圈小蛙
在过去的15年里,F-Droid为全球安卓(Android)用户提供了一个安全可靠的平台,方便他们查找和安装免费开源应用。与商业应用商店(其中最著名的是Google Play商店)相比,F-Droid的差异显而易见:商业应用商店是间谍软件和诈骗的温床,公然推广各种应用,试图利用用户的注意力牟利,并通过任何必要手段(包括欺骗和暗网)窃取用户的私密信息。
而F-Droid则不同。它分发经过验证的应用程序符合用户的利益,而不是应用程序分发者的利益。F-Droid的工作方式很简单:当开发人员创建应用程序并将其源代码公开托管在某处时,F-Droid团队会对其进行审核,检查以确保其完全开源且不包含任何未记录的不当功能, 例如广告或跟踪器。通过检查后,F-Droid构建服务会编译并打包该应用程序以使其准备好分发。然后,使用F-Droid的加密密钥对软件包进行签名,或者,如果构建可重现,则使用原始开发人员的私钥启用分发。通过这种方式,用户可以相信通过F-Droid分发的任何应用程序都是从指定的源代码构建的并且未被篡改过。
谷歌打破免费应用分发的局面
上个月,谷歌单方面宣布,要求全球Android开发者必须在谷歌集中注册,这一优雅且久经考验的系统的未来岌岌可危 。谷歌不仅要求开发者支付注册费并同意其(不可协商且不断变化)的条款和条件,还要求软件开发者上传个人身份证明文件(包括政府颁发的身份证件),并列出注册开发者即将发布的每款应用的所有唯一“应用标识符”。
F-Droid称自身不能要求开发人员通过Google注册他们的应用程序,但同时,也不能“接管”我们分发的开源应用程序的应用程序标识符,因为这将有效地夺取这些应用程序的独家分发权。
一旦该法令生效,开发者注册法令将终结F-Droid项目以及其他我们如今熟知的免费/开源应用分发源,世界将失去数千款值得信赖和验证的应用的安全保障。F-Droid 的众多用户将陷入困境,无法安装甚至更新现有应用。
保护安全的谬论
虽然直接安装(或称“侧载”)软件可能存在一些固有风险,但声称中心化应用商店是唯一安全的软件分发方式是错误的。Google Play本身就曾多次托管恶意软件,这证明企业把关并不能保证用户安全。相比之下,F-Droid提供了一种值得信赖且透明的安全替代方法:每个应用都是免费开源的,任何人都可以审核代码,构建过程和日志都是公开的,可重复的构建确保发布的内容与源代码完全匹配。这种透明度和问责制比封闭平台提供了更强大的信任基础,同时仍然赋予用户选择的自由。限制直接安装应用不仅会破坏这种选择,还会将控制权集中在少数企业手中,从而削弱开源生态系统的多样性和弹性。
此外,谷歌声称需要强制开发者注册才能抵御恶意软件的说法并不诚实,因为他们 已经拥有针对设备上发现的恶意软件的补救机制:所有Android认证设备上启用的Play Protect服务已经扫描并禁用了被识别为恶意软件的应用,无论其来源如何。任何与直接安装应用相关的可察觉风险都可以通过用户教育、开源透明度和现有的安全措施来缓解,而无需强制执行排他性的注册要求。
F-Droid称,我们不认为开发者注册是出于安全考虑。我们认为这是为了巩固权力,加强对原本开放的生态系统的控制。
选择的权利
F-Droid表示,如果用户拥有一台电脑,用户就应该有权在其上运行任何你想运行的程序。这不仅适用于用户的Android/iPhone移动设备上的应用程序,也适用于用户的Linux/Mac/Windows桌面或服务器上的应用程序。强迫软件开发者接受中心化注册才能发布和分发他们的作品,就如同强迫作家和艺术家向中央机构注册才能分发他们的创意作品一样恶劣。这违反了言论和思想自由的核心原则,而这些原则正是世界各地民主社会运作的核心。
通过将应用程序标识符与个人身份检查和费用捆绑在一起,谷歌正在构建一个限制竞争和限制用户自由的瓶颈。它必须找到一个既能维护用户权利、又能保障选择自由、又能维护健康竞争生态系统的解决方案。
F-Droid建议监管和竞争主管部门仔细审查谷歌的要求
F-Droid希望,监管和竞争主管部门应仔细审查谷歌的拟议活动,并确保旨在提高安全性的政策不会被滥用来巩固垄断控制。F-Droid敦促监管机构保障替代应用商店和开源项目的自由运营能力,并保护那些无法或不愿遵守排他性注册计划和个人信息要求的开发者。
F-Droid称,如果您是一位珍视数字自由的开发者或用户,您可以伸出援手。您可以写信给您的国会议员、 众议员或其他代表,签署捍卫侧载和软件自由的请愿书,并联系欧盟委员会的数字市场法案 (DMA) 团队,表达维护开放发行的重要性。通过表达您的意见,您不仅有助于捍卫F-Droid,还能捍卫软件应保持公共性、可访问性,并免受不必要的企业把关的原则。