保護隱私的 f-droid 及 guardian project 自由軟體市集

我在 「西藏送給 Android 用戶的禮物」 及 「保護智慧手機安全與隱私的軟體與建議」 兩文當中解釋為何我的手機很少從 google play 下載 apps， 幾乎都只從 f-droid 下載 apps。 參與社會運動者特別應該重視這個建議。 請用手機造訪 f-droid 官網 下載並安裝 f-droid 市集 (repository) 管理 app； 本文解釋 "repository" 的概念。

在自由軟體的世界， 我們信任的不是政府， 也不是那些告訴你 「棄權就是安全」/ 「不要 root 比較安全?」 的大公司， 而是看得見原始碼的軟體， 以及長期幫我們把原始碼編譯成電腦/手機軟體的人。 我們盡量固定從可靠的幾個 repositories 下載軟體， 盡量不從陌生網站及來源下載軟體。 以手機來說， 就是盡量只透過 f-droid 下載軟體。 至於哪些 repositories 是可信任的? 沒有人幫你決定； 你有權利也有義務自己判斷。

打開 f-droid 之後， 在主選單底下有一個 「repositories」 列出你所信任的市集， 如上圖。 預設僅啟用 f-droid 一個來源。 我大力推薦也打開 Guardian Project 這個來源。 Guardian Project (官網 / 維基百科 - 有人可以幫開中文頁面嗎? 想幫忙翻譯) 的宗旨在於開發並且推廣保護民眾隱私的手機自由軟體， 例如安全的聊天程式 ChatSecure。 Guardian Project 跟 f-droid 的創辦人是同一人 (Nathan Freitas)。 至於 f-droid archive 跟 guardian-project archive 存放的則是過時、 不推薦的軟體。 還有哪些來源可添加? 詳見 這一頁。 在 f-droid 的這個頁面上按下 「+」 號、 填寫新的 repository 網址， 意思就跟你在 linux 底下把新的來源檔放入 /etc/apt/sources.list.d/ (debian 或 ubunutu 系) 或放入 /etc/yum.repos.d/ (fedora 系) 一樣， 表示你從此信任這個新的來源/市集/repository 裡面的應用軟體。

f-droid 會把這些 repositories 所提供的軟體簡介放一份清單在你的手機裡。 這個清單需要不時更新 (從每個 repository 的官網下載新的清單)。 在 f-droid 右上角搜尋符號旁邊類似 「重新整理」 的按鈕就是在做這件事。 特別是當你發現有些 app 或某些版本看得見卻無法安裝的時候， 很可能就是因為你手機上的清單過時了， 需要更新。 初次啟用 guardian project 時， 它要你 「update」 也是這個意思。 這跟 debian 的 apt-get update 或 fedora 的 yum update 意思一樣。 另外， 你也可以從主選單的 preference (偏好設定) 進去設定 automatic update interval (多久自動更新軟體清單一次?)。

f-droid 的主選單裡還有一個 「bluetooth FDroid.apk」 的功能， 方便那些 「f-droid 網站被國家或公司封鎖」 的人民可以直接分享這個市集管理軟體。 事實上它還可以讓兩位 f-droid 用戶把 「對方所勾選願意分享的 apps」 視為市集、 透過 wifi 或 NFC 從對方手機下載 apk。

如果隔了一段時間沒有使用 f-droid， 安裝套件時可能會失敗。 這有可能是跟 debian 的 apt-get install ... 失敗一樣， 有某些套件太舊、 被移除了， 需要重新下載軟體簡介清單， 取得較新版的軟體檔案名稱。

有些 apps 在 f-droid 跟 google play 都可以下載， 但是在 f-droid 的版本限制比較少， 例如 離線地圖 osmand。