谷歌要求对在Play商店外安装的应用进行开发者验证

关键更新

谷歌宣布，认证的Android设备将要求对任何可安装的应用进行“开发者验证”——不仅仅是通过Google Play分发的应用。该计划将于2025年10月开始早期访问，2026年3月向所有开发者开放注册，并于2026年9月在巴西、印度尼西亚、新加坡和泰国开始执行，全球推广将在2027年继续进行。验证将包名和签名密钥与经过验证的开发者身份关联起来；这并不意味着谷歌会审核应用内容，但确实需要个人/组织身份数据和签名密钥的注册。(android-developers.googleblog.com)

重要性

这改变了侧载和替代应用商店的实际威胁模型和开发者工作流程。对于团队和CI/CD管道，这意味着：确保包名和签名密钥已注册，并且对于任何希望用户能够在认证设备上安装的应用存在经过验证的开发者身份；如果您目前依赖于匿名或业余分发，预计会对自动化流程产生变化。较小的、业余的或注重隐私的维护者需要评估谷歌计划提供的单独学生/业余账户，或者考虑成立法律实体以保护个人联系信息。对于安全团队而言，这一变化应该通过将责任附加到安装上来减少重复犯罪者的恶意软件；对于开源和分发政策倡导者而言，它引发了关于开发者匿名性和跨境执行的合理担忧。实际上，注册早期访问计划（2025年10月）以测试新的Android开发者控制台，审核您的签名密钥工作流程，并更新部署文档，以便在执行开始时不会阻止在最初目标市场的安装。(android-developers.googleblog.com)

来源

• 来源