那些遇到过的问题

Snap 和 Flatpak 应用程序可以安全安装吗?它们是针对特定发行版的“官方”、批准或测试吗?

Tul*_*ova 25 package-management security repository snap flatpak

我不喜欢在发行版的官方存储库之外安装应用程序。

Linux 的安全性很大程度上依赖于精心策划和测试的存储库与当前发行版的库兼容性、稳定性和安全性。

一旦我从外部存储库安装了一个模拟复古绿色/琥珀色荧光粉监视器的精美终端模拟器。这个应用程序对我的系统造成了严重破坏,我不得不重新安装 Ubuntu。

我对使用PPA也很犹豫。

我只相信很少的外部资源、PPA 或从网站下载的包。

但是现在SnapFlatpak似乎在 Ubuntu 专业站点中风靡一时。

  • 安装 Snap 应用程序或 Flatpak 应用程序是否安全?
  • 有这样的官方回购吗?
  • 这种不合适的东西如何保持稳定性?

Tra*_*der 24

快照具有https://snapcraft.io/ 存储库。这是由 Canonical 运行的,也是构建 Ubuntu 的人。

Flatpaks 在https://flathub.org/有一个官方仓库。Flatpak 是由 Redhat 开发的,但我不知道他们是否管理 flathub 存储库。

稳定

当然,各个包的稳定性取决于构建的质量,并受维护者的支配。

flatpaks 和 snaps 都是完全使用沙箱中所需的依赖项构建的,但两者的处理方式略有不同

Snaps 构建一个挂载点,系统挂载程序存档并从那里运行它。

Flatpak 内置于/var/flatpak/系统范围(全局)安装和~/.var/app本地安装。它安装并运行它们。

关于稳定性的好消息是,如果您在其中包含一个不稳定的应用程序,并且不会通过安装导致与其他已安装应用程序冲突的库来使系统的其余部分变得不稳定。

两者都是独立的应用程序,具有运行所需的所有信息。这就是使这个发行版不可知并允许它们安装在任何支持它们的 Linux 系统上的原因(flatpak 或 snap)

安全

这有点模棱两可。

Snaps 只有官方回购。有一个恶意软件进入回购的报告案例,但它被迅速捕获并删除。它是一种加密货币挖掘软件,可以在用户不知情的情况下将一些挖掘出的货币发送回应用程序维护者。即使应用程序和 AFAIK 没有其他不良影响,它也无法访问用户的主文件夹。

Flatpaks:如果您使用官方存储库,它应该具有与 Snaps 大致相同的安全性,没有什么是完美的,但是如果它是恶意软件并通过初始提交审查,那么任何进入它的东西都会很快被注意到并删除。

我个人怀疑任何像病毒这样的明显恶意软件会进入 Snap 或 Flatpak 的存储库,并且任何具有偷偷摸摸的有害行为的东西(如上述加密货币挖掘应用程序)会保留很长时间。

总的来说,我会说两者都是安全的,但都不像官方的 Ubuntu 来源那样本质安全,但这也适用于 PPA。添加 Ubuntu 官方来源之外的任何来源都不太安全。

我必须在这里添加一个警告,那里还有其他 Flatpak 存储库。其中大部分是针对只想托管自己的存储库而不是使用 flathub 的合法程序。这些完全不在 flathub 的任何质量控制范围内,只有在您信任程序开发人员的情况下才应该添加。这也将用于添加 snap 存储库,但我认为目前除了官方 Snap 存储库之外没有任何其他存储库。

关于 flatpaks 和 snaps 是否可以安全安装

总体而言,只要您坚持使用官方存储库,那都是安全的,请查看您要安装的软件包的描述,不要安装任何看起来有点阴暗的东西。

对于用户来说,这两者都是一种很好的方式,可以安全地(在发行版的官方软件包来源之外可以预期的那样安全)来安装其他方式无法使用的软件并让它们“正常工作”。

例如,我将 Spotify 安装为 Snap,将 Teamspeak 3 安装为 flatpak。虽然 Spotify 可以通过 ppa 获得,但使用 snap 可以让我避免使用我可以避免使用的 PPA。

Teamspeak 只对我使用 .run 解压缩文件夹,然后将解压缩的文件夹放在主目录中,然后单击 sh 文件或使用命令行启动。虽然我之前这样做过,然后制作了一个桌面启动器来为我启动它,然后将该启动器添加到我的~/local/share/applications文件夹中以启动它。只需一步安装 Flatpak 并让它工作起来就容易多了。

一旦我从外部存储库安装了一个模拟复古绿色/琥珀色荧光粉监视器的精美终端模拟器。这个应用程序对我的系统造成了严重破坏,我不得不重新安装 Ubuntu。

要解决您的问题的那部分内容:

我怀疑 PPA 完全控制您的 Ubuntu 安装的原因是因为它引入了较新的库作为您的本机程序无法使用的依赖项,或者用旧的库覆盖了您已安装的库,这些库已经过时而无法被您的本机 Ubuntu 使用。

snaps 和 Flatpaks 的好处是它们会引入在自己的文件夹中运行所需的任何库。Snaps 和 Flatpak 是独立的,不会触及您的任何系统文件或库。

这样做的缺点是程序可能比非 snap 或 Flatpak 版本大,但权衡是你不必担心它会影响其他任何东西,甚至其他 snap 或 Flatpak 也不用担心。如果应用程序由于引入了错误的库或任何其他原因而损坏,您只需卸载它,它就完全消失了。

  • @nuttyaboutnatty 那篇文章已有 2 年历史了,IIRC 创建该网站的人可能是一名前 RHEL 员工,或者还有其他事情要做,所以很难说是一个公正的来源。如果您访问链接页面 https://flatkill.org,您会看到它是一个页面,而不是真正的“网站”。它***没有***关于作者的信息,甚至没有名字。我不确定这个人是如何被追踪到以表明他有偏见的。本质上,“网页”只是 Flatpaks 上的一个热门工作,我不会通过提及它来给予它任何信任。 (2认同)

归档时间:

查看次数:

14036 次

最近记录:

4 年,12 月 前
相关归档
如何检查存储库中软件包的可用版本? 325
/var/lib/apt/lists 很大 57
我怎样才能剥离 Ubuntu? 55
Ubuntu 20.04 中无法获取安全性未确定错误 [IP: 91.189.91.38 80] 18
为什么 Ubuntu 不提供应用程序或某些应用程序的最新版本? 12
如何修复更新问题 (Ubuntu 20.04) 9
如何使用apt-get下载所有存储库? 8
deb 包是否可以包含 PPA 依赖项并从 PPA 安装包? 7
无法清除旧内核(依赖问题),但 /boot 空间不足 6
add-apt-repository 不支持源列表中的 glob 吗? 1
难疑归档
如何通过终端检查互联网速度? 611
如何检查我使用的是哪个 shell? 538
如何使用 apt-get 安装 Python 3.6? 430
如何使用 ntp 强制更新时钟? 421
sudo 的侮辱存储在哪里? 258
如何在无需注销的情况下重新启动pulseaudio? 193
什么是“显示桌面”键盘快捷键? 160
如何将 sftp-only SSH 用户 chroot 到他们的家中? 137
如何完全卸载 nvidia 驱动程序? 130
如何安装 .bin 文件? 114