我在使用源代码构建时发现,部分 AviumUI 提供的预装应用没有以源代码形式上传到仓库,而是直接以 apk 文件形式提供。这种做法非常不利于用户审计代码安全性和学习应用工作原理,也使用户无法贡献补丁,更为供应链攻击留下可乘之机。
以下应用以“Avium”作为品牌,似乎是 AviumUI 团队成员开发,并且被认为是 AviumUI 体验的一部分:
这些应用应当以源代码而非 apk 文件形式上传到代码仓库,并成为整个系统构建流程的一部分。如果它们确实由于各种客观限制不适合作为构建流程的一部分,仓库中的 README 也应当明确说明其来自何源代码仓库,构建自哪一个 commit/tag,或者来自哪一次 release,并且构建是否可重复。另外,Note(可能还有 CatShare)属于和系统核心功能无强关联的软件,理论上不应该使用 certificate: "platform",这会导致用户不能在设置中“停用”软件。
以下应用应该是与 AviumUI 无直接关系且本身也不开源的软件:
- Starmoment,似乎来源不明,仓库中和应用界面中没有任何作者、网站、备案号等信息,而作为一个有账号和在线同步功能的应用,似乎也没有使用协议和隐私条款。作为第三方应用,它也不应该设置为
certificate: "platform",这可能会赋予其不应有的权限并阻止用户“停用”该软件。鉴于明显的隐私与合规风险,如果不能明确知道该应用的来源,建议将其删除。
- Via,是众所周知的不开源的浏览器,但仍有必要在 README 中说明来源、版本号等信息。另外,我个人认为,使用其取代 LineageOS 原装的开源 Jelly 浏览器不是妥当的做法。
我在使用源代码构建时发现,部分 AviumUI 提供的预装应用没有以源代码形式上传到仓库,而是直接以 apk 文件形式提供。这种做法非常不利于用户审计代码安全性和学习应用工作原理,也使用户无法贡献补丁,更为供应链攻击留下可乘之机。
以下应用以“Avium”作为品牌,似乎是 AviumUI 团队成员开发,并且被认为是 AviumUI 体验的一部分:
这些应用应当以源代码而非 apk 文件形式上传到代码仓库,并成为整个系统构建流程的一部分。如果它们确实由于各种客观限制不适合作为构建流程的一部分,仓库中的 README 也应当明确说明其来自何源代码仓库,构建自哪一个 commit/tag,或者来自哪一次 release,并且构建是否可重复。另外,Note(可能还有 CatShare)属于和系统核心功能无强关联的软件,理论上不应该使用
certificate: "platform",这会导致用户不能在设置中“停用”软件。以下应用应该是与 AviumUI 无直接关系且本身也不开源的软件:
certificate: "platform",这可能会赋予其不应有的权限并阻止用户“停用”该软件。鉴于明显的隐私与合规风险,如果不能明确知道该应用的来源,建议将其删除。