F-Droid 每周新闻 25，第 41 周，2018 本期中：Guardian Project 中的 Tor 浏览器、改进的 Matrix 聊天室、F-Droid 底栏改进、测试版镜像，以及 11 个新应用和破纪录的 114 个更新.

F-Droid 每周新闻 24，第 40 周，2018 由于更新过程自周一以来一直停滞不前，本周是一个简短的版本。本周我们了解到 BotBot.me 关闭、4 个新应用和 25 个更新，以及 SnoopSnitch 的重大更新。

F-Droid 每周新闻 23，第 39 周，2018 本期中：Buildserver 成功升级到 Stretch，SET 负面特征已修复，新的 F-Droid 运动衫，以及 F-Droid 1.4 标记为稳定。有 3 个新应用和 66 更新，包括 Music Player GO、FOSS Browser、StreetComplete 和 Bimba。

F-Droid 每周新闻 22，第 38 周，2018 在本期中：Buildserver 准备升级到 Stretch、SET 负面特征错误、托管的 basebox 镜像、漂亮的 fdroiddata 图表、Rocket.Chat 终于登陆商店，以及包括 Mastalab 在内的 68 个更新的应用。

F-Droid 每周新闻 21，第 37 周，2018 本期：F-Droid 项目收到两台虚拟机的捐赠，Tor 浏览器即将登陆 Android，包括 Emerald Dialer 和 MiniVector 在内的 28 个新增应用，以及包括 NewPipe 和 Kwik EFIS & DMAP 在内的 61 个应用更新。 F-Droid 是一个其中的应用经过验证的自由开源 Android 应用存储库，一个用于访问它的客户端，和一个完整的“应用商店工具包”，提供设置并运行一个应用商店所需的所有工具。它是一个由众多贡献者支撑的社区运行的自由软件项目。这是他们上周的故事。 Tor 浏览器正式支持 Android Tor 项目有史以来第一次发布了 Android 版 Tor 浏览器的 alpha 版本。它现在可以在 Tor Project 的下载页面和 Google Play 上找到，但是仍在探索将它带到 F-Droid 的可能性。这尤其重要，因为 Orfox（来自内置但默认未启用的 Guardian...

F-Droid 每周新闻 20，第 36 周，2018 在本期中：第二次安全审计完成，使用 ansible 自动化构建服务器设置，本周更新应用包括 Just Notes、Cow’s Revenge、Feeel 等。

F-Droid 的第二次全面安全审计已完成。我们对结果感到满意，这再次证实了核心安全模型和标准操作是可靠的。审计指出了核心构建过程中的问题，我们目前依靠可信贡献者的手动审查来保护我们。该审计还表明，即使在连接到恶意服务器时，我们仍需努力实现保持 Android 客户端安全的目标，例如，如果手动添加由其运营商创建的不受信任的存储库以供利用。完整的审计报告可在此下载：report_otf_fdroid.pdf (缓存副本)。 审计由 Radically Open Security 进行，这是 F-Droid 的天然合作伙伴，因为他们同样关注自由软件和开放流程。感谢 Open Tech Fund 找到审计员并支付雇用他们的费用。 有关 F-Droid 的安全实践的更多信息，请参阅有关安全模型的文档。 降低信任要求 这次审计的一个关键部分是推动我们进一步降低 F-Droid 中所有流程中各个部分和参与者所需的信任级别。客户端/服务器系统通常是围绕服务器操作者完全受信任的假设构建的。有许多值得信赖的贡献者在 F-Droid 上工作，核心部分的工作人员有着长期而良好的记录。尽管如此，拥有一个不需要信任人们和他们的计算机的系统是非常有价值的。我们的目标是推动 F-Droid 生态系统的所有部分根据最小特权原则工作。 新应用和更新通过合并请求和 git 提交提交到 fdroiddata。然后这些更改将永久存储在 git 历史记录中。过去，代码信任 fdroiddata 中的所有内容，因为人类会审查提交是否存在任何恶意数据。该模型在 F-Droid 以及许多人公开开发的许多其他项目中都有很好的记录。Debian 就是一个很好的例子，因为几乎有一千名 Debian 开发人员拥有提交权限，这可以让他们在每台运行 Debian 的机器上获得 root 权限。 这次审计帮助我们提出了一个问题：在不改变贡献者工作方式的情况下，可以限制或删除哪些权限？它还发现了一些问题，其中代码信任来自 fdroiddata 的输入，这些输入已经由人类提交和审查，但这可能指向其他可能包含漏洞的代码。 减少对各个部分的信任可以减少贡献的压力，并允许我们作为一个社区向各种贡献者开放更多的东西。如果贡献者认为他们的审核是防止利用 F-Droid 的最后一道防线，那会给审核增加很大的压力。...

正如 F-Droid 每周新闻 17 中提到的，Tutanota 现在已进入 F-Droid。 在这篇特别的帖子中，来自 Tutanota 的 Ivan 向我们讲述了这个故事。 嗨，我是 Ivan，我正在开发 Tutanota，以帮助建立未来的网络，让我们的隐私权得到尊重。我认为隐私不应该是富人和精通技术的人的奢侈品，而应该是一项基本人权。 GCM（或现在称为 FCM，Firebase Cloud Messaging）是 Google 拥有的一项服务。我们 Tutanota 将 FCM 用于我们的旧 Android 应用。不幸的是，FCM 包含用于分析的 Google 跟踪代码，我们不想使用它。而且，更重要的是：为了能够使用 FCM，你必须将所有通知数据发送给 Google。你还必须使用他们的专有库。由于随之而来的隐私和安全问题，我们没有在旧应用的通知消息中发送任何信息（可以理解，这导致了我们用户的抱怨）。因此，旧应用中的推送通知仅提及你收到了一条新消息，而没有提及电子邮件本身或该消息所在的邮箱。