我报告了 LibreOffice(“官方”bionic-upgrade 版本)的一个错误,LO 支持人员建议从他们的网站升级到最新版本。他们说我使用的是旧版本。
我更喜欢通过“Ubuntu 软件”进行升级,以降低风险(安全性和稳定性),所以我去那里进行了研究。
这让我开始怀疑,在“Ubuntu 软件”中也出现的更新的 snap 版本是否比 Canonical 分发版本更值得信赖。
基本上,对提供商的 snap 有多信任?这显然需要将其与 Canonical Corp 的可信度进行比较...!
附言:请不要简单地建议学习阅读代码,我也不会建议您学习 DIY 心脏直视手术;人类是专门的。
答案1
https://readyspace.co.id/en/a-technical-comparison-between-the-snap-and-the-flatpak-formats/概述了 Snaps 并谈到了其安全优势。部分内容如下:
从安全角度来看,Snapshot 使用多种机制与系统隔离,包括 AppArmor、SecComp、cgroups 等。默认情况下,Snap 无法访问沙盒之外的资源. 通过接口提供细粒度的访问。
此外,Snaps 通过 Canonical 运营的存储库进行分发。由于 Canonical 构建了 Ubuntu,因此应该为 Snaps 用户提供与 Ubuntu 本身相同级别的安全性。
因此,我得出结论,Snap 安装的应用程序的安全性与 Ubuntu 原始安装中包含的应用程序或通过以下方式安装或更新的应用程序相当:Ubuntu 软件,Snap 的沙盒功能可以增强系统的安全性。它当然比通过下载 .DEB 或使用 PPA 安装的应用程序更安全。
在几乎所有开源项目中,贡献者的工作都必须经过其他成员的审查,然后代码才能被接受为项目的一部分。审查级别因个人声誉而异——随着他们越来越受信任,可能需要的审查层数可能会减少。 特别是在大型、更知名的开源项目(如主要的 Linux 发行版)中,程序定义明确,并且有足够的劳动力来一致地执行这些程序。
答案2
大多数人都熟悉忒修斯之船问题:如果更换所有部件,它还是同一艘船吗?如果拆下所有原始部件并重新建造原始部件,哪艘船是原始船?
关于“最安全”的问题也涉及到一些相同的元路径。有三个替代方案,并且他们都到达了同一个地点,但时间不同。
假设 LibreOffice 6.0 中存在高优先级漏洞,当该漏洞被披露并且已创建补丁时,补丁会朝几个方向移动:
Ubuntu 安全团队使用该补丁,并发布安全修复程序不改变版本号。6.0 版本仍然是 6.0 版本,但是漏洞已经消失。
在底层,您可以在 apt 看到的软件包版本中看到这一点:6.0.7-0ubuntu0.18.04.10。它不再是原版 6.0(存在漏洞)。
这个修补程序包通过 Ubuntu 存储库的 -security 包发出,大多数人在后台安装它,甚至没有注意到有任何变化。
LibreOffice 为所有其他更改添加了补丁,并在几周后发布了一个令人兴奋的新版本:版本 6.1!每个人都应该更新!新的安全修复!
此更新包含在下一个Ubuntu 版本,并推送给 Snap 用户。例子:Ubuntu 19.10 使用 LO 6.3,Ubuntu 20.04 正在测试 LO 6.4。当前 LO snap 也是 6.4。
更新炒作有什么作用不是值得一提的是,Ubuntu 6.0 和 6.3 用户可立即获得与 6.4 用户相同的大部分安全修复(参见上面的 #1)。他们的系统与新版本一样安全。
结果是,你站在哪艘忒修斯之船上并不重要。它们都安全航行。你对 LTS 版本/临时版本/上游版本/Snap 的选择不需要基于以下标准:安全。它们都是安全的。你的选择应该基于方便—— 您最适合使用哪种类型?
不可否认的是,很多人(比如那位好心的 LO 支持人员)并不十分了解 Ubuntu 安全性的工作原理。他们坚持认为更新更好,这从升级炒作中是可以理解的,尽管可能仍然被误导了。只要您启用了 -security 和无人值守升级,您的 18.04 版 LO 就是安全的。与其他所有人的较新版本和 snap 一样安全。