Snap 和 Flatpak 应用程序安装安全吗?它们是“官方”的、经过批准的还是针对特定发行版测试的?

Snap 和 Flatpak 应用程序安装安全吗?它们是“官方”的、经过批准的还是针对特定发行版测试的?

我不喜欢安装我的发行版官方存储库之外的应用程序。

Linux 的安全性很大程度上依赖于精心策划和测试的存储库,以确保库与当前发行版的兼容性、稳定性和安全性。

有一次,我从外部存储库安装了一个花哨的终端仿真器,它模仿了复古的绿色/琥珀色荧光显示器。这个应用程序对我的系统造成了严重破坏,我不得不重新安装 Ubuntu。

我很犹豫是否使用购电协议也一样。

我只信任极少数外部来源、PPA 或从网站下载的包。

但现在折断扁平包装似乎在 Ubuntu 专业网站上风靡一时。

  • 安装 Snap 应用程序或 Flatpak 应用程序安全吗?
  • 有这样的官方 repos 吗?
  • 如何保证这种非易于东西?

答案1

Snap 具有https://snapcraft.io/repo。它由 Canonical 运营,Ubuntu 也是由他们开发的。

Flatpaks 有官方仓库https://flathub.org/。Flatpaks 由 Redhat 开发,但我不知道他们是否管理 flathub repo。

稳定

当然,单个软件包的稳定性依赖于构建的质量,并由维护者决定。

Flatpaks 和 snap 都是完全使用沙盒中所需的依赖项构建的,但两者的处理方式略有不同

Snaps 建立一个挂载点,系统挂载程序存档并从那里运行它。

Flatpaks 内置/var/flatpak/于系统范围(全局)安装和~/.var/app本地安装。它安装并运行它们。

关于稳定性的好消息是,如果您遇到了一个不稳定的应用程序,它都会被控制住,并且不会通过安装与其他已安装的应用程序发生冲突的库而导致系统其余部分不稳定。

两者都是独立的应用程序,具有运行所需的所有信息。这就是它与发行版无关的原因,并允许它们安装在支持它们的任何 Linux 系统上(flatpak 或 snap)

安全

这句话有些比较模糊。

Snaps 只提供官方 repo。曾有报道称恶意软件进入了 repo,但很快就被捕获并删除。加密货币挖掘软件这会将一些开采的货币在用户不知情的情况下返还给应用程序维护者。即使这样,应用程序也没有其他不良影响,据我所知,它无法访问用户的主文件夹。

扁平包装:如果您使用官方 repo,它应该具有与 Snaps 相同的安全性,没有什么是完美的,但如果它是恶意软件并且通过了初始提交审查,那么任何进入的东西都会很快被发现和删除。

我个人怀疑任何明显的恶意软件(例如病毒)是否会进入 Snap 或 Flatpak 的存储库,并且任何具有偷偷摸摸的不良行为(例如前面提到的加密货币挖掘应用程序)是否会停留很长时间。

总的来说,我认为两者都是安全的,但都不如 Ubuntu 官方源那么安全,但这也适用于 PPA。添加 Ubuntu 官方源以外的任何源都不是相当安全。

我必须在此补充一点,还有其他 Flatpak 存储库。其中大多数是针对那些只想托管自己的存储库而不是使用 flathub 的合法程序。这些存储库完全不受 flathub 的质量控制,只有您信任该程序的开发人员时才应添加。这也适用于添加 snap 存储库,但我认为目前除了官方 Snap 存储库之外没有其他存储库。

至于 Flatpak 和 snap 安装是否安全

总的来说,只要你坚持使用官方存储库,查看要安装的软件包的描述并且不安装任何看起来有点可疑的东西,它们是安全的。

这两种方式都为用户提供了一种安全的方式(在发行版的官方软件包源之外尽可能安全),可以安装其他方式无法获得的软件,并让它们“正常工作”。

例如,我将 Spotify 安装为 Snap,将 Teamspeak 3 安装为 flatpak。虽然 Spotify 可通过 ppa 获得,但使用 snap 可以避免 apt 与 PPA 混杂在一起,因为 PPA 可以避免使用。

我只能使用 .run 来解压文件夹,然后将解压的文件夹放在主目录中,单击 sh 文件或使用命令行来启动 Teamspeak。我以前也这样做过,然后制作了一个桌面启动器来启动它,然后将该启动器添加到我的~/local/share/applications文件夹中以启动它。只需一步安装 Flatpak 并让它工作就简单多了。


有一次,我从外部存储库安装了一个花哨的终端仿真器,它模仿了复古的绿色/琥珀色荧光显示器。这个应用程序对我的系统造成了严重破坏,我不得不重新安装 Ubuntu。

为了解决您问题的那部分内容:

我怀疑 PPA 完全阻止你的 Ubuntu 安装的原因是它引入了较新的库作为依赖项,而你的本机程序无法使用这些库,或者用太过过时而无法被你的本机 Ubuntu 使用的旧库覆盖了你已安装的库。

Snap 和 Flatpaks 的优点在于,它们会将运行所需的任何库引入到自己的文件夹中。Snap 和 Flatpaks 是独立的,不会触及任何系统文件或库。

这样做的缺点是程序可能比非 snap 或 Flatpak 版本更大,但好处是你不必担心它会影响其他任何东西,甚至其他 snap 或 Flatpak。如果应用程序因为引入了坏库或任何其他原因而损坏,你只需卸载它,它就完全消失了。

答案2

不同的应用程序有很大不同。你可以找到优秀且维护良好的应用程序:

但有很多垃圾、过时或不安全的应用程序

在安装应用程序之前,您必须检查作者、Snap 版本的当前版本/最新更新以及主流版本的相同内容、权限(它可能是具有所有危险权限的“经典”应用程序)。

PPA 也是一样,它们不是任何值得信赖的质量控制。

相关内容