Boa noite a todos.
Eu estava lendo sobre os pacotes Snap e Flatpack. Vi a parte que no Snap, a Canonical é que toma conta da loja e gerencia os aplicativos que entram lá. Já no Flatpack cada desenvolvedor pode ter o seu servidor e gerenciar seus aplicativos.
Não seria o Flatpack mais propício a problemas de segurança, devido a isso? Em termos de tecnologia de segurança, os dois são equivalentes, correto?
Obrigado a todos que participarem.
Sim e não. A organização da distribuição de Debs e Flatpaks são bem parecidas nesse quesito. Da mesma forma que existem os repositórios oficiais e os PPAs de terceiros, existem os repositórios oficiais do Flatpak, como o Flathub e o do Fedora, e podem existir outros (que na verdade eu não conheço nenhum). Usando repositórios confiáveis, não se deve ter problemas.
Já o Snap suporta apenas um único repositório, como você bem disse, o que até traz um pouco mais de segurança e organização, mas também impossibilita que outras distros criem seus próprios repositórios, por exemplo. Pensando unicamente na segurança, o Snap é melhor nesse quesito, mas traz outros problemas consigo.
Na teoria sim, mas na prática não sei como é a implementação de cada um. A ideia é que cada pacote seja bastante “auto-suficiente”, especialmente em relação às bibliotecas usadas, e isolado do restante do sistema, havendo inclusive restrições de quais diretórios podem acessar. Cada um utiliza um esquema diferente para conectar cada pacote com os devidos recursos do sistema (diretórios/arquivos, tela, rede, entradas/saídas, …) e com os outros pacotes (temas, GUI, libs do Gnome/KDE, …).
É muito difícil julgar esse quesito sem uma boa análise no código-fonte de cada um, então eu considero um empate técnico.
Então meu veredito é: Empate técnico
Existem alguns pontos que PRA MIM fazem o Snap ser “tecnicamente mais seguros”, mas por hoje tô sem tempo, amanhã eu desenvolvo melhor
segue uma série no blog do dev do flatpak sobre modelo de segurança flatpak:
The flatpak security model – part 1: The basics – Alexander Larsson
The flatpak security model – part 2: Who needs sandboxing anyway? – Alexander Larsson
The flatpak security model, part 3 – The long game – Alexander Larsson