟踪。通常跟踪对用户来说是完全不透明的。在隐私政策中，这些收集的数据通常被描述为元数据，这通常是一种粗略的过度简化。元数据通常会显示：通信伙伴和习惯、消费偏好、关于你所在位置的协议以及睡眠、驾驶、步行等活动。通常不需要太多努力就可以从中提取政治、性偏好、健康状况等具有合理统计置信度的元数据。 当我们研究 Android 上的跟踪时，我们还必须研究 Android 上的（元）数据流。有几种方法可以在应用之间传递数据，其中广播 是一种主要方式。我们发现的一个典型用例是 Android 上的媒体播放器广播它们正在播放的歌曲。你的设备上的每个应用都可以订阅这些广播。虽然这似乎有很多用途，但实际上这可能是一个重大隐私泄露。 我们不知道任何关于 Android 广播系统的隐私研究。因此，我们不知道所有可能泄露的（元）数据的全部范围。我们也不知道是否有任何跟踪器或其他恶意软件已经利用了这些数据。我们能够发现这一点，所以有理由认为其他人也可以。我们已将此纳入我们的进一步研究，以自动识别跟踪器，并希望这篇文章能提高其他隐私研究人员的认识。