Como o Flatpak impedirá a proliferação de bibliotecas desatualizadas?

3

Com o sistema de pacotes atual (RPM ou Deb), geralmente há apenas uma versão principal de cada biblioteca e programa instalado. Todas as bibliotecas devem usar o Semântica de Versão , para que novas versões menores possam ser facilmente instaladas sem quebrar nada. Se houver um problema de segurança, a biblioteca será corrigida e todos os códigos dependentes se beneficiarão diretamente do patch.

Agora, com o Flatpak, vejo que as pessoas apenas empacotam tudo, talvez porque modificaram um pouco a biblioteca do upstream. Se houver uma atualização de segurança, todos os desenvolvedores upstream precisam atualizar a biblioteca. Mesmo com o conceito de "tempo de execução", um aplicativo ainda pode depender de uma versão desatualizada da biblioteca.

Para mim, o inferno da dependência só vem da falta de disciplina de estabilidade da API. Se as bibliotecas mantivessem suas APIs estáveis ou emitissem uma nova versão principal, tudo ficaria bem. No mundo Ruby e Python, muitas vezes vejo que há listas de requisitos com números de versão exatos. Tudo o que é instalado em um ambiente virtual e nunca será atualizado depois que o software for implantado.

Como o Flatpak vai impedir a proliferação de cópias convenientes de bibliotecas com problemas de segurança?

    
por Martin Ueding 30.07.2017 / 10:52

1 resposta

1

Pelo menos para as bibliotecas básicas, como o OpenSSL e assim por diante, elas têm o conceito de tempos de execução . Estes são, e. GNOME, KDE, etc. E estes podem ser atualizados, mesmo que o próprio flatpak tenha sido construído com uma versão anterior do tempo de execução.

Fora isso, no entanto, as outras bibliotecas nas flatpaks precisam ser mantidas. Obviamente aqui o autor do aplicativo deve manter isso, caso contrário o aplicativo principal provavelmente também não será mantido, portanto você pode ter esse problema para o aplicativo principal também.

    
por 20.10.2018 / 18:56

Tags