Fedora bude odstraňovat balíčky se špatnými bezpečnostními praktikami

Tak si to shrňme:

Tvrdíš, že se v aplikacích nebo runtimech dají najít zneužitelné chyby. Já s tím souhlasím. Pro toho, kdo dělá v tomto odvětví, to opravdu není šokující zjištění. A znovu opakuji, podívejme se pro srovnání na distribuce: universe, který je v Ubuntu by default povolený, nemá žádnou podporu a jsou v něm stovky otevřených bezpečnostních chyb, na které se nikdo nikdy nepodíval, protože většina balíčků nemá správce. Ano, Ubuntu je v tomto ten horší případ, ale máslo na hlavě mají všechny distribuce včetně těch komerčních, které mají bezpečnostní týmy (např. Red Hat garantuje opravu kritické bezpečností chyby do 5 pracovních dní, ale pro ty nekritické už žádná záruka není). Ano, správce aplikace ve Flatpaku to má těžší v tom, že to, co si bundluje, si musí hlídat, správce v distribuci má toto jednodušší, protože většina distribucí bundlování neumožňuje a musí tak záviset na balíčcích ostatních. Ale to je dvojsečné, protože pokud třeba můj balíček v Ubuntu závisí na neudržovaných balíčcích v universe, tak přejímám i jejich bezpečnostní chyby a pravidla distribuce mi neumožňují si raději přibundlovat opravené verze. Flatpak umožňuje.

Dál tvrdíš, že celá řada aplikací ve Flatpaku má povolený přístup k hostovi. Logicky, když uživatel z té aplikace chce přístup ke svým datům a ta aplikace neumí pracovat s portálem, musí jí dát "bianco" přístup. To ale dává úplně každé aplikaci nainstalované přes balíček. Na rozdíl od toho balíčku ale má uživatel jednoduchý způsob, jak to změnit, pokud aplikaci nevěří. U Flatpaku a snapu je to o změně jedné (nebo více) hodnot v konfiguraci sandboxu dané aplikace. U balíčků to je o netriviálním hraní se SELinuxem a AppArmorem apod. Opět nevím, v čem jsou Flatpak a snap v tomto horší než normální balíčky.

Pocit "sandboxu" máš možná ty. Nepřijde mi, že ty projekty se snaží tvořit vytvářet dojem, že aplikace v nich zabalené běží super bezpečně. Na Flatpak.org není mezi výhodami Flatpaku o bezpečnosti nic, na snapcraft.io mají: "Not only are snaps kept separate, their data is kept separate too. Snaps communicate with each other only in ways that you approve." Což je pravda. Pořád to je uživatel, který si může nastavit, jestli má aplikace přístup k jeho datům nebo ne. Na rozdíl od balíčků a instalace aplikací do systému, obě technologie umožňují běh aplikace izolovaně, že ho nevynucují, je fakt, ale nejsou v tom o nich horší než tradiční balíčky. Naopak obrovská jejich výhoda je, že nevyžadují roota a neumožňují spouštět libovolný skript při instalaci (nad hostem). U RPM a DEB je autor balíčku schopný smazat uživatelovi celý disk už během instalace.

K těm Windows a Androidu. Odkazuješ pouze na změny v systémového UI a možná základních aplikací. Např. Android umožňuje úpravu témat, ale z pozice autora aplikace. Opravdu jsem si nevšiml, že by na Androidu bylo běžné systémově vnucovat témata aplikacím. Realita je taková, že na ostatních systémech minimum uživatelů používá jiná témata a autor aplikace je ten, kdo určuje, jak její UI bude ve finále vypadat. Proto říkám, že toto je takový fetiš Linuxu než něco běžného.

Nemám nic proti tomu, když někdo upozorňuje na nedostatky nějakých technologií, ale popravdě ten tvůj přístup k Flatpaku a snapu mi přijde hooodně zaujatý. Kdyby ti šlo o bezpečnost uživatelů Linuxu, tak bys měl psát o tom, že si mají dávat pozor i na to, jaký balíček z distribuce si instalují, protože to tam taky není úplně sluníčkové, a že se mají vyvarovat instalace balíčků z repozitářů třetích stran jako PPA, protože tam nejsou vůbec žádné garance podpory a autorovi takového random PPA uživatel dává de facto root přístup ke svému stroji atd., protože Flatpak a snap jsou alternativy právě k tomuto (ne k takovému security-focused QubesOS, kde každá aplikace běží ve vlastní VM), ale tebe zjevně tankuje jenom ten Flatpak a snap.