Android geliştirici doğrulaması geliyor: Google neden, hangi takvimle, hangi uygulama mağazaları için diyor

Android, ana akım mobil işletim sistemi olarak yıllar boyunca olabildiğince açık bir uygulama dağıtım modeli sunmasıyla ayrıldı. APK dosyalarını sideload etmek, kullanıcının tek dokunuşla yapabileceği bir işlem olarak kaldı. Yeni "geliştirici doğrulaması" çerçevesi, bu açıklığı korumayı amaçlarken aynı zamanda kötü amaçlı uygulamaların temel maliyetini artırıyor.

Android'in uygulama güvenliği konusundaki tartışma uzun süredir iki kutuplu. Bir kutup, Apple'ın iOS'a uyguladığı sıkı imza sistemini öne sürerek, sistematik kötü amaçlı yazılım koruması olmadan kullanıcıyı korumayı zor görüyor. Diğer kutup ise alternatif mağazalar (F-Droid, Amazon Appstore, Samsung Galaxy Store) ve bağımsız geliştirici ekosistemi için açık kapı bırakmanın değerini vurguluyor.

Google'ın yeni çerçevesi bu iki uçtan ortaya yakın bir yere oturuyor: tüm geliştiriciler, Android uygulamasını üçüncü taraf mağaza üzerinden veya sideload yoluyla yayınlamak istiyorsa Google ile kimliklerini kaydettirmek zorunda kalacak. Ars Technica'nın özetlediği planlama belgesine göre, bu kayıt aslında bir ücretsiz bir hesap oluşturma süreci; ama tek seferlik kimlik doğrulama içeriyor.

Doğrulama, kimlik kartı tarama ve banka hesabı bağlantısı gibi geleneksel anti-fraud önlemleri içeriyor. Şirket geliştiricileri için kurumsal kayıt belgesi gerekiyor. Ücretsiz kalan akademik ve eğitim amaçlı hesaplar için ayrı bir kayıt seviyesi de tanımlandı. Ars'a göre, geliştiricilerin yaklaşık yüzde 95'i otomatik onaylanıyor.

Takvim açısından, çerçevenin aşamalı uygulanması bekleniyor. İlk faz 2026 sonbaharında devreye giriyor; bu faz yalnızca geliştirici kimlik kaydını gerektiriyor. İkinci faz, 2027 başında, yayımlanmış APK'lerin yeni doğrulama imzasıyla yeniden imzalanmasını içeriyor. Üçüncü faz, 2027 ortasında, doğrulanmamış geliştiricilere ait APK'lerin sistem tarafından engellenmesi.

Kullanıcı tarafında en gözle görülür değişiklik, sideload sırasında yeni bir uyumluluk ekranı. Geliştirici kimliği görülmeyen APK'leri yüklerken, kullanıcı açık bir uyarıyla karşılaşacak. Mevcut alternatif mağazalar (Amazon, Samsung, F-Droid) Google'a doğrulama veri akışı sağlamak için API erişimi alacak.

Doğrulama planı, son üç yılda Google'ın Avrupa Birliği ile Dijital Pazar Yasası (DMA) üzerindeki müzakerelerinin doğrudan ürünü olarak okunabilir. AB'nin DMA çerçevesi, dominant platformlara alternatif mağazaları desteklemeyi şart koşuyor; aynı zamanda kullanıcı güvenliği için "orantılı" tedbirlere izin veriyor. Google'ın yaklaşımı bu "orantılı" alana yerleşiyor.

Öne çıkan teknik bir ayrıntı, geliştirici doğrulamasının Google'ın anti-malware geçmişiyle nasıl etkileşeceği. Google Play Protect, geçmişte sadece Play Store'dan değil herhangi bir kaynaktan kurulan uygulamaların tetiklenmesi durumunda devreye giriyordu. Yeni çerçevede, doğrulanmış geliştiricilere ait APK'lerin Play Protect uyarı modu daha yumuşak, doğrulanmamışların ise daha sert olacak.

Üçüncü taraf mağaza geliştiricileri tarafında, çerçevenin kâr ve dağıtım üzerindeki etkisi farklı olabilir. Bağımsız geliştiriciler için Play Store dışı dağıtım yaygın bir gelir kanalı. Doğrulama süreci uygulamaların öldürülmesine değil, geliştirici kimliğinin merkezileşmesine bağlı. Bu, ekonomik etki açısından nispeten kontrollü bir adım.

Genel resim: Google, Android'in en büyük yapısal güvenlik açıklarından birini, sideload'a izin verirken kullanıcının kötü amaçlı yazılım riskini sınırlamak için zorunlu bir kimlik adımıyla çözmeye çalışıyor. Hareket, iOS'taki sıkı imzalı dağıtım modeline tam yakınlık taşımıyor; ama özgürlük ile güvenlik arasında uzun süredir denenen ortayolun pratik bir versiyonu.