This Week in F-Droid TWIF curated on Friday, 17 Oct 2025, Week 42 Community News We’ve featured Taler news before, and while reading about possibilities and what it does “in theory” sounds nice, having their apps and infrastructure to actually test and use is what everyone wants. Hence, following last...

This Week in F-Droid TWIF curated on Thursday, 09 Oct 2025, Week 41 Community News The end of tt-rss.org might be a reason to be sad. We have at least two apps that connect to such instances, TTRSS-Reader and Geekttrss, but looks like development continues at github.com/tt-rss. @linsui updates to...

序言 在本專題系列上一篇文章，我們探討過一眾 FOSS 專案如何處理法律下架請求。然而，有另一類別的法律風險存在，且通常更為敏感、更不為可見：政府請求索取使用者或開發者資料。 此等請求可謂形形色色，由正式的法庭命令和傳票，乃至來自執法機關或監管機構含糊其辭的電子郵件。對於架構應用程式、發行二進位編譯檔，又或維護記錄檔的專案而言，則離不開這道問題：您有的資料是甚麼，若有人詢問要求索取時，您又會怎樣做？ 我們在說怎麼樣的請求？ 權力機構的請求可能包括： 與應用程式之開發者或維護者有關的個人識別資訊 存取使用者中繼資料，例如 IP 記錄檔、下載歷程，又或信用卡資訊 識別與特定內容或行為關聯的人士 (例如備受爭議之應用程式的貢獻者) 要求保存資料以供日後蒐集 許多 FOSS 專案並不自視為「平臺」，而且根本未必收集或儲存個人資料。職是之故，權力當局的詢問卻未必每每就此干休。 訪談中，英雄所見略同 縱觀我們與一眾 FOSS 非營利機構、法律專家，以及基礎架構維護者的對話，得出若干核心原則： 一、儘量減少您儲存甚麼 幾位受訪者強調，要避免遵循風險的最佳方法，就是打從一開始就沒有相關資料。這包括： 不記錄使用者活動，除非安全性或效能所必要 避免保留貢獻者的 IP 位址、註冊資料，又或裝置識別碼 使用隱私優先的運算分析工具，甚或完全不使用運算分析 不妨這樣想：但凡您儲存一個欄位，即是一個風險。若是交出來乃非您所願的話，乾脆不收集就好。 二、分開基礎架構與個人 多個組織建議侷限個別貢獻者的對外曝露： 使用角色帳戶或化名作面向公眾的貢獻 確保域名註冊與法律聯絡乃由法律實體秉持，而非個人 使用諸如 Open Collective 或 LiberaPay 的財務代管以接受捐款 避免在可被抓取的地方發佈貢獻者身份 額外的預防措施包括，在已知高風險地區作業的貢獻者，即使與其進行個別對話也使用化名，以解釋潛在的風險。 透明與緘默 有別於下架請求，當局索取使用者或貢獻者資料的要求通常伴隨禁言令或隱含的保密要求。在某些國家，我們獲告知，承認收到一則請求本身也是違法。透明化報告因此變得困難。 話雖如此，一些專案仍儘其所能： 發表關於所收到請求之數目及類型的彙整資料 公開表明他們並不保留何種資料 在已發表的政策中包括法律過程指引 (例如：「所有請求必須藉由法庭命令於我們所在司法管轄區內呈交」) F-Droid 現正進行的工夫...

This Week in F-Droid TWIF curated on Friday, 03 Oct 2025, Week 40 F-Droid core Back in August we’ve talked about the core of our infrastructure, the servers CPUs and their age. This issue has two paths to be fixed. One in Google’s court, software side, were we’ve heard progress...

過去 15 年，F-Droid 一直為世界各地的 Android 使用者提供一片安全無虞的樂土，好以尋找並安裝自由且開放原始碼的應用程式。相反，商業模式的應用程式商店⸺Google Play 商店乃其表表者⸺卻是天差地別：它們是間諜軟體與詐騙的溫床，明目張膽推廣覷覦使用者的應用程式，不論是企圖巧取使用者的注意力藉以牟利，或是千方百計挖掘使用者貼身的資訊，甚至不擇手段使奸耍猾、暗度陳倉。 F-Droid 截然不同。它所發行的應用程式，其運作經驗證乃 效力 使用者的利益，而非應用程式發行者的利益。F-Droid 運作的方式簡單明瞭：當開發者建立起應用程式，並將原始碼架構於公眾可及之處，F-Droid 團隊便進行檢閱，加以查驗以確實其完全開放原始碼，且不包含未有記載的反功能，例如廣告或追蹤器。當其通過查驗，F-Droid 建構服務便編譯並封裝應用程式以備發行。套件隨即以 F-Droid 的加密金鑰簽署；倘建構可重現，則改為啟用以原始開發者的私密金鑰發行。這樣能讓使用者信任，任何透過 F-Droid 發行的應用程式，乃源自特定的原始碼建構，且未經篡改。 您可想有個天氣應用程式，乃不傳送您每一步路去某個來歷不明的資料仲介？或是有個行程安排助理，乃不竊取您的貼身詳情去供養某個廣告網路？F-Droid 就是您的靠山。便如陽光是對抗腐敗的最佳消毒劑，開放原始碼乃是最佳的防衛，用以對抗行徑有悖使用者利益的軟體。 Google 打破自由應用程式發行之舉 此一精妙歷練的系統，如今卻岌岌可危，前途堪憂，事緣上月 Google 逕自頒佈，全世界的 Android 開發者俱將必須與 Google 集中註冊。除要求繳付註冊費並同意他們 (不容商議、不時變更) 的條款與細則外，Google 還將要求軟體的著作者上載個人識別文件 (包括身份證)，並就該註冊開發者將要發行的每一應用程式列舉所有獨特的「應用程式識別碼」。 F-Droid 專案不能要求開發者經 Google 註冊其應用程式，與此同時，我們也不能「接管」我們所發行之開放原始碼應用程式的應用程式識別碼，因為這樣做，無異於奪取該等應用程式的獨家發行權。 一旦此頒佈生效，開發者註冊令將終結 F-Droid 專案以及其他自由/開放原始碼應用程式發行來源，不再是如今人所熟知的模樣，世界亦將缺少由數以千計、人人皆可信任並驗證之應用程式匯集而成的目錄所盛載的安全、無虞。F-Droid 芸芸使用者將漂泊流離，無從安裝⸺甚或更新其現有已安裝的⸺應用程式。(究竟確實有多少 F-Droid 使用者？我們無從知曉，因為我們不追蹤使用者，也沒有任何註冊：＜使用者帳戶從缺，乃是設計＞) 子虛烏有的安全 雖則直接安裝⸺亦即「側載」⸺軟體可視為帶有若干固有風險，聲稱集中化應用程式商店是軟體發行唯一的安全選項並不真確。Google Play 本身曾多番架構惡意軟體，可見企業把關並不擔保使用者保障。反觀 F-Droid 提供一個值得信賴、公開透明的另類安全途徑：每一個應用程式皆為自由且開放原始碼，程式碼任誰皆可稽核，建構過程與記錄檔一律公開，而且可重現構建確保發佈內容與原始碼切實相符。此公開透明、承擔透澈相較封閉的平臺提供一個...

This Week in F-Droid TWIF curated on Friday, 26 Sep 2025, Week 39 Community News We often talk about what we look at when we choose our apps, we want: freedom, privacy, security, transparency and more. With FLOSS apps we get most of those, or at least we can check,...

《數位市場法》(DMA) 乃「為使數位業界中的市場更公平、更容競爭的歐盟法律」。 F-Droid 昂然立足 DMA 許多關於確保使用者選擇與隱私的理想並肩而行。譬如說： DMA 有條文規定，確保第三方軟體應用程式或軟體應用程式商店得以使用：F-Droid 長久以來一直是著重隱私或自由軟體的使用者在 Google Play 商店以外安裝應用程式首屈一指的方法 DMA 對把關者如何處理個人資料設限：F-Droid 甚至不設帳戶。我們根本不追蹤使用者。故沒有個人資料供我們處理。 最近，Google 引入一項新的開發者驗證政策，乃與 DMA 相左。政策要求，只有應用程式的開發者已與 Google 進行身份驗證，才可安裝在其下的作業系統上，哪怕應用程式並非透過 Play 商店安裝。驟耳聽來，這好像只影響應用程式開發者，然而它相當深切影響最終使用者的選擇與自由，帶來損害的方式有悖 DMA 的精神。 Google 或許爭辯，他們實施的政策著實必要且合乎比例，以確保第三方軟體應用程式或軟體應用程式商店不至危害 Google 提供之作業系統或硬體的完整性 (第 6.4 條)。 誠然，此言差矣。 信任並非藉由驗證開發者的法律身份而贏取。無論開發者的身份有否經 Google 驗證，發佈到 Play 商店的應用程式是否有害，乃是無從驗證。 信任乃是由透明化來贏取。F-Droid 使用者能夠確定地驗證他們將要安裝之應用程式所用來建構的原始碼。 F-Droid 自原始碼建構自由軟體，然後發行至最終使用者的方式，毋需涉及 Google，與大部分 Linux 發行版數十年來一貫發行軟體的方式相似。這些發行機制歷經時間考驗，獲視為非常安全、值得信賴，而且廣受世界各地大部分現代運算基礎架構使用。 沒有人提出過 Linux 發行版需要一個集中機構驗證每一應用程式開發者，好使其對最終使用者更安全。行動作業系統又何來兩樣。

This Week in F-Droid TWIF curated on Friday, 19 Sep 2025, Week 38 Community News aFreeRDP was updated to 3.17.1 but you should skip this update since it keeps on crashing. A fixed update is being tested right now, stay tuned! Element X - Secure Chat & Call was updated...