#1 - 2021-7-3 11:40
酒瓶里的虾 (虾说)
solidot转载海外的消息,Google Play 用 Android App Bundle 取代 APK

Android 应用格式自 2008 年 Android 发布以来一直是 APK (Android PacKage)。它很容易创建,甚至微软最近宣布的 Windows 11 也加入了对 APK 的支持。但 Google 想要更好的控制 Android 应用的发布,它宣布从 8 月开始上传到 Play Store 应用商店的应用必须使用 Android App Bundle(AAB) 格式。AAB 将取代 APK。Google 是在 2018 年推出 AAB 的,其背后动机是 Android 支持的语言、CPU 架构和屏幕分辨率越来越多,单一的版本太占空间,因此通过提供多个 “APK”文件集合,由 Play Store 根据相应的设备提供相应的特定 APK。Google 称通过这种方法安装的应用大小能减少 15%。但从 APK 切换到 AAB,Google 能对 Android 生态系统有更大的控制,因为 AAB 需要 Play Store 的云计算进行处理,增加了第三方应用商店的工作和困难。

GTM的不作恶(bgm38)
#2 - 2021-7-3 11:59
chitanda@Lv2 (Make Bangumi Great Again!)
因为 AAB 需要 Play Store 的云计算进行处理,增加了第三方应用商店的工作和困难。
这意思大陆用户都二等人了?
利好鸿蒙
#2-1 - 2021-7-3 12:44
半月
大陆根本就不能用play store,用AAB和大陆人有什么关系(
#2-2 - 2021-7-3 12:51
Rくん
半月 说: 大陆根本就不能用play store,用AAB和大陆人有什么关系(
如果我没有GMS,从play store 扒下来的发行包岂不是不能直接安装了?对于哪些既没有官网apk也没有github发布的程序,这条腿就彻底断了。
对于有GMS的用户,影响就更直接了,装应用必须经过谷歌倒一道手,他寄吧谁啊(bgm38)
#2-3 - 2021-7-3 16:05
bangumi大西王
Rくん 说: 如果我没有GMS,从play store 扒下来的发行包岂不是不能直接安装了?对于哪些既没有官网apk也没有github发布的程序,这条腿就彻底断了。
对于有GMS的用户,影响就更直接了,装应用必须经...
apkpure这些扒play store的网站分发的apk本来就跟原版的不太一样…
#2-4 - 2021-7-3 16:11
Rくん
Trim21 说: apkpure这些扒谷歌镜像apk的网站分发的apk本来就跟原版的不太一样…
啊?区别在哪?
#2-5 - 2021-7-3 16:31
bangumi大西王
Rくん 说: 啊?区别在哪?


一个是apkPure的,一个是apk mirror的,都是一样的版本

具体有什么区别我也不知道…
#2-6 - 2021-7-3 16:34
Rくん
Trim21 说:

一个是apkPure的,一个是apk mirror的,都是一样的版本

具体有什么我也不知道
那发行商的数字签名验证还能过吗?(bgm38)
#2-7 - 2021-7-3 16:44
bangumi大西王
Rくん 说: 那发行商的数字签名验证还能过吗?
我没验证签名,有可能签名都是对的
#3 - 2021-7-3 12:57
Killy (~∧o∧o@∧o@∧o~∧o∧o-∧o~∧o∧o@∧o@∧o~∧o∧o-∧o)
真的狗。
#4 - 2021-7-3 12:58
早起早睡 (把永远爱你写进诗的结尾)
“你能再表演一下那个吗?”
“又来?”
"快点快点"
"never be evil"
"哈哈哈哈..."
#5 - 2021-7-3 16:01
invisible (毒性非常大,小孩看了会犯错误,会犯很大的错误 ...)
aab上传者还得把key和谷歌共享

不过对普通用户来说确实可以节省空间
#6 - 2021-7-3 16:04
bangumi大西王 (天生万物以养人,人无一物以报天)
现在iOS的应用就是这么分发的吧,只下载设备能支持的资源文件。
#7 - 2021-7-3 17:48
若荼泱 (迷子でもいい、迷子でも進め。)
aab,xapk,apks
这三个什么区别?
#8 - 2021-7-3 22:01
OO雷达
根据 Ars Technica 的报道,从传统方式转换到 Android App Bundle 最令人在意和担忧的是地方是 Google 要求开发者将数字签名交给应用商店。

APK 的一项主要安全组件是应用签名。这是应用程序开发人员拥有的数字证书,用于证明其制作了应用程序。应用签名在第一次安装时并不真正相关,但对于之后的每一点,签名都需要匹配。这意味着只有证书的所有者(原始应用程序开发人员)才能更新该应用程序。没有任何第三方可以制作一个名为“Google-Pay.apk”的 APK,它会覆盖真正的 Google Pay 应用程序并窃取您的所有银行信息。

Android App Bundle 赋予应用商店所有者巨大的权力和责任。如果应用商店基础设施遭到破坏,第三方可以访问开发人员密钥并开始推送恶意更新。如果您不信任应用商店所有者,那就太糟糕了。它现在拥有签名密钥,并且可以在您不知情的情况下更改您的应用程序(如果它愿意)。政府也可以强迫应用商店所有者更改您的应用。就 Google 而言,该公司在存储安全方面的工作可能比大多数应用程序开发人员都要好。但同样,很难想象任何非 Google 商店会采用这种方式。

谷歌已经做出了一些让步以减轻对此的担忧。开发人员可以保留他们上传到 Google 的签名密钥的本地副本,从而允许他们生成可以安装在 Google Play 版本上的有效更新。开发人员还可以从 Google Play Developer Console 下载已签名的分发 APK,这是可以上传到其他应用商店的老式通用 APK。如果您担心 Google 在未经您同意的情况下更改您的应用程序,Google 表示可选的新“代码透明度”功能将让开发人员验证下载的应用程序代码的哈希值是否与他们上传的内容相符。

自8月起,新应用将必须使用 Android App Bundle 方式发布,但已发布的应用程序可以继续使用旧有方式进行更新。


高赞评论
jhodge
其中大部分听起来不错,但“您必须将签名密钥信任我们”这句话太过分了。至少有更好的方法来区分由开发人员签名的代码和由 Google 代表开发人员签名的代码。否则,签署证书建立责任链的整个概念就无法实现。
xWidget
为什么开发者不能对他们自己的应用程序的每个部分进行签名,然后让 Play Store 发送签名的部分并让手机合并它们?
#9 - 2022-12-7 10:40
普通的傻逼 (沉默是金,这位正确,请编一下你的故事。 ... ... ... ... ...)
ios笑出猪叫,android硬件的五花八门让Google头疼不已。(bgm103)