GitHub Store 1.7.0: Updates ohne Klick, Sicherheit ohne Root

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

GitHub Store baut in Version 1.7.0 seine Open-Source-Software deutlich in Richtung Automatisierung und Power-User-Funktionen aus. Im Mittelpunkt stehen automatische Hintergrund-Updates mit optionaler Silent-Installation unter Android, eine neue Funktion zum Verknüpfen installierter Apps mit ihren GitHub-Repositories (genannt „Link Apps“) sowie eine überarbeitete Einstellungsoberfläche. Hinzu kommen Sicherheitsfunktionen wie eine APK-Signaturprüfung und Unterstützung für GitHub Artifact Attestations.

Der GitHub Store nutzt GitHub-Repositories als Quelle für Anwendungen. Nutzer installieren Apps direkt aus den Release-Artefakten, verfolgen Updates und beziehen Open-Source-Software ohne klassischen App-Store. Das Projekt versteht sich als Alternative zu Plattformen wie F-Droid, allerdings mit GitHub als zentralem Distributionskanal. Das Projekt ist trotz des Namens kein offizielles Microsoft-Produkt.

Updates im Hintergrund – ohne Antippen

Zu den wichtigsten Neuerungen gehört die Kombination aus automatischen Update-Prüfungen und Silent-Installation. Nutzer legen fest, in welchem Intervall – zwischen drei und 24 Stunden – der Client nach neuen Versionen sucht. In Verbindung mit Shizuku installiert er Updates unter Android ohne weitere Interaktion. Shizuku ermöglicht den Zugriff auf privilegierte System-APIs, ohne dass Root-Rechte nötig sind. So bleiben auch häufig aktualisierte Tools oder Nightly-Builds automatisch auf dem neuesten Stand, ohne dass APK-Dateien manuell installiert werden müssen.

Die neue Funktion „Link Apps“ verknüpft lokal installierte Anwendungen mit ihren GitHub-Repositories. Nutzer wählen eine installierte App aus, hinterlegen die Repository-URL und ordnen das passende Release-Asset zu. Der Client prüft Paketname und Signaturschlüssel, um die korrekte Zuordnung sicherzustellen. Das löst ein häufiges Problem bei GitHub-basierten Installationen: Releases lassen sich nicht immer eindeutig einer installierten App zuordnen. Nach der Verknüpfung übernimmt der Store das Update-Tracking automatisch. Verknüpfungen lassen sich außerdem exportieren und wieder importieren – praktisch beim Gerätewechsel.

Zum Verbessern der Sicherheit prüft Version 1.7.0 vor jeder Installation die APK-Signatur. Der Client gleicht Fingerprints ab, um Manipulationen oder inkonsistente Releases zu erkennen. Zusätzlich unterstützt er GitHub Artifact Attestations. Hierbei handelt es sich um signierte Metadaten, mit denen sich Herkunft und Integrität eines Build-Artefakts nachvollziehen lassen, etwa im Sinne von SLSA. Stimmen Signaturschlüssel nicht überein, zeigt der Client eine Warnung an.

Einstellungen zentral gebündelt

Die Einstellungen hat das Projekt in einem neuen „Tweaks Screen“ zusammengefasst. Kategorien wie Netzwerk, Updates, Installation oder Darstellung sind dort zentral konfigurierbar. Der Profilbereich beschränkt sich nun auf Account- und Sammlungsfunktionen.

Außerdem bringt das Release eine Reihe von Komfort- und Discovery-Verbesserungen. Der Client speichert Suchverläufe lokal und löst Suchanfragen nur noch bei expliziter Bestätigung aus – das spart unnötige API-Aufrufe. Eine Zuletzt-Angesehen-Übersicht (Recently Viewed) zeigt zuletzt geöffnete Repositories an. Außerdem unterstützt der Home-Bildschirm nun themenbasiertes Filtern von Projekten anhand von GitHub Topics – Caching sorgt dabei für schnelle Ergebnisse. Bereits betrachtete Repositories lassen sich als „gesehen“ markieren und aus dem Feed ausblenden.

Neben den neuen Funktionen behebt Version 1.7.0 zahlreiche Fehler, unter anderem bei Netzwerk- und Proxy-Verbindungen auf dem Desktop sowie beim Umgang mit Downloads und Paketinstallationen. Für Linux-Desktop-Nutzer führt das Release außerdem Flatpak-Unterstützung ein. Die Vorgängerversion 1.6.0 hatte den Linux-Support deutlich ausgebaut. Auch die Build-Infrastruktur wurde überarbeitet: Das Projekt integriert ktlint und führt Gradle-Builds nun parallel aus. Alle Änderungen im Detail listen die Release Notes auf GitHub auf.

(fo)