Como o Flatpak impedirá a proliferação de bibliotecas desatualizadas?

Com o sistema de pacotes atual (RPM ou Deb), geralmente há apenas uma versão principal de cada biblioteca e programa instalado. Todas as bibliotecas devem usar o Semântica de Versão , para que novas versões menores possam ser facilmente instaladas sem quebrar nada. Se houver um problema de segurança, a biblioteca será corrigida e todos os códigos dependentes se beneficiarão diretamente do patch.

Agora, com o Flatpak, vejo que as pessoas apenas empacotam tudo, talvez porque modificaram um pouco a biblioteca do upstream. Se houver uma atualização de segurança, todos os desenvolvedores upstream precisam atualizar a biblioteca. Mesmo com o conceito de "tempo de execução", um aplicativo ainda pode depender de uma versão desatualizada da biblioteca.

Para mim, o inferno da dependência só vem da falta de disciplina de estabilidade da API. Se as bibliotecas mantivessem suas APIs estáveis ou emitissem uma nova versão principal, tudo ficaria bem. No mundo Ruby e Python, muitas vezes vejo que há listas de requisitos com números de versão exatos. Tudo o que é instalado em um ambiente virtual e nunca será atualizado depois que o software for implantado.

Como o Flatpak vai impedir a proliferação de cópias convenientes de bibliotecas com problemas de segurança?