مستودعات F-Droid كيف تعمل كمنظومة مفتوحة لتوزيع تطبيقات أندرويد ومن أين تأتي التطبيقات وكيف يتم فحصها ونشرها بعيدًا عن Google Play ؟

مستودعات F-Droid هي بنية توزيع تطبيقات مفتوحة المصدر لنظام Android تعمل كبديل تقني لمتاجر التطبيقات التقليدية، حيث يتم نشر البرامج اعتمادًا على الشفافية وإمكانية مراجعة الكود بدل الاعتماد على منظومة مغلقة. الفكرة الأساسية أن التطبيقات لا تُعرض داخل متجر مركزي واحد فقط، بل تُوزع عبر مستودعات يمكن لأي جهة إنشاؤها واستضافتها وإدارتها، بينما يقوم المستخدم بالاتصال بها عبر عميل مثل F-Droid أو Droid-ify لتنزيل التطبيقات وتحديثها دون الحاجة إلى حساب Google أو خدمات Play.

تقنيًا يعتمد المستودع على ملف فهرسة رئيسي يسمى index يحتوي على كل البيانات الخاصة بالتطبيقات مثل الإصدارات وروابط التحميل والهاشات والوصف والأيقونات والتحذيرات التقنية. هذا الملف يُوقّع رقميًا لضمان سلامته أثناء النقل، ويقوم التطبيق العميل أولًا بتحميله والتحقق من التوقيع باستخدام بصمة المفتاح الخاصة بالمستودع، وإذا فشل التحقق يتم رفض المستودع بالكامل. لا توجد قاعدة بيانات مركزية في الخلفية، بل كل شيء يعتمد على هذا الفهرس الموقّع الذي يمثل المصدر الوحيد للحقيقة.

كل تطبيق داخل مستودعات F-Droid يُبنى غالبًا من الكود المصدري مباشرة بدل الاعتماد على ملفات APK جاهزة، ما يقلل مخاطر التلاعب أو إدخال برمجيات خبيثة. كما يتم تصنيف التطبيقات وفق مستوى الخصوصية واعتمادها على خدمات مغلقة أو تتبع المستخدم. تظهر تحذيرات تقنية تعرف باسم Anti-Features وتشمل وجود إعلانات أو تتبع أو اعتماد على خدمات غير مفتوحة المصدر أو استخدام مكونات مغلقة أو ثغرات معروفة، ويمكن للمستخدم تصفية التطبيقات بناءً على هذه المعايير.

المستودعات ليست جميعها بنفس المستوى من حيث الأمان والموثوقية. هناك مستودعات تعتمد على رفع ملفات APK مباشرة وهي أسرع لكنها أقل شفافية، وأخرى تعتمد على البناء من المصدر وهي الأكثر ثقة، إضافة إلى مفهوم reproducible builds الذي يسمح لأي شخص بإعادة بناء التطبيق والتحقق أن النسخة المطروحة مطابقة للكود المنشور. كما يمكن وجود نفس التطبيق في أكثر من مستودع، وهنا يحدد العميل النسخة المعتمدة وفق أولوية المستودعات، حيث يحتفظ المستودع الرسمي بأولوية أعلى افتراضيًا.

البنية تعتمد كذلك على مرايا توزيع حول العالم لضمان سرعة التحديث وتوفر التحميل، وكل مرآة تقدم نفس المحتوى بنفس التوقيع. ويمكن للمستخدم تعطيل مرايا معينة إذا شك في موثوقيتها، لكن ذلك قد يؤثر على سرعة التحديث أو توفره. كما يمكن تقنيًا إنشاء مستودع خاص باستخدام أدوات fdroidserver عبر تعريف بيانات التطبيقات وبناء الفهرس وتوقيعه ثم استضافته على أي خادم أو منصة استضافة ثابتة.

من الناحية الأمنية يمثل هذا النظام نموذج توزيع لامركزي يشبه مستودعات Linux، لكنه يحمل مسؤولية أكبر على المستخدم. إضافة مستودع غير موثوق تعني إمكانية تثبيت برمجيات ضارة لأن التوقيع يكون على مستوى الفهرس وليس لكل تطبيق بشكل مستقل. لذلك يعتمد الأمان على موثوقية الجهة التي تدير المستودع. توجد مستودعات شهيرة خارج الرسمي توسّع النظام البيئي مثل IzzyOnDroid وGuardian Project وDivestOS وغيرها، بعضها يقدّم إصدارات أحدث أو تطبيقات لا تُقبل في المستودع الأساسي لأسباب تتعلق بالسياسات أو التبعيات التقنية.