F-Droid 的第二次全面安全审计已完成。我们对结果感到满意，这再次证实了核心安全模型和标准操作是可靠的。审计指出了核心构建过程中的问题，我们目前依靠可信贡献者的手动审查来保护我们。该审计还表明，即使在连接到恶意服务器时，我们仍需努力实现保持 Android 客户端安全的目标，例如，如果手动添加由其运营商创建的不受信任的存储库以供利用。完整的审计报告可在此下载：report_otf_fdroid.pdf (缓存副本)。 审计由 Radically Open Security 进行，这是 F-Droid 的天然合作伙伴，因为他们同样关注自由软件和开放流程。感谢 Open Tech Fund 找到审计员并支付雇用他们的费用。 有关 F-Droid 的安全实践的更多信息，请参阅有关安全模型的文档。 降低信任要求 这次审计的一个关键部分是推动我们进一步降低 F-Droid 中所有流程中各个部分和参与者所需的信任级别。客户端/服务器系统通常是围绕服务器操作者完全受信任的假设构建的。有许多值得信赖的贡献者在 F-Droid 上工作，核心部分的工作人员有着长期而良好的记录。尽管如此，拥有一个不需要信任人们和他们的计算机的系统是非常有价值的。我们的目标是推动 F-Droid 生态系统的所有部分根据最小特权原则工作。 新应用和更新通过合并请求和 git 提交提交到 fdroiddata。然后这些更改将永久存储在 git 历史记录中。过去，代码信任 fdroiddata 中的所有内容，因为人类会审查提交是否存在任何恶意数据。该模型在 F-Droid 以及许多人公开开发的许多其他项目中都有很好的记录。Debian 就是一个很好的例子，因为几乎有一千名 Debian 开发人员拥有提交权限，这可以让他们在每台运行 Debian 的机器上获得 root 权限。 这次审计帮助我们提出了一个问题：在不改变贡献者工作方式的情况下，可以限制或删除哪些权限？它还发现了一些问题，其中代码信任来自 fdroiddata 的输入，这些输入已经由人类提交和审查，但这可能指向其他可能包含漏洞的代码。 减少对各个部分的信任可以减少贡献的压力，并允许我们作为一个社区向各种贡献者开放更多的东西。如果贡献者认为他们的审核是防止利用 F-Droid 的最后一道防线，那会给审核增加很大的压力。...

正如 F-Droid 每周新闻 17 中提到的，Tutanota 现在已进入 F-Droid。 在这篇特别的帖子中，来自 Tutanota 的 Ivan 向我们讲述了这个故事。 嗨，我是 Ivan，我正在开发 Tutanota，以帮助建立未来的网络，让我们的隐私权得到尊重。我认为隐私不应该是富人和精通技术的人的奢侈品，而应该是一项基本人权。 GCM（或现在称为 FCM，Firebase Cloud Messaging）是 Google 拥有的一项服务。我们 Tutanota 将 FCM 用于我们的旧 Android 应用。不幸的是，FCM 包含用于分析的 Google 跟踪代码，我们不想使用它。而且，更重要的是：为了能够使用 FCM，你必须将所有通知数据发送给 Google。你还必须使用他们的专有库。由于随之而来的隐私和安全问题，我们没有在旧应用的通知消息中发送任何信息（可以理解，这导致了我们用户的抱怨）。因此，旧应用中的推送通知仅提及你收到了一条新消息，而没有提及电子邮件本身或该消息所在的邮箱。

F-Droid 每周新闻 19，第 35 周，2018 在本期中：9 个新应用和 57 个更新，包括 Untis、Tusky、Rabbit Escape，以及 Libretorrent、Orgzly、StreetComplete、Mastalab、Revolution IRC 等。

F-Droid 每周新闻 18，第 34 周，2018。 亮点：11 个新发布的应用，OsmAnd 和 Maps 获得重大更新，即将在 F/LOSS会议上举行的演讲，以及关于 F-Droid 索引创建去中心化努力的初步讨论。

F-Droid 每周新闻 17，第 33 周，2018 在本期中：对 Fennec 图标进行投票、Mattermost 支持、演示 USB/SD 卡交换、修复 OsmAnd~、精选徽章、使用自定义 ROM 以及将 F-Droid 与 fediverse 集成。应用方面，Tutanota 进入商店，可重复构建版的 Öffi 和 Briar 终于落地。

F-Droid 每周新闻 16，第 32 周，2018 在本期中：修复附近交换，下载链接损坏并再次修复，不稳定的构建周期，3000 Mastodon 关注者，以及即将推出的 Tutanota 和 Rocket Chat。

F-Droid 每周新闻 15，第 31 周，2018 在这个版本中：发布 F-Droid 1.3，可重复构建 Briar 和 F-Droid 衬衫可以购买了。 F-Droid 是一个其中的应用经过验证的自由开源 Android 应用存储库，一个用于访问它的客户端，和一个完整的“应用商店工具包”，提供设置并运行一个应用商店所需的所有工具。它是一个由众多贡献者支撑的社区运行的自由软件项目。这是他们上周的故事。 F-Droid 核心 F-Droid 应用 1.3 版本已经发布！ @_hc 对代码进行了大修以使状态更新更加可靠。此版本还修复了围绕按钮显示错误的许多错误。更多详细信息见此处。 现在的重点转向改进的离线支持，包括与 SD 卡和 USB-OTG 设备的交换。 一场针对 Freenode 的大规模垃圾信息攻击已经进行了好几天。其结果是，我们不得不加强安全。如果你想参加我们的房间，你将需要在 Freenode 注册你的昵称，或者通过 Matrix 加入。房间是 Freenode 上的 #fdroid 或 Matrix 上的 #freenode_#fdroid:matrix.org。如果你是 Telegram 的用户，也可以通过这个链接加入该房间。 社区新闻 你还记得在 TWIF 第 28...

F-Droid 每周新闻，第 30 周，2018 在这个版本中：存储库中改进的应用描述，欢迎 beta 5 测试者，可重复构建仍然没有进展。 F-Droid 是一个其中的应用经过验证的自由开源 Android 应用存储库，一个用于访问它的客户端，和一个完整的“应用商店工具包”，提供设置并运行一个应用商店所需的所有工具。它是一个由众多贡献者支撑的社区运行的自由软件项目。这是他们上周的故事。 F-Droid 核心 Izzy 更新的应用描述已经完全合并。你将会享受到更多的细节，并有更容易了解应用是关于什么的。 F-Droid 应用的 alpha 5 已经来了，应该有很多修正，没有回归。如果你愿意运行 alpha 软件，请帮助测试，并在错误跟踪器上报告任何问题! 尽管破坏所有应用发布阶段的错误已经被修复，但 Öffi 和 Briar 令人沮丧地仍然没有被发布。而这是在他们已经构建_且_验证的情况下。构建服务器似乎有一些问题，而只有 CiaranG 具有完全访问权限，导致这个问题在等待 CiaranG 的反馈时被阻塞了。 社区新闻 本周没有新闻。请将带有 #TWIF 标签的提示发送到 @fdroidorg@floss.social。 新应用 ToxCon 2018 Schedule。ToxCon 2018 的会谈清单 Pix-Art Messenger：一个 Jabber/XMPP 聊天客户端，是 Conversations 的一个分叉 Trireme...