Ik las dit:
https://www.linuxuprising.com/2019/06/ubuntu-devs-testing-chromium-browser.htmlAls ze dit gaan doen voor Chromium, mag je er donder op zeggen dat allerlei andere software zal volgen.
Dat doet voor mij de deur dicht. Bij mij gaan alle distributies van Canonical en alles wat daarvan afgeleid is definitief in de ban. Dat omvat dus ook Linux Mint behalve de Debian Editie en tenzij zij niet die snap-conversie van Ubuntu doorvoeren.
Wat is het probleem?
APT is een grondig getest systeem. Bijdragen (uploads) worden maar aanvaard na rigoureuze controles en van gekende en verantwoordelijke developers. Een nieuw iemand moet eerst een soort "stage" doorlopen en krijgt daarbij een peter toegewezen - pas als die peter na een jaar of twee jaar zegt dat de nieuwe developer een goeie en te vertrouwen is, krijgt die een definitieve status en kan later groeien naar meer verantwoordelijkheden. In al de jaren dat APT bestaat is er nooit of te nimmer malware in geraakt. Dat zegt denk ik dat het om een heel goed beveiligingssysteem gaat.
Het meest ingewikkelde werk van APT is dat allerlei systeembibliotheken die nodig zijn voor bepaalde software niet in het pakket zelf zitten. Daarom moet APT altijd kijken of de bibliotheken al aanwezig zijn, of het de goeie versies zijn en indien niet of hij die kan downloaden van de in het systeem aangegeven repo's. Als dat niet lukt, is er een probleem en wordt er een fout gegeven en afgebroken. Problemen met bibliotheken traden in de beginjaren van APT nog wel eens op en dat werd dan "lib hell" genoemd. Maar het systeem is ondertussen zo geperfectioneerd dat dat bij de meeste mensen al vele jaren niet meer voorgekomen is. APT is dus een veilig en stabiel systeem voor pakketinstallatie en -upgrade.
SNAP is net als concurrent FlatPak een systeem waarbij software in een snap- of flatpak-bundel gestopt worden inclusief alle bijhorende bibliotheken. Omdat snap en flatpak gebruikerapplicaties zijn en geen systeemapplicaties, kan zoiets gebruikt worden om een gebruiker die geen root is toch software te laten installeren. Alleen voor zichzelf, niet voor het hele systeem. Om iets voor het hele systeem te installeren, moet je sudo snap of sudo flatpak doen en heb je dus wel rootrechten nodig.
Er zijn twee problemen met deze aanpak.
(1) "Lib hell" is terug van weggeweest. Omdat benodigde bibliotheken meegeleverd worden, kunnen die in conflict raken met wat al op het systeem aanwezig is. Niet goed. Snap- of flatpak-bundels zijn vanwege de inclusie van alle benodigde bibliotheken ook veel groter dan deb-pakketten van apt.
(2) De bijdragebeveiliging van apt wordt volledig buiten gesmeten. Iedereen kan snap en flatpak bundels maken en ter beschikking stellen. Hoe lang denk je dat het op deze manier duurt eer dat er snaps of flatpaks met malware erin worden aangeboden?
Alleen al om deze reden is dat hele snap-gedoe van Canonical absoluut geen goed idee. Wat denken jullie ervan?
