Aqui em meu PC uso programas como o Bitwarden e o Tor Browser, porém, indo no site, ao que parece estes programas não tem versões oficiais em flatpak. No caso do Bitwarden, apenas em snap (que é a versão que utilizo), appimage, .deb e .rpm, como aparece na imagem abaixo:
A mesma situação acontece com o Tor Browser? Não no caso dos formatos disponíveis, mas de ter o launcher em Flatpak.
Nesse caso, a versão em flatpak do Bitwarden não é empacotada pelos devs do próprio?
Em situações assim, qualquer pessoa pode pegar o programa e empacotá-lo como flatpak?
É tão seguro usar programas voltados à segurança em formatos que não são totalmente oficiais?
Qualquer um, com conhecimento obviamente, pode empacotar em Flatpak (como um AppImage, Snap, DEB, RPM etc). Já por o pacote no Flathub são outros quinhentos…
Você pode ir na página do Bitwarden dentro do Flathub e ver a receita da criação do pacote. Na maioria dos casos o pacote Flatpak é criado pegando o próprio app diretamente do github oficial do dev, sem nenhuma modificação do empacotador… Tudo feito as claras e totalmente auditável.
a diferença entre os novos formatos de pacotes e os antigos (rpm, deb etc) é a praticidade de uso e instalação. de resto, a responsabilidade pelo bom empacotamento e de quem o faz. não há maior ou menor risco desse ou daquele.
usar um flatpak de “terceiros” é o mesmo que usar um deb ou rpm nas mesmas condições, ou de repositórios n oficiais. qual a garantia q vc tem? nenhuma!
@acvsilva estou me referindo apenas aos que estão no Flathub, mesmo. Como o Bitwarden, por exemplo.
Vocês sabem como funciona essa “análise” para que esses pacotes possam ou não entrar no Flathub?
Posso estar enganado, mas em algum vídeo do Dio ele cita sobre estar baixando a versão em Snap de algum programa voltado à segurança porque a versão em Snap que seria a oficial.
Não sei qual o vídeo em questão nem o app, mas ao meu ver é meio que besteira se pautar apenas nesse critério.
Como disse acima, as receitas estão abertas para qualquer um ver, o Bitwarden é um software crítico e usar ele de fontes não confiáveis é super arriscado. Porém conforme demonstrei o Flatpak dele no Flathub nada mais é que o próprio app direto do github do Bitwarden.
Para submeter apps ao Flathub é necessário alguns passos e critérios. Segue os requisitos neste link.
Grande parte dos colaboradores que mantém pacotes no Flathub são devs já engajados na comunidade foss, muitos da RedHat, GNOME etc.
Basicamente, a garantia de que pacotes, não importando os formatos, são seguros, partem exclusivamente da confiança do usuário. Isso vale até mesmo para pacotes oficiais, pois supondo que um projeto open-source à qual qualquer um pode auditar afim de garantir que o mesmo não implementa nenhuma ameaça, nada impede que um empacotador e/ou implementador, distribua este mesmo pacote com alguma ameça intencional ou que por algum equivoco deixe passar algo que o torne inseguro. Em geral um pacote oficial tende à ser mais confiável, pois contam com diversas abordagens afim de mitigar possíveis falhas. Com isso, ou ficamos na confiança ou nós mesmo implementamos o que também não é garantia.
No caso do Flathub as receitas deixam amostra do que o empacotador está fazendo, a única forma dele fazer algo velado seria utilizar um software de código fechado (pois faria uso do binário). Se ele adicionar um patch, também estará explícito na receita o que esse patch faz e os administradores do Flathub vão questionar o motivo e analisar se realmente é necessário.
Digamos que as únicas maneiras de fazer isso escondido seria ou ser o próprio upstream de um app de código fechado, ou o upstream foss ter colocado esse código malicioso e ninguém viu no github oficial deles, ou o upstream de um app de código fechado por o código malicioso e o empacotador utilizar seu binário para gerar o Flatpak para o Flathub.
Essa é uma vantagem de utilizar a estrutura do github pra compilação, ao invés de mandar um binário já pré-compilado para o Flathub.
Resumindo, não adiantaria qual tipo de pacote escolher. Afinal o malware estaria no código upstream.
E quanto a confiança concordo, seja de um repositório, Dev ou distro. No fim o usuário tem que ter essa confiança para fazer uso. A vantagem do foss é justamente não se basear apenas em confiança cega, já num app de código fechado nunca saberemos o que rola por de baixo dos panos. Só nos resta confiar.
li os critérios e n vi nada referente a “escanear” os mesmos e ver se tem algum malware. a função do flathub é ser um repositório. então, não tem garantias de segurança nenhuma.
A receita é pública, os administradores avaliam manualmente antes de entrar no Flathub. Você pode ver por si mesmo também (tem o link do Bitwarden que mandei no primeiro comentário). Veja o comentário que escrevi acima falando das formas que seriam possíveis adicionar um malware.
A vantagem de qualquer um auditar é essa, não tem nada escondido. Tá ali para qualquer um ver. O próprio Bitwarden que foi o exemplo inicial do tópico - a dúvida era com ele - você pode ir na receita e verificar que vem diretamente do upstream.
Todos apps no Flathub você pode ver as receitas, quem contribuiu, cada commit. Tá tudo aberto.