В инструментарии Flatpak, предназначенном для создания самодостаточных пакетов, не привязанных к конкретным дистрибутивам Linux и изолированных от остальной системы, выявлена уязвимость (CVE-2024-32462). Уязвимость позволяет вредоносному или скомпрометированному приложению, поставляемому в пакете flatpak, обойти установленный режим sandbox-изоляции и получить доступ к файлам в основной системе. Проблема проявляется только в пакетах, использующих порталы Freedesktop (xdg-desktop-portal), применяемые для организации доступа к ресурсам пользовательского окружения из изолированных приложений. Уязвимость устранена в корректирующих обновлениях flatpak 1.15.8, 1.14.6, 1.12.9 и 1.10.9. Обходной путь для защиты также предложен в выпусках xdg-desktop-portal 1.16.1 и 1.18.4...Подробнее: https://www.opennet.me/opennews/art.shtml?num=61024
Потому что надо было использовать CLI11/Lyra/TCLap, а не выпендриваться.
Это если Flatpak написан на C++ (не вкурсе).
Как будто нельзя было с самого начала понять, что полностью изолированное ПО - это бесполезная "вещь для себя", и для использования придётся как-то давать ему доступ к чему-то, и вот здесь хомосапиенсы обязательно накосячат.
Та понятно что в любом случае придется ставить "доверительные пакеты" не важно в изоляции они или неFlatpak наверное больше про "не париться с зависимостями" во всяких сильно старых, сильно новых или не на всех дистрах протестированных программах
Они хотели всё и сразу, а получилось как всегда. А так как это красношапки - будут игнорировать недостатки и веми щупальцами проталкивать этот ужас в продакшен.
Да нет, задача вполне реализуемая и реализованная, а доступ и так дается, просто заранее указывается к чему
> а доступ и так дается, просто заранее указывается к чемуМогу пример. Приложение "Фонарик" к адресной книге, звонкам и СМС.
Так не запускай этот фонарик, если не нравится, в этом и суть, что ты знаешь что приложению нужно. Или вообще отключи что считаешь лишним.
> Как будто нельзя было с самого начала понятьМожно, но кто будет заниматься латанием дыр? Все хотят кушать, поэтому сначала с умным видом создаем проблемный продукт, а затем обнаруживаем, что здесь дырка, а там еще одна.
>> Как будто нельзя было с самого начала понять
> Можно, но кто будет заниматься латанием дыр? Все хотят кушать, поэтому сначала
> с умным видом создаем проблемный продукт, а затем обнаруживаем, что здесь
> дырка, а там еще одна.Все хотят кушать никак не коррелирует с тем, что современные разработчики, как и индустрия в целом порядком охренели и делают кое-как и на отлюбись. При Сталине тоже все хотели кушать, однако ссыковали делать заведомо кое-как, и правильно делали. Боюсь, что общество этих самых сапиенсов к сожалению не доросло до того, что чтобы что-то делать хотябы хорошо, а не отлично, должно держаться на страхе неминуемых последствий для своего благополучного существования.
При Сталине косячили тоже еще только так. Как, например, бракованные 45 мм снаряды для противотанковых пушек. Или супер эпопея с динамореактивными пушками Курчевского. МММ отдыхает и рядом не валялось.
Порочная во всех смыслах технология, которая противоречит изначальной идеологии юникс с общими библиотеками. Теперь каждый калькулятор тянет с собой половину ОС на пару гигов. В общем, нет, спасибо, я уж как-то на дебиане с xfce4 с божественной во (всех смыслах) темой "xfce classicLooks".
Эти все философии юниксов это хорошо ровно до того момента, когда в систему надо поставить что-то новое (Ещё не в репе) или старое (Уже не в репе), и у этого чего-то есть какие-то зависимости, которые тоже, как вы понимаете, вероятно ещё/уже не в репе. Вот тут пляски и начинаются. Но всё равно, конечно, аппимейдж лучше.
Когда требуется что-то супер-пупер свежее (мне лично никогда такого не требовалось), можно самостоятельно скомпилировать, если автору лень предоставлять статически слинкованный бинарник. Да, сложно, требуется квалификация, но в юниксе не место домохозяйкам.
Коллега выше прав. Но к примеру, проблемы в корпоративных приложениях не в том, что требуются свежие пакеты, а в том, что требуется что-то устаревшее.
И ты решил только пол дела. Ну как всегда, юнюхвейнинько.
Просто всем нужна Гента и не будет таких проблем. Настоящие проблемы возникают когда нужно поставить библиотеки с разными версиями или строго определённые версии. И для этого как раз есть контейнеры.
Для этого есть статическая линковка, а не контейнеры.
Статическая линковка, во-первых, существенно увеличивает размер бинарей. Во-вторых есть ABI/API и остальная система и не всегда просто так можно одновременно работать в одной системе с разными версиями либ. В третьих, кроме so-шек есть другие ЯП, конфигы и данные в пакетах, которые тоже имеют версии и их никуда статически прилинковать нельзя. Садись, два.
flatpak создан для решения далеко не только проблемы dll hell.
> flatpak создан для решения далеко не только проблемы dll hell.он создан для решения одной проблемы (текущей практики разработки лапками) путём создания другой.
Вот поэтому для библиотек существует указание версии в имени и симлинки для самой последней версии, а линковке есть возможность задать конкретную версию библиотеки.
>нужно поставить библиотеки с разными версиями или строго определённые версииСтранно читать, что человек, предлагающий Генту, для разных версий предлагает какие то богомерзкие контейнеры, при том, что это штатная функциональность Генты.
>>нужно поставить библиотеки с разными версиями или строго определённые версии
> Странно читать, что человек, предлагающий Генту, для разных версий предлагает какие то
> богомерзкие контейнеры, при том, что это штатная функциональность Генты.ничего странного, гентушник ряженый.
>это хорошо ровно до того момента, когда в систему надо поставить что-то новое (Ещё не в репе) или староеВыбирай подходлящий дистр, в котором оно или не старое, или не новое. Или выбирай долгоживущие lts-ы, где оно десятилетиями не устаревает и нового ничего нет. Так нет же, все хотят плясок на канате без шеста с закрытми глазами и сальтами, и готовы для этого тащить десятки гигабайт одного и того же мусора
LTS - не панацея. Вот есть одно известное всем коллегам приложение, которому всего-то 2 года. Оно нормально работает в Ubuntu 18.04 (LTS!), Debian 9.12, Astra 1.7.3. И не работает в Ubuntu 22.04 (LTS), Debian 12 и Astra 1.7.5.
Так как LTS в Убунту - иллюзия и маркетинговая привлекалочка после года 16-го, 18-го примерно. Когда на самом деле они плывут по технологиям и версиям в пределах одного долгосрочного релиза.У них смысл LTS искажён до: долго портируют обновления к софту, версии которого лихо обновляли.
А стабильности функционала у них нет. Могут в любой момент выбросить что угодно.
Эту "идеологию" где-то кто-то формулировал, или ты ее сейчас выдумал? И причем тут вообще темы, флатпаки могут через портал получать настройки оформления.
Можешь не спорить, тут сейчас прибежит кучка фанатиков и будет доказывать, что у них ничего никогда не работает и что бесы из фридесктоп им задали документацию
> Порочная во всех смыслах технология, которая противоречит изначальной идеологии юникс
> с общими библиотеками. Теперь каждый калькулятор тянет с собой половину ОС
> на пару гигов. В общем, нет, спасибо, я уж как-то на
> дебиане с xfce4 с божественной во (всех смыслах) темой "xfce classicLooks".Есть такая прикольная штука distrobox, с ней в систему можно затащить хоть ауропомойку, если нужно, а руление этими самыми плоскопакетами, чем их больше в системе, тем больше геморроя с их рулением, жиреют и тупеют со временем.
Вот только ядро Linux тоже не следует концепции Unix. Так что ваша претензия через чур бессмысленная. Ядро Linux монолитное
А ядро оригинального UNIX (TM) v7 следовало концепции Unix?
Ну как бы да. Там по концепции микросерверов. Одна задача - один компонент ядра.
Так как раз флэтпаки тоже имеют зависимости, так что если калькулятор у тебя вытянул зависимости то следующий флэтпак будет использовать их.
Один калькулятор потянет KDE 5.21 с кучей мусора. А второй KDE 5.22 с кучей мусора
> Один калькулятор потянет KDE 5.21 с кучей мусора. А второй KDE 5.22
> с кучей мусораОчередной надуманный пример.
не надуманный, а из реальности
> не надуманный, а из реальностиТогда может покажешь вывод flatpak list?
Не покажу, я во второй раз в это наступать не хочу без крайне необходимости.
Хотя уже слышу - "это уже было очень давно (полтора года назад) и неправда".
Ну и ещё сразу за тебя напишу ещё один ответ "а причём тут Flatpak? это конкретные создатели конкртеного ПО плохие".
> противоречит изначальной идеологии юникс с общими библиотеками.Не стоит выдавать свои фантазии за концепции УНИХ.
> Порочная во всех смыслах технология, которая противоречит изначальной идеологии юникс с общими библиотеками. Теперь каждый калькулятор тянет с собой половину ОС на пару гигов. В общем, нет, спасибо, я уж как-то на дебиане с xfce4 с божественной во (всех смыслах) темой "xfce classicLooks".flatpak не надо использовать для каждого калькулятора, но для каких-то уникальных приложений, которых может быть десяток-другой. Причём не только закрытых собственнических. Например на том же Дебиане 12 c божественной XFCE сломали pysolfc. А вот из flatpak можно поставить и всё работает.
И проприетарщину, тот же skype/zoom/teamviewer/anydesk и т.п. при необходимости тоже лучше поставить во flatpak, чтобы ограничить их возможности. Игрушки те же...
И какие-нибудь видеоредакторы и прочую мультимедию, которые зависят от обновлённых версий библиотек, которых нет в 12 Дебиана тоже лучше поставить во флэтпаке, чтобы не портить систему.
Короче инструмент полезный, если применять для того, для чего он предназначен.
Я всегда считал, что следование идеологии юникс обязывает покупку сертифицированния на юникс.
"Изначальной идеологии юникс" давно пора на пенсию, борода до пола
Какие-то флетпаки-шматпаки, снапы--шмапы. Для чего это все? Тыщу лет все работало без них, зачем+то решили сделать как в Винде. Хочется чтоб переносимый бинарь был, ну собери статически, включая всякие gtk, qt и прочее. Нафига вот эта вот шляпа вся?
> Нафига вот эта вот шляпа вся?Рискну предположить, современная айтишечка упёрлась в предел своих возможностей, а бабосики зарабатывать нужно, вот и переставляют кровати, занимаются усложнением ради усложнения, когда условный хеллоуворлд подтягивает 4 гига библиотек, во внутренностях которых та за всю свою жизнь не разберешься.
Блджад, вчера нечаянно наткнули на не работающую "разработку"-пятистрочник, слияние двух таблиц с небольшой обработкой у людей. Они туда целый doctrine притащили. Это 3.14ц, уважаемая рыдагцыя.
Поставь мне на старую версию какой-нибудь центоси или бубунты свежие пакеты, которым нужна конкретная версия либыИли наоборот, старый пакет на свежую федору или арч
Я посмотрю на это
Ставил. Просто компилировал с указанием версии в имени, и все.
> Ставил. Просто компилировал с указанием версии в имени, и все.а старые либы тоже будешь компилировать? )) Удаленные 10 лет назад.
Ой ну мелочь же, не подумал и ляпнул, да?
А эти старые либы в шматпаке из воздуха берутся? Если бы положили их в обычный тарбол, то все так же работало бы. А можно ещё и в deb опакетить и тоже все будет работать
> А эти старые либы в шматпаке из воздуха берутся? Если бы положили
> их в обычный тарбол, то все так же работало бы. А
> можно ещё и в deb опакетить и тоже все будет работатьСнапы и флатпаки это задел на будущие, чтобы не было проблем. Увы, такие гении как ты, в прошшло, уже угробили сотни тысяч программ.
Ну конечно же у того, кто собирает флатпаки и снап-паки удаленные либы есть, но тебе их не дадут, да? Или либы 10-летней давности в свежих снах и флаках берутся сразу из астрала?
> Ой ну мелочь же, не подумал и ляпнул, да?
ну да. свежие пакеты поставь на старое ядро и недоумевай почему не хватает сисколов
Эксперты не знают, что спецификация LSB запрещает "пакетам" вызывать ядро через syscall? Это делает glibc.
1. Тарбол со всеми либами, как в станки, не катит?2. Допустим ты поставил это все во флетпаке на старую юубнту или центос со старым ядром. В ядре у тебя нет нужных сисколовя несмотря на то что glibc в твоём контейнере про них знает, но в ядре их нет. Сильно тебе помог твой флетпак?
> , как в станкиКак в симанки
> Тарбол со всеми либами, как в станки, не катит?Просто тарбол - нет конечно. Надо же и удалять потом и апгрейд уметь делать и в путях прописываться и библиотеки расшаривать-переиспользовать.
> В ядре у тебя нет нужных сисколовя
ну тут уж ничего не поделаешь...
> Поставь мне на старую версию какой-нибудь центоси или бубунты свежие пакеты, которым
> нужна конкретная версия либы
> Или наоборот, старый пакет на свежую федору или арч
> Я посмотрю на этоПонимаешь... большинство сидящих тут, никогда ничем серьезным кроме клацанием мышки не занимались.
Они просто не сталкивались с софтом, собранный последний раз в 2000 году. И который сейчас в принципе работать не будет.
Когда закрываешь глаза и кричишь - ТАКОГО НЕ МОЖЕТ БЫТЬ - и жить спокойней.
Вон у васяня под твоим комментам всё собирается, только версию укажи... версию чего только не спрашивай, он придумает очередную чушь)
Понимаешь... ты походу сам не понимаешь о чем пишешь. Если бы софт собранный последний раз в 2000 году, больше не запускался, то он и во флетпаке бы не запускался. Если он всё же запускается во флетпаке, то значит запустится и без него.У меня есть нативная сборка HOMM3 под linux, она выпущена толи в 1999г, толи в 2000. И до сих пор работает на kernel 6.1. Там два варианта бинарника: статический и динамический. Статический просто запускаешь и всё, и он работает без каких-то танцев с бубном. Для динамического надо подложить старые либы, включая линковщик ld.so, libc.so и всё остальное. Но даже он работает.
Так что ты несешь какой-то бред про то, что кто-то тут с чем-то не сталкивался. Очевидно просто, что ты врешь
>[оверквотинг удален]
> и во флетпаке бы не запускался. Если он всё же запускается
> во флетпаке, то значит запустится и без него.
> У меня есть нативная сборка HOMM3 под linux, она выпущена толи в
> 1999г, толи в 2000. И до сих пор работает на kernel
> 6.1. Там два варианта бинарника: статический и динамический. Статический просто запускаешь
> и всё, и он работает без каких-то танцев с бубном. Для
> динамического надо подложить старые либы, включая линковщик ld.so, libc.so и всё
> остальное. Но даже он работает.
> Так что ты несешь какой-то бред про то, что кто-то тут с
> чем-то не сталкивался. Очевидно просто, что ты врешьЧел ты явно не сталкивался с проблемами, поэтому такой бред пишешь.
Когда столкнешься, тогда и поймешь.
Проблема с софтов в линуксе есть и эта проблема глобальная. Она очень мешает развитию линукса.
Тут обновишь дистрибутив и половина софта отсутствует и не работает.
Но у таких как ты, всегда всё работает, надо только кучу магии применить и всё заработает.
А когда говоришь, что надо без магии то сразу "НЕ НАДО", "НЕ НУЖНО" и тп.
Удачи, начнешь работать с линуксом по серьезному, поменяешь мнение быстро.З.Ы. И не говори что ты там мегамастер и гуру 40 лет на линуксе.
Ты правда веришь, что если ты ставишь новейший софт на древнюю центось, то все отсутствующие функции и сисколы эмулируются какой-то магией в этом твоем флетпаке? Ты какой-то реальный случай знаешь или просто теоритизируешь? Этот вариант не будет работать и во флетпаке. Но если каким-то чудом оно всё же работает, то оно и без флетпака заработает.> Или наоборот, старый пакет на свежую федору или арч
Запустил для прикола древнюю версию OpenOffice на свежем дебиане - еще вопросы?
Вот купил я чпу станок, и давай всякий софт пробовать, которого навалом, и что компилировать...2 часа собирал станок отверткой, а потом 2 месяца компилировал какойто хрен пойми софт.. просто чтобы понять что это не то ага.
А типа у тебя на ЧПУ станке флетпак работает, ага?
Для того, чтобы как минимум ты мог использовать свежий софт на том же RHEL / Alma Linux / Oracle Linux / RockyLinux 8.x. Учитывая, что зависимости тоже не первой свежести и не весь софт можно скомпилировать, чтобы корректно работал
> зачемради проприетарщины, опенсорсу все эти приседания с изоляцией и "своей" средой тупо не нужны
Что-то создатели "проприетарщины" вообще не горят желанием делать что-то в Flatpak.
А вот как раз движку по Flatpak вся у опнсорс проектов по сути.
Кстати, забыл добавить. SeaMonkey и Firefox, к примеру, распространяются в виде простых тарболов. Распаковал и запустил, все либы там же рядом лежат. И никаких новомодных флэтпаков и даже статически собирать не надо
> Какие-то флетпаки-шматпаки, снапы--шмапы. Для чего это все? Тыщу лет все работало без
> них, зачем+то решили сделать как в Винде. Хочется чтоб переносимый бинарь
> был, ну собери статически, включая всякие gtk, qt и прочее. Нафига
> вот эта вот шляпа вся?https://www.opennet.me/openforum/vsluhforumID3/133453.html#106
Из всех этих снапов и флэтпаков самая "правильная" технология, если уж на то пошло, так это appimage.
Ты nix неправильно написал
А что там у них с зависимостью от версий GLIBC?Самые правильные - это:
1) Просто запустить, чтобы работало - chroot
2) Если надо побезопаснее, то apparmor + rootless podman
флатпак это во многом про гуёвые локалхостовые программки, а не про самое правильное.
> А что там у них с зависимостью от версий GLIBC?
> Самые правильные - это:
> 1) Просто запустить, чтобы работало - chroot
> 2) Если надо побезопаснее, то apparmor + rootless podmanУ nix интересная идея, годная, но реализация через одно место, это поправимо, не будь никсоводы очередными илитариями в стиле GoboLinux с гипертрофированным nih-сидромом и ЧСВ до небес.
GUIX хуже/лучше Никса?Тот и другой вроде rolling, что как бы отталкивает от подобного на серверах.
У GUIX ещё и пакетный поисковик на сайте IMHO похож на какое-то недоразумение.
> GUIX хуже/лучше Никса?guix это лисп, от и до, вместо "ini-файлов" никсоса. Если надо объяснять - то не надо объяснять (с)
Вам явно шашечки, а не ехать.
> Вам явно шашечки, а не ехать.кому ехать - тому ни guix, ни никсос не впёрлось.
вон serpentos на подходе, типа срединного пути, может чёт годное и выйдет
> Ты nix неправильно написалnix штука прикольная, но жутко зависимая от каналов - читай такого же рантайма, без косталей там любой пакет не поставишь, а appimage это честный, единственно существующий сейчас из более-менее известных САМОДОСТАТОЧНЫХ пакетов, т.е. реально самодостаточных, а не маркетинговый булщит всякий.
И appimage, не нуждающийся в специальных рантаймах пойдёт в любое время, любой версии на любой системе (ну почти), в то время как в nix это всегда срез на какой-то период существования канала, или городи какой-то огород, вместо просто скачать пакет и кликнуть его для запуска.Справедливости ради, более разумной была бы система собранная из чего-то в стиле nix + статически слинкованные архивы, затолканные в appimage, которые бы выполнялись в какой-то изолированной среде. Это уже сейчас осуществимо. Проблема nix на данном этапе в том, что это всё ещё очень кpacнoглaзo для освоения и немало пакетов на фоне остальных, которые собирается автоматом и не проверяются, отчего битых пакетов в никсе достаточно для того, чтобы говорить о не очень хорошем качестве системы в целом.
Это объясняется недостаточным количеством живых проверяющих, никсу бы живых мейнтейнеров-тестеров побольше, но люди ленивы, они скорее основной массой начнут жрать атомарщину с слоупочной rpm-ostree обмазанный флэтпаками, нежели будут разбираться в этой чертовщине манов, похлеще гентушных и арчевых вместе взятых, и ковырять nix.
Да какой же AppImage самодостаточный, когда он зависит от GLIBC, установленной в системе?
И от некоторых других либ.Самодостаточные - контейнеры, например, Docker.
А более безопасным рантаймом тех же самых Docker контейнеров является AppArmor + rootless Podman.
> Да какой же AppImage самодостаточный, когда он зависит от GLIBC, установленной в
> системе?
> И от некоторых других либ.
> Самодостаточные - контейнеры, например, Docker.да какой же он самодостаточный, когда он зависит от GLIBC, установленной системе?
И от некоторых других либ.> А более безопасным рантаймом тех же самых Docker контейнеров является AppArmor +
> rootless Podman.да какой же podman самодостаточный, когда он зависит от GLIBC, установленной системе?
И от некоторых других либ.
> да какой же podman самодостаточный, когда он зависит от GLIBC, установленной системе?И от некоторых других либ.
Речь о контейнерах, а не самом подмане очевидно же.
Кроме того таки бывает и статический подман и даже статическое наполнение контейнеров.
>> да какой же podman самодостаточный, когда он зависит от GLIBC, установленной системе?
> И от некоторых других либ.
> Речь о контейнерах, а не самом подмане очевидно же.а контейнер работает без glibc, чтоль?
> Кроме того таки бывает и статический подман и даже статическое наполнение контейнеров.
ну, это всё меняет. а, нет. не меняет.
Вот только AppImage можно загрузить с любого места и запустить с любого места. Чем это лучше exe в Windows?
> Вот только AppImage можно загрузить с любого местазагружай не с любого.
> и запустить с любого места.
запускай с /usr/bin.
> Чем это лучше exe в Windows?
сорта на8оза, как и вся эта ваша контейнеризация в линуксе.
> сорта на8оза, как и вся эта ваша контейнеризация в линуксе.Что есть лучше докера (подмана, K8S, etc.)?
Оно поддерживается даже на SmartOS (открытая солярка).
>> сорта на8оза, как и вся эта ваша контейнеризация в линуксе.
> Что есть лучше докера (подмана, K8S, etc.)?ничего. как нет ничего хуже дыркера и ко. эта %3рня вне категории, а линукс впереди планеты всей.
> Оно поддерживается даже на SmartOS (открытая солярка).
да кому оно там нужно?) это как с пшшшаудио на Net/OpenBSD: формально есть, но даже чтоб доплатили за его использование - мало кто согласится.
> ничего. как нет ничего хуже дыркера и ко.А чем плохо? И какая есть замена?
Ansible + ZFS снэпшоты состояний системы?
>> ничего. как нет ничего хуже дыркера и ко.
> А чем плохо?всем. контейнеризация это частный случай изоляции, и как любая молодёжная %3рня - сделана плохо, претендует на одно, делает другое, предназначена для третьего. в сухом остатке, дыркер и ко - больше про модель деплоя, дистрибуции софта и сохранения состояния (снэпшоттинга).
> И какая есть замена? Ansible + ZFS снэпшоты состояний системы?
подписки/пакаджи/порты если есть необходимость тюнинга, зоны/жейлы, и да zfs снэпшоты.
но это не смузихлёбно, так что расслабься и привыкай к тому, что в том, что не предназначено для изоляции - нашли очередную дырку в изоляции. вай-вай-вай. :-D
Так, а где ваши доказательства, что использовав zones в SmartOS на x86 получится изоляция, а не шерето как обычно?Я почему-то не верю, что даже их bhyve способна что-либо изолировать на x86.
https://www.openbsd.org/papers/asiabsdcon2023-hardening_vmd_...
Для себя я пока решил, что Qubes - это слишком жирно, походит на systemd и Windows bloatware образно. Одна федора в его комплекте чего стоит, без виртуалки с федорой Qubes вообще способен фунциклировать?
Поэтому я планирую рой/кластер ARMv7 одноплатников и x86 первопеньков на OpenBSD, на некоторых из которых (одноплатниках) таки будет запущены линуксовые гостевые типа Alpine/Void, в которых будет минимум софта и максимально статично скомпилино как сам Podman, так и его контейнеры.
Btw., капча к сообщению была 88588, что как бэ намекает на троян на моём компе ...
Развели грязь. Лучше бы скорость компиляции ускорили, чем блобы продвигать.
Буквально на днях думал, как бы свалить со flatpak на чего-нибудь, потому что тащит много ненужных зависимостей (как раз этот вот sys-apps/xdg-desktop-portal). Думал про nix, но его конфигурация и документация вообще невменяемые.
> Буквально на днях думал, как бы свалить со flatpak на чего-нибудь, потому
> что тащит много ненужных зависимостей (как раз этот вот sys-apps/xdg-desktop-portal).
> Думал про nix, но его конфигурация и документация вообще невменяемые.Обнови комп уже
Уязвимость во bwrap или во flatpak?
> Уязвимость во bwrap или во flatpak?Во flatpak, который не удаляет префикс "--" в имени программы при передаче аргументов bwrap и не добавляет " -- " для отделения опций bwrap от опций запускаемого приложения.
В XDG, которые и вяленый пропихивают
Есть же божественный Appimage, он просто работает
Моя личная проблема с флетпаками и снапами в том, что чтобы все заработало, нужно притащить в систему кучу пакетов, чтобы эти все флетпаки и снапы запустились
С аппимаджем все просто работает из коробки, и для сценариев, когда хочется один файл без проблем с зависимостями, это идеальный вариает
Ага, и весит один appimage (klik) столько же сколько с зависимостями flatpak, притом ресурсы между разными appimage (klik) - неразделяемые. Я не критикую klik-формат, но развитие слабое, сообщества дистрибутивов не хотят его использовать, предпочитая dll hell.
https://ludocode.com/blog/flatpak-is-not-the-future weekly reminder.
Ни производительности, ни безопасности.