web-dev-qa-db-ja.com

SnapアプリとFlatpackアプリは安全にインストールできますか?それらは「公式」であり、特定のディストリビューションバージョンに対して承認またはテストされていますか?

ディストリビューションの公式リポジトリ以外にアプリをインストールしたくない。

Linuxのセキュリティは、現在のディストリビューションバージョン、安定性、セキュリティとのライブラリの互換性について細心の注意を払い、テストされたリポジトリに大きく依存しています。

外部リポジトリから、レトロな緑色/黄色の蛍光体モニターを模倣した豪華な端末エミュレーターをインストールしたら、このアプリは私のシステムに大混乱をもたらし、Ubuntuを再インストールする必要がありました。

ppasの使用についても私は多くのことをためらっています。

私が信頼しているのは、Webサイトからダウンロードした外部ソース、PPAS、またはパッケージのごく一部だけです。

しかし、現在SnapFlatpackは、Ubuntu専門サイトで大流行しているようです。

  • SnapアプリまたはFlatpackアプリをインストールしても安全ですか?
  • そのような公式のレポはありますか?
  • この非aptのもので安定性はどのように扱われますか?
package-managementsecurityrepositorysnapflatpak
20
Tulains Córdova

スナップには https://snapcraft.io/ リポジトリがあります。これは、Ubuntuをビルドするのと同じ人々であるCanonicalによって実行されます。

Flatpaksは https://flathub.org/ に公式リポジトリを持っています。フラットパックはRedhatによって開発されましたが、フラットハブリポジトリを管理しているかどうかはわかりません。

安定:

もちろん、個々のパッケージの安定性はビルドの品質に依存しており、メンテナーのなすがままです。

フラットパックとスナップはどちらも、サンドボックス内で必要な依存関係を使用して完全に構築されていますが、どちらも少し異なる方法で処理されます

スナップはマウントポイントを構築し、システムはプログラムアーカイブをマウントして、そこから実行します。

フラットパックは、システム全体(グローバル)のインストール用に/var/flatpak/に組み込まれ、ローカル側の~/.var/appに組み込まれています。 Flatpakはそれらをマウントして実行します

安定性についての良いニュースは、どちらかに不規則なアプリケーションが含まれている場合に含まれ、インストールされている他のアプリとの競合を引き起こすライブラリをインストールしてもシステムの残りの部分が不安定にならないことです。

どちらも自己完結型のアプリケーションであり、実行に必要なすべての情報が含まれています。これが、このディストリビューションにとらわれず、それらをサポートする任意のLinuxシステム(フラットパックまたはスナップ)にインストールできるようにする理由です。

セキュリティ:

これはもう少しあいまいです。

スナップには公式リポジトリのみがあります。マルウェアがレポに侵入したという報告されたケースが1つありましたが、それは迅速に検出され、削除されました。私の記憶が正しければ、ユーザーに気付かれずにマイニングされた通貨の一部をアプリのメンテナーに送り返す暗号通貨マイニングソフトウェアでした。それでも、アプリとafiakから他の悪影響はなく、ユーザーのホームフォルダーにアクセスできませんでした。

Flatpaks:公式リポジトリを使用する場合、Snapsとほぼ同じセキュリティが必要です。完璧なものはありますが、マルウェアであり、最初の提出レビューを通過した場合、侵入したものはすぐに認識されて削除されます。

私は個人的に、ウイルスのようなあからさまなマルウェアがそれをSnapまたはFlatpaksリポジトリのいずれかに入れ、前述のcyrptocurrencyアプリのような卑劣な望ましくない動作をするものは非常に長い間とどまることを疑います。

全体的にはどちらも安全ですが、どちらも公式のUbuntuソースのように本質的に安全ではありませんが、PPAでも同様です。 Ubuntuの公式ソース以外のソースを追加することは安全ではありませんquite

ここに警告を追加する必要があります。他にもFlatpakリポジトリがあります。ほとんどは、フラットハブを使用するのではなく、独自のリポジトリをホストしたい正当なプログラム用です。これらは完全にフラットハブの品質管理の外にあり、プログラムの開発者を信頼できる場合にのみ追加する必要があります。これは、スナップリポジトリを追加する場合にも当てはまりますが、現時点では公式のスナップリポジトリ以外はないと思います。

フラットパックとスナップを安全にインストールできるかどうか:

公式リポジトリに忠実である限り、全体的に安全です。インストールするパッケージの説明をよく読み、少し不審なものはインストールしないでください。

どちらも、ユーザーが他の方法では利用できないソフトウェアをインストールして「そのまま動作」させるための安全な方法(ディストリビューションの公式パッケージソースの外で期待できる安全な方法)を持つ優れた方法です。

たとえば、SpotifyはSnapとして、Teamspeak 3はフラットパックとしてインストールされています。 Spotifyはppa経由で利用できますが、スナップを使用すると、使用を避けることができるppaでaptが乱雑になるのを回避できます。

Teamspeakは、フォルダーをアンパックする.runでのみ使用できます。抽出したフォルダーをホームディレクトリに置き、shファイルをクリックするか、コマンドラインを使用して開始します。以前これを行ってから、デスクトップランチャーを作成して起動しましたが、そのランチャーを~/local/share/applicationsフォルダに追加して起動しました。フラットパックを1つのステップでインストールして機能させるのは、はるかに簡単でした。

「外部リポジトリから、レトロなグリーン/アンバーの蛍光モニターを模倣した豪華なターミナルエミュレーターをインストールしたら、このアプリがシステムに大混乱を引き起こし、Ubuntuを再インストールする必要がありました。」

あなたの質問へのあなたのリードのその部分に対処するには:

私が思うに、ppaがUbuntuのインストールを完全にホース化した理由は、ネイティブプログラムが使用できない依存関係として新しいライブラリを導入したか、インストールされたライブラリを古いUbuntuで使用するには古すぎるライブラリで上書きしたためです。

スナップとフラットパックの両方の良い点は、スナップを自分のフォルダ内で実行する必要があるライブラリを取り込むことです。スナップとフラットパックは自己完結型であり、システムファイルやライブラリには影響しません。

これの欠点は、プログラムが非スナップまたはフラットパックのバージョンよりも大きくなる可能性があることですが、トレードオフは、他のスナップやフラットパックに影響を与えることを心配する必要がないことです。不正なライブラリをもたらしたなどの理由でアプリが壊れた場合、アンインストールするだけで完全になくなります。

19
TrailRider

アプリごとに大きく異なります。よく整備されたアプリを見つけることができます- https://snapcraft.io/pycharm-communityhttps://snapcraft.io/telegram-desktop

しかし、多くのゴミ、古い、または安全でないアプリがあります- https://snapcraft.io/ghex-udthttps://snapcraft.io/electrum

アプリをインストールする前に、作成者、スナップバージョンの現在のバージョン/最終更新、メインストリームバージョンと同じこと、権限(すべての危険な権限を持つ「クラシック」アプリである可能性があります)を確認する必要があります。

PPAについても同様です-信頼できる品質管理ではありません。

4
adasiko