2025 年 8 月,Google 宣布将于 2026 年起在部分国家和地区实施开发者验证新规,要求所有在 Google 认证 Android 设备上安装的应用必须来自经 Google 验证的开发者。这一政策直接冲击了侧载(sideloading)生态和第三方应用商店的生存空间。F-Droid 作为开源 Android 应用分发平台,迅速联合多个组织发起「Keep Android Open」运动,旨在从工程实践层面维护 Android 平台的开放性。本文将从技术背景、政策影响、开源生态的应对策略三个维度,深入分析这场关乎 Android 未来的关键博弈。
Google 开发者验证新规的技术背景
2025 年 8 月,Google 正式宣布了针对 Android 应用的开发者验证计划(Developer Verification),该计划要求所有希望在 Google 认证 Android 设备上分发应用的开发者必须通过身份验证。根据官方说明,个人开发者需要提交政府颁发的身份证件、家庭住址、电话号码,并支付 25 美元的费用,才能获得开发者 verified 状态。这项政策首先在巴西、印度尼西亚、新加坡和泰国四个国家于 2026 年 9 月生效,随后计划在 2027 年扩展至更多市场。
从技术实现角度来看,这套验证体系的核心在于 Google Play Protect 安全引擎的改造。当用户尝试安装任何来源的应用时,系统会检查该应用的开发者是否已在 Google 开发者控制台完成验证并处于有效状态。如果开发者未通过验证,即使应用来源于侧载或第三方应用商店,安装请求也将被系统拦截并弹出警告。Google 将其比喻为「机场的身份证检查」,意在强调该措施是为了降低恶意软件通过应用渠道传播的风险。
然而,这项政策的技术实现方式引发了广泛争议。F-Droid 在官方博客中指出,Google 的表述存在误导性 —— 虽然 Google 声称「侧载不会消失」,但在实际执行中,所有分发渠道都将受制于同一套验证体系。这意味着即使用户主动选择从第三方渠道安装应用,如果该应用的开发者未通过 Google 的身份验证,系统仍将阻止安装。从工程角度看,这不再是传统意义上的侧载,而是变成了「受监管的侧载」。
开源生态面临的核心挑战
F-Droid 作为成立十余年的开源 Android 应用仓库,一直致力于提供无需 Google 账户、不受商业审查的自由软件分发渠道。其仓库中的所有应用均为自由开源软件(Free and Open Source Software,FOSS),用户可以自由查看源代码、重新分发和修改。这一模式建立在 Android 侧载机制的开放性之上,而 Google 新规直接威胁了这一基础。
根据 F-Droid 的声明,新规意味着「第三方应用商店的终结」。该组织在公开信中明确表达了三点核心关切:首先是开发者权利的削弱,开发者无法再直接将应用分享给朋友、家人或社区成员,必须首先获得 Google 的批准;其次是用户选择权的丧失,设备所有者无法自由选择信任的软件来源,必须依赖 Google 的验证体系;第三是开源生态的生存危机,许多 FOSS 项目由个人开发者维护,他们既不愿意也无力提供政府身份证件等敏感信息。
从技术社区的反馈来看,这项政策的影响是多维度的。对于个人开发者和小型开源项目而言,25 美元的费用虽然不高,但政府身份证件的提交要求涉及隐私顾虑,尤其是在跨国开发场景中,许多开发者可能无法满足验证要求。对于学术和教育场景中的软件分享,如教师向学生分发教学应用、开发者之间的技术交流等,现有政策下的「特殊账户类型」允许范围有限,难以满足实际需求。
Keep Android Open 运动的工程实践应对
面对这一政策变化,F-Droid 联合多个开源组织和个人开发者发起了「Keep Android Open」运动。该运动的核心策略并非仅仅停留在口头抗议,而是从技术、社区和政策三个层面提出了可落地的应对方案。
在技术层面,运动呼吁用户和开发者关注并使用替代性应用分发渠道。虽然 Google 认证设备将受到验证规则的限制,但 Android 开放源代码项目(AOSP)本身并未被完全封闭。运动建议开发者考虑使用不依赖 Google Play 认证体系的设备进行应用测试和分发,同时也呼吁硬件厂商在产品中提供更加开放的引导选项。对于技术能力较强的用户,运动建议关注 LineageOS 等自定义 ROM,这些系统可以绕过大 Google 服务的限制,提供更接近原生 AOSP 的体验。
在社区组织层面,F-Droid 正在积极推动建立更强大的去中心化应用分发网络。这包括完善 F-Droid 自身的仓库基础设施,提升用户体验,简化从 Google Play 迁移应用的流程。同时,运动也在联系其他第三方应用商店和 FOSS 组织,形成更广泛的联盟,共同向 Google 施压要求调整政策细节。
在政策游说层面,「Keep Android Open」运动明确呼吁用户向各国监管机构提交意见,要求对 Google 的开发者验证规则进行反垄断审查。运动网站列出了欧盟、美国、英国、巴西等多个司法管辖区的监管机构联系方式,鼓励用户以消费者权益和竞争法为依据表达关切。这一策略与近年来全球范围内对科技平台监管的趋势相呼应,试图通过外部压力促成政策的调整。
工程视角下的关键参数与监控要点
从工程实践角度关注这一变化的从业者,需要特别留意以下技术参数和监控指标。首先是 Google 开发者验证政策的实施进度:2026 年 9 月首先在四个国家生效,随后在 2027 年扩展,这为技术社区提供了有限的缓冲时间来评估影响和准备应对方案。其次是 Google 特殊账户类型的具体适用范围,目前已知覆盖教师、学生和业余爱好者,但「有限设备数量」的具体数值尚未完全明确,这直接影响小型社区应用分享的可行性。第三是各地区监管机构的审查进展,尤其是欧盟数字市场法案(DMA)下对 Google 平台义务的认定,可能成为影响全球政策走向的关键变量。
对于依赖侧载生态的企业和开发者,建议在技术架构层面建立多元分发能力,减少对单一渠道的依赖。同时,应建立应用签名和验证状态的监控机制,以便在政策变化时能够及时响应。对于安全团队而言,需要评估在新规实施后,恶意软件分发渠道可能发生的变化 —— 如果正规渠道的门槛提高,地下市场的攻击手段可能也会相应演变。
结语
「Keep Android Open」运动反映了开源生态对平台封闭化趋势的深度忧虑。从工程实践视角看,Google 的开发者验证新规并非单纯的安全措施,而是对 Android 侧载生态的根本性重构。对于依赖这一生态的个人开发者、小型开源项目和第三方应用商店而言,政策的影响将是深远的。F-Droid 主导的这场运动能否阻止或延缓这一趋势尚待观察,但它所代表的技术社区自我组织能力,以及对平台开放性的坚持,值得所有关注 Android 平台未来发展的人持续关注。
资料来源:PCMag 报道、F-Droid 官方博客、Keep Android Open 官方网站