感谢许多志愿贡献者的努力，F-Droid 网站现已提供日文版。虽然主页和教程已经完成，但常见问题解答和应用说明的翻译工作仍在进行中。鼓励有兴趣添加这些翻译或改进现有翻译的人通过 F-Droid 的 Weblate (https://hosted.weblate.org/languages/ja/f-droid/) 做出贡献。

为了让 F-Droid 值得信赖，我们需要保持透明。让人们轻松关注我们使用的所有流程和系统有助于我们保持安全。Debian 和其他 GNU/Linux 发行版在过去几十年中已经证明的一件事是，透明度是安全交付软件的有效成分。这确保了在 f-droid.org 上发布的应用和软件包仅来自上游开发人员的源代码。审查上游开发人员的源代码有助于这些开发人员安全地交付他们的代码。这些审查也是 F-Droid 在发布软件时如何首先代表用户的基础。为此，我们一直在大力推进发布 JSON API，这些 API 包含了我们发布尊重用户且受信任的自由软件的所有流程的关键信息。 存储库索引 F-Droid 是围绕所有可用应用和软件包的签名索引构建的。这是一个 JSON 文件，尽管由于所有信息都在一个文件中它更像是一个索引而不是 API。它可用于任何用途，并且有一些项目受益于此。fossdroid.com 是 f-droid.org 中所有可用应用的替代 Web 视图。Aurora，F-Droid Classic，G-Droid 和 M-Droid 是替代的 Android 客户端应用。 存储库索引采用签名 JAR 文件的形式，其中包含 index-v1.json。最好的方法是验证 JAR 签名，然后如果验证成功则提取 index-v1.json。fdroidserver Python 库提供了 fdroidserver.download_repo_index() 使这很容易做到。也可以使用任何 ZIP 库来读取 index-v1.json。 https://f-droid.org/repo/index-v1.jar https://f-droid.org/archive/index-v1.jar 应用构建元数据 f-droid.org 中的每款应用均有相应的构建元数据文件，...

fdroidserver 是一套核心工具集，用于构建应用，扫描它们以查找问题或负面特征，将生成的文件收集到存储库，并将它们发布到世界各地。今天，我们发布了一个重大更新，其中包含大量已经准备很久的更改和更新。首先，这个版本将我们 10 年来用于处理 Android 应用的工具和技巧集合变成了一个带有 API 的工具包，包括核心的一组使用稳定接口声明的函数。这允许广泛的新用途，例如无界面的自动化存储库或 issuebot。现在还可以使用新的插件扩展命令行界面。应用元数据文件现在是纯 YAML，因此它们本身就是一个 API，可以通过任何标准 YAML 库轻松解析和写入。此外，存储库配置文件的首选格式现在是 YAML (config.yml)。 F-Droid 已有 10 年历史，因此此版本还侧重于现代化。开发和使用超过 10 年的软件不可避免地会积累技术债务。我们借此机会删除了许多损坏的、未使用或未维护的东西。因此，有一些破坏性更改，如更改日志中所述。我们希望这一切都能让新贡献者更容易参与并做出有价值的贡献，同时也对现有贡献者更友好。 最后但同样重要的是，这是第一个完全支持本地化的 fdroidserver 版本。2.0 附带 བོད་སྐད་, Deutsch, English, español, français, magyar, italiano, 한국어, norsk bokmål, polski, português do Brasil, português europeu, русский, shqip, Türkçe, українська, 简体中文，和繁體中文。 更新日志 此更改日志包含具体的亮点和细节。请参阅 2.0 里程碑...

F-Droid 是一个对自由开源软件（FOSS）充满热情的机器人，现在 F-Droid 有了新的帮手：issuebot！它以在 RFP 议题跟踪器运行的一组脚本开始，对人们在打包请求中提交的信息进行一些自动检查。作为跟踪跟踪器项目的一部分，我们与 F-Droid 的 fdroiddata 和 RFP 的维护者和贡献者进行了交谈，以了解 issuebot 可以如何帮助他们。一个关键目标是让人们能够为应用审核做出贡献，即使他们在任何意义上都不是 Android 开发者。这可以通过使 issuebot 自动运行尽可能多的核心构建过程和审查工具来实现，然后 issuebot 在 RFP 问题或 fdroiddata 合并请求的线程中显示该信息作为回复。我们想出了很多种方式呈现这些信息，最终决定将 issuebot 集成到 F-Droid 贡献者和社区成员审核应用的现有工作流程中：GitLab 项目。这些信息总是会有一些出乎我们意料的用途，并且数据已经被集成到一起了，所以 issuebot 还包括一个 JSON API。 现在 issuebot 是一个成熟的自动机器，从源 URL 开始，构建 APK 应用文件，扫描源代码和 APK 以查找问题，并将报告发布到 gitlab.com。这已经在审查应用提交和向提交者提供反馈方面提高了人力效率。 RFP 议题 任何人都可以向 F-Droid 提交“打包请求” (RFP) 或应用合并请求。大多数互联网用户都熟悉基本的用户体验，因为它是围绕用户帐户和提交文本的表单构建的。这意味着...

2020 年 10 月末，FSF 委员会开始审查高优先级项目自由软件列表，他们需要你在 1 月 8 日之前提供反馈。 考虑到这一年的重点是人类的移动性以及帮助我们在任何地方工作和娱乐的计算机，这将是你向这个对自由开源软件充满热情，全年都在不断更新，并在 Android 平台上提供新的应用的小机器人表达爱意的好方法。 你可以只给他们发送一封电子邮件，也可以更进一步写一篇博客或社交媒体帖子并将链接发送给他们。 你可以在这里阅读他们在 GNU 站点上的详细信息。

Repomaker 收到了一个重大更新以使其可维护。它现在适用于 fdroidserver 1.1.10 和任何 Django 1.11.x 版本，并且几乎完成了移植到 Django 2.x 的工作。flatpak 包已经更新，现在也可以在 Raspberry Pi（或任何 ARM）上运行。 尝试 Repomaker 的最简单方法是 Flatpak 包。docker-compose 设置为将 Repomaker 作为 Web 服务运行提供了快速试用。 Repomaker 仍然需要一个首席开发者。正在寻找要承担的项目？请在论坛或聊天室联系我们。 (这项工作作为 Wind 项目的一部分得到了 Mozilla WINS 比赛的奖金支持。)

React Native 是一个流行的开源应用开发框架，可以使用平台的原生 UI 组件轻松构建跨平台应用。这使其成为为所有平台构建应用的开发人员的理想选择。 这就是我们在开始开发新的 EteSync Notes 应用时选择它的原因。它使我们能够在很短的时间内构建一个应用，100% 重用 Android、iOS、Web 上的代码，一旦我们发布桌面客户端，也是如此。 作为一个开源项目，以及 F-Droid 的长期（非常快乐的）用户，我们在构建应用之前的主要关注点之一是：react-native 应用可以在 F-Droid 上构建吗？我们上网查了一下，但没找到明确的答案。然后，我们查看了 fdroiddata 存储库，我们看到了一些地方提到了 react-native，将我们引向 F-Droid 上可用的 react native 应用。所以我们知道了这是可以做到的，我们只是不知道该如何做。 本文的其余部分假设你熟悉 F-Droid 元数据文件以及如何构建普通的 Android 应用。 在 F-Droid 上构建 React Native 应用存在一些主要挑战： React Native 应用有两个构建和依赖管理系统（React Native 的和 Android 的）。 React Native 应用需要比 F-Droid 上可用的 NodeJS...

以下是使用硬件安全模块 (HSM) 通过 F-Droid 发布应用的教程。本文中使用的 HSM 是 Nitrokey HSM2。其他硬件令牌应该具有类似的功能，但你必须使用不同的命令与 HSM 交互。 一旦在 HSM 中生成密钥，将签名密钥存储在 HSM 中会提供主要的安全优势，它永远无法以纯文本形式提取。而是将要签名的数据发送到 HSM，它将使用内部持有的密钥材料生成签名。他们还应用了一些防篡改技术，这使得密钥的物理提取非常困难。 Android 应用的签名密钥是所述应用身份的一部分。作为一项安全措施，只有在新的 apk 使用与旧 apk 相同的私钥签名时，才能安装应用的更新。将密钥存储在 HSM 中可确保即使攻击者破坏了你的基础设施，他们也无法窃取签名密钥。事实上，攻击者是否可能已经获得了密钥的访问权永远不会有任何疑虑。这需要盗走物理 HSM，而这至少将轻易发现。尽管如此，入侵者仍可能使用 HSM 签署恶意应用。 F-Droid 有两个签名步骤。所有 apk 以及存储库索引都已签名。理想情况下，所有这些密钥都应存储在 HSM 中。 声明： 我问 Nitrokey 他们是否可以赞助一些 Nitrokey HSM 来让 F-Droid 的发布工作流程与之配合使用。他们同意给我寄三个，并让我写一篇关于我的结果的博客文章。 步骤 0：准备 Nitrokey HSM2 强烈建议在使用前用设备密钥加密密钥 (DKEK) 初始化...