Snap и Flatpak в Ubuntu

[ivm]

Несмотря на то, что я абсолютно не вижу никаких преимуществ снаппакетов перед AppImages, Canonical выбрала первое и создала ресурс Snapcraft, на котором размещены снаппакеты различных программ.
Ну а дальше пошли недостатки снаппакетов. Для того, чтобы ими воспользоваться нужна "оснастка". Изначально устанавливается snapd, в дополнение к нему теперь нужен ещё core

Код: [Выделить]

sudo snap install core
И только потом можно установить из Snapcraft нужную программу.

Для таких экспериментов нужно много места на диске, да и ресурсы компьютера потребуются немалые.

[snowman-fedya]

Несмотря на то, что я абсолютно не вижу никаких преимуществ снаппакетов перед AppImages, Canonical выбрала первое и создала ресурс Snapcraft, на котором размещены снаппакеты различных программ.
Ну а дальше пошли недостатки снаппакетов. Для того, чтобы ими воспользоваться нужна "оснастка". Изначально устанавливается snapd, в дополнение к нему теперь нужен ещё core

Код: [Выделить]

sudo snap install core
И только потом можно установить из Snapcraft нужную программу.

Для таких экспериментов нужно много места на диске, да и ресурсы компьютера потребуются немалые.

мне вообще эти снапы и аппимиджи представляются большой дырой в безопасности. увы.

[vita]

мне вообще эти снапы и аппимиджи представляются большой дырой в безопасности. увы.

Тем не менее в Ubuntu 20.04 среда Snap Core установлена по умолчанию без возможности её удаления пользователем.
Подробнее о среде выполнения snap в одной из статей Василия Алексеенко.

[ivm]

Поразительно, насколько солидарны компизоманы в отрицании применения Snap пакетов.

[ivm]

К нашему мнению присоединились и минтовцы при обсуждении майских новостей Linux Mint.

Мы также слышали ваши запросы на тему snapd. Это очень важная для нас тема и мы уже объясняли свою позицию в прошлом году:
[...] когда вы устанавливаете обновления APT, Snap становится обязательным требованием для вас продолжать использовать Chromium и устанавливается за вашей спиной. Это нарушает одну из главных забот многих людей, когда была объявлена Snap и обещание ее разработчиков, что она никогда не заменит APT.
Самоустанавливающийся Snap Store, который перезаписывает часть нашей базы пакетов APT, является полным NO NO. Это то, что мы должны остановить, и это может означать конец обновлений Chromium и доступ к snap store в Linux Mint.

На вопрос: "Чем таким snap отличается от flatpak?" Был получен ответ: "Те же яйца, только с другого бока".
Если Snap - поделка Canonical работает "как бэкдор", то поделка Flatpak от Red Hat - кошмар безопасности.

[vita]

поделка Flatpak от Red Hat - кошмар безопасности.

До сих пор выявляется Уязвимость во Flatpak, позволяющая обойти режим изоляции.

Следует напомнить, что многие разработчики flatpak-пакетов отключают режим изоляции или оставляют полный доступ к домашнему каталогу. Например, с ограниченным режимом изоляции поставляются пакеты GIMP, VSCodium, PyCharm, Octave, Inkscape, Audacity и VLC. В случае компрометации пакетов с доступом к домашнему каталогу, несмотря на наличие в описании пакета метки "sandboxed", атакующему для выполнения своего кода достаточно изменить файл ~/.bashrc.

[ivm]

Некоторое время назад исследователи Qualys обнаружили уязвимость повышения привилегий в функции snap-confine в Ubuntu,  некоторые из которых позволяют злоумышленнику получить привилегии суперпользователя на целевой конечной точке. Множественные уязвимости подвергают риску 40 миллионов пользователей. Директор по исследованию уязвимостей и угроз в Qualys Бхарат Джоги описывает Snap как «систему упаковки и развёртывания программного обеспечения», созданную Canonical для операционных систем на ядре Linux. Эти пакеты или «привязки», а также инструмент, который их использует, «snapd», работают с широким спектром дистрибутивов Linux, позволяя разработчикам отправлять приложения непосредственно пользователям.
Злоупотребляя уязвимостью, отслеживаемой как CVE-2021-44731, злоумышленник может повысить привилегии базовой учётной записи вплоть до root-доступа. Исследователи из Qualys утверждают, что независимо проверили уязвимость, разработали эксплойт и получили полные привилегии суперпользователя при установке Ubuntu по умолчанию.
Информация отсюда.

[ivm]

В описании уязвимости CVE-2021-44731 заявлено, что она устранена в в версиях snapd 2.54.3+18.04, 2.54.3+20.04 и 2.54.3+21.10.1.

[vita]

Наш коллега butjapka поделился инструкцией о запрете автоматической установки пакетов в формате snap для xBuntu.
Первым делом нужно избавиться от пакета snapd

Код: [Выделить]

sudo apt purge snapdЗатем с правами администратора создаём текстовый файл nosnap.pref по адресу /etc/apt/preferences.d/, куда вносим три строки:

Код: [Выделить]

Package: snapd
Pin: release a=*
Pin-Priority: -10Обновляем кэш пакетов для apt с помощью команды:

Код: [Выделить]

sudo apt update
P.s.: Для возврата системы в прежнее состояние удаляем файл nosnap.pref, перечитываем пакеты и вновь устанавливаем пакет snapd.

[ivm]

На опеннете появилась новость о том, что разработчики из компании Canonical намерены в следующем году начать поставку дополнительных сборок Ubuntu Desktop, основанных на платформе Ubuntu Core и включающих только приложения, оформленные с использование пакетов в формате Snap.

Ubuntu Core подразумевает поставку неделимого монолитного образа базовой системы, в котором не применяется разбивка на отдельные deb-пакеты и используется механизм атомарного обновления всей системы. Компоненты Ubuntu Core, включая базовую систему, ядро Linux, системные надстройки и дополнительные приложения, поставляются в формате snap и управляются инструментарием snapd. Компоненты в формате Snap изолируются при помощи AppArmor и Seccomp, что создаёт дополнительный рубеж для защиты системы в случае компрометации отдельных приложений. Базовая файловая система монтируется в режиме только для чтения. Обновления базового окружения доставляются в режиме ОТА (over-the-air), включают только изменения (delta-обновления) и синхронизированы с актуальным LTS-выпуском Ubuntu.
Из недавний достижений Ubuntu, позволяющий реализовать на базе Ubuntu Core сборку с графическим окружением, отмечается реализация возможности поставки в snap-пакетах стека вывода на печать на базе CUPS и разных версий драйверов Mesa. Поставка CUPS в формате snap планируют начать в выпуске Ubuntu 23.10.

[vita]

Эта новость активно обсуждается в сообществе Ubuntu Mate и большинство комментирующих не поддерживают затею Canonical с намерением найти "запасной аэродром".

[ivm]

На опеннете появилась новость о том, что в Ubuntu Snap Store выявлены вредоносные пакеты. Соглашусь с одним из комментов: "Snap Store — дно."

[vita]

Ubuntu всё больше становится snap зависимой. Так, готовящийся к выпуску релиз Ubuntu Mate 24.04 LTS на сегодняшний момент уже содержит 

15 предустановленных пакетов в формате snap

gir1.2-snapd-2:amd64   1.64-0ubuntu5
libsnapd-glib-2-1:amd64   1.64-0ubuntu5
libsnappy1v5:amd64   1.1.10-1
snapd   2.62+24.04build1
snap:core22   stable   1122
snap:snapd   stable   21184
snap:firefox   stable/ubuntu-24.04   4090
snap:firmware-updater   stable/ubuntu-24.04   121
snap:gnome-42-2204   stable/ubuntu-24.04   176
snap:bare   stable   5
snap:gtk-common-themes   stable/ubuntu-24.04   1535
snap:snap-store   stable/ubuntu-24.04   1124
snap:snapd-desktop-integration   stable/ubuntu-24.04   157
snap:subiquity   stable/ubuntu-24.04   5645
snap:ubuntu-desktop-bootstrap   stable/ubuntu-24.04   111

[yx]

Зависимости бывают как вредные, так и полезные, без которых жизнь становится сложнее. Например, при установке пакета пропустил зависимость - и программа не работает...
Я обратил внимание, что есть разница между установками через синаптик и менеджер программ уходит в сторону манагера. Но если ссылка в нем на флеэтпак, то результаты могут быть плачевны
А ваше мнение - как правильней?

[vita]

Пакеты в форматах DEB и APPIMAGE для меня предпочтительнее.