Wymaganie Google Play odnoście publikacji nowych aplikacji przez AAB zamiast APK, nie jest jedyną zmianą.
Razem z nią developerzy tracą możliwość umieszczenia w sklepie aplikacji bez udostępnienia klucza prywatnego Google.
Android blokuje aktualizacje aplikacji, jeśli nie zgadza się podpis, aby mieć pewność że pakiet jest od tego samego programisty.
Ale od teraz Google może dla konkretnej osoby zmodyfikować dowolną aplikację (np Signal), a system dopuści instalację.
@didek Jest jakiś soft pozwalający na proste robienie reproducible build wielu aplikacji i porównywanie ich z tymi z google play? Najlepiej z ładnym GUI, żeby sobie selfhostować i widzieć “OK” na zielono xD
@root Aby zweryfikować build musisz go sam zbudować. To jest do zautomatyzowania, ale wymaga mocy obliczeniowej i telefony nie z pozwalają na budowanie.
@wolf480pl @root
Z F-Droidem to inna sprawa, bo w oficialnych repo aplikacje są budowane z kodu źródłowego, więc też muszą być podpisane przez sam F-Droid, ale te buildy są weryfikowalne oraz każdy korzysta z tego samego repo bez identyfikowania się.
Google Play zaś może konkretnym osobom wysyłać zmodyfikowane wersje aplikacji (ma ich ID) oraz teraz również je podpisać więc system operacyjny przepuści aktualizację.
@didek @wolf480pl @root Jak dla mnie najbardziej hardcorowy jest Aptoide.
@didek @root no tak, ale chodziło mi o to, że F-Droid próbował coś robić z reproducible buildami