Question

验证服务器 的想法是自动复制由 f-droid.org（或任何其他服务器）发布的官方版本。这可以确保发布 APK 中的所有内容都来自源代码，并且在构建过程中没有插入或包含任何内容。这对于验证构建过程不包括私有库也很有用。

最终目标是任何第三方都可以进行的简单安装，该安装将不断检查新发布的软件包，创建自己的构建，并确认二进制文件完全匹配。要达到这个最终目标，有许多问题需要解决，但基本概念已经过测试并有效（请参阅”fdroid verify”命令）。

多个验证服务器的输出随后可供 F-Droid 客户端使用。这个想法是将客户端配置为不信任二进制文件，直到多个验证服务器一致认为它是正确的。

基于 APK 签名的验证

目前的验证过程是构建一个新的未签名 APK，然后将 APK 签名从现有 APK 复制到新构建的未签名 APK 中。如果 APK 签名通过验证，则该 APK 已被复现，并被标记为已验证。如果不是，则会生成 diffoscope 日志以显示两个构建之间的差异。验证服务器不需要签名能力，只需要构建。

设置一个

这仍然很原始，所以期待一些修补。它也可能只适用于 Debian、Ubuntu 和其他 Debian 衍生产品。第一步是获取 fdroidserver 工具设置 并开始工作。直接从 git 运行 fdroidserver 工具（例如 ~/code/fdroidserver/fdroid build org.adaway），这将是目前最简单的，因为验证服务器的东西是移动目标。基本服务器需要至少是 Debian/jessie，否则需要进行一些重大调整。如果你运行 Ubuntu 或衍生发行版，你可以从这个 PPA：https://launchpad.net/~fdroid/+archive/ubuntu/buildserver/

然后你可以通过阅读 构建服务器设置 找到有关该过程的更多信息。你还可以查看此过程的持续集成脚本，以了解整个过程是如何工作的：

• https://gitlab.com/fdroid/fdroidserver/blob/master/jenkins-build-makebuildserver