解决Bilimiao2应用中的DependencyInfoBlock签名块问题

背景介绍

在Android应用开发过程中，AGP(Android Gradle Plugin)会自动在APK文件中添加一个名为DependencyInfoBlock的特殊签名块。这个签名块经过Google公钥加密，只有Google能够解密读取其中的内容。该机制原本是Google用于收集应用依赖信息的一种方式。

问题发现

在Bilimiao2这个开源项目中，F-Droid构建系统检测到了这个签名块的存在。虽然这个签名块已经存在一段时间，但F-Droid最近开始对应用更新也进行严格检查，而不仅仅是新上架的应用。

技术影响

DependencyInfoBlock签名块会带来几个潜在问题：

1. 隐私问题：该签名块包含了应用的依赖信息，且只能被Google解密读取
2. 合规问题：对于注重开源和隐私的应用商店如F-Droid来说，这种专有加密机制不符合其理念
3. 构建问题：可能会影响某些构建系统的正常工作

解决方案

在Android项目的build.gradle文件中添加以下配置即可禁用该功能：

android {
    dependenciesInfo {
        // 禁用APK构建时的依赖元数据
        includeInApk = false
        // 禁用Android App Bundle构建时的依赖元数据
        includeInBundle = false
    }
}

实施效果

Bilimiao2项目维护者已经应用了这个解决方案并重新发布了应用。这个改动：

1. 移除了不必要的专有加密签名块
2. 使应用更符合开源理念
3. 确保了在F-Droid等开源应用商店的顺利分发

技术建议

对于其他Android开发者，特别是那些计划将应用发布到F-Droid或其他注重开源的应用商店的开发者，建议也检查并禁用此功能。这是一个简单但重要的配置调整，可以帮助应用更好地融入开源生态系统。