Die Paket-Plattform Flathub bereitet ein Verifikationssystem für Flatpaks vor. Bereits im vergangenen Oktober wurde ein Merge-Request dafür gestellt. Jetzt erscheinen 76 verifizierten Apps auf der Beta-Plattform von Flathub. Das Verifizierungssystem für Flatpaks macht überprüfte Apps mit einem blauen Symbol kenntlich, wie man im Bild sehen kann. Solche Flatpaks bilden eine eigene Kategorie, die in der Auswahl verwendet werden kann. Ein Schelm, wer bei dem blauen Haken Böses denkt.
Wie wir aus der jüngsten Vergangenheit wissen, lohnt es sich bei einem Verifikationssystem zu hinterfragen, was denn da verifiziert wird. Muss man dafür 8 Dollar zahlen, oder einem Milliardär ein Donut spenden? Nein, in diesem Fall müssen sich die Entwickler:innen auf beta.flathub.org mit dem GitHub- oder GitLab-Konto anmelden, das mit ihrer App verknüpft ist, und dann zu ihrem Entwicklerprofil gehen. Dort muss man die zu verifizierende App auswählen (falls es mehrere gibt) und dann den Anweisungen unter "Entwicklereinstellungen" folgen.
Damit wird lediglich die Identität des Entwicklers bestätigt, ähnlich, wie wir das bei der Verknüpfung mit selbst-kontrollierten Seiten bei Mastodon kennen (könnt ihr hier nachlesen). Eine inhaltliche Prüfung des Flatpaks wird damit nicht belegt. So ist es z. B. möglich, einen inoffiziellen Client für einen Messenger bereitzustellen und diesen verifizieren zu lassen, was zu urheberrechtlichen Problemen führen kann.
Wenn die Beta-Version von Flathub irgendwann in diesem Jahr als stable bereitgestellt wird, werden wir sehen, wie das Projekt damit umgeht und ob bis dahin weitere Mechanismen in die Verifikation eingebaut werden.
Ich würde es aktuell als ersten schritt sehen. Generell ist die Zertifizierung von code sehr aufwendig und schwierig. Wenn nicht gar fast unmöglich. Hier kommt aber langsam der Stein ins rollen.