Snap é mais confiável que ppa? [RESOLVIDO]

SamL
(usa XUbuntu)

Enviado em 08/05/2022 - 13:33h

Alguém pode me dizer que diferença, relativo a segurança, tem entre pacotes snap e os ppa?
Pelo que eu sei, ppa qualquer um pode criar esse pacote e disponibilizar pra outros, mas e os snaps? Quem disponibiliza? Alguém verifica a veracidade de tais pacotes? Ou simplesmente compila e joga pra todos usarem, tipo os ppa?

SamL
(usa XUbuntu)

Enviado em 08/05/2022 - 15:55h

Valeu ai, eu acabei achando uma discussão aqui:
https://askubuntu.com/questions/1179175/are-snap-and-flatpak-apps-safe-to-install-are-they-official-...
Lá eles falam disso que tu citou.
De qualquer forma, pra mim não importa se os snaps usam mais memória. Pelo menos agora sei que a segurança é levada em conta e não é qualquer fulano que adiciona snap oficial.

removido
(usa Nenhuma)

Enviado em 08/05/2022 - 16:02h

o snapd é dependente do systemd e costuma demorar para baixar coisas simples
é só por isso que não uso

removido
(usa Nenhuma)

Enviado em 08/05/2022 - 16:16h

Se é mais seguro/confiável que PPA, não creio que seja. Já foi detectado um minerador de bitcoins em snap, em 2018, na própria loja do Ubuntu:
https://securityaffairs.co/wordpress/72449/hacking/ubuntu-snap-store-miner.html

Porém, esse tipo de coisa pode acontecer com qualquer pacote de terceiro, seja ele nativo ou em contêiner (snap/flatpak/appimage).

A única forma de se manter seguro nesse caso é fazendo auditoria manualmente, ou usar apenas pacotes nativos e oficiais.

Mesmo assim, usar Snap ou Flatpak ao invés de PPA é mais vantajoso, pois evita de quebrar o sistema com dependências mal resolvidas.

SamL
(usa XUbuntu)

Enviado em 08/05/2022 - 16:29h

Eu só instalo no root o que é pacote oficial, nem do github eu instalo sem ver o source. Aliás, eu pesquiso antes pra saber o histórico do developer se ele pode ser confiável ou não. Dou preferência por programas de script do que por executáveis pré-compilados, com exceção do vscode que baixo do site oficial da Microsoft mas sabendo que esse programa tem "spyware" de coleta de dados.

removido
(usa Nenhuma)

Enviado em 08/05/2022 - 18:58h

Penso que essa é a forma correta de se ter o mínimo de segurança e privacidade no linux.

Eu só instalo pacotes oficiais como root também, o resto fica com flatpak ou scripts de github. Nesse último caso, eu analiso para ver exatamente o que o script faz no sistema.
Com esses últimos ataques a grandes players do mercado - inclusive no github - é o ideal a se fazer, penso eu.

Ainda sobre pacotes oficiais, a única exceção é o vscode, o qual instalo pelo gerenciador de pacotes, já que a versão flatpak do vscode não funciona adequadamente.

removido
(usa Nenhuma)

Enviado em 08/05/2022 - 21:02h

Eu não uso snap no Ubuntu... Tanto que já removi o Firefox e o Ubuntu software do 22.04

Delusion
(usa Debian)

Enviado em 09/05/2022 - 12:43h

segurança, acho que não tem pior que ppa.
o ruim desses softwares snap, flatpak, appimage, é que são muito inferiores aos nativos dos repos, pelo menos no debian.
Precisei de editores de video e audio, mas fecham sozinhos, do nada. Perde todo o trabalho...
A solução foi usar uma versão antiga, porém nativa da distro.

SamL
(usa XUbuntu)

Enviado em 09/05/2022 - 16:30h

Se for software opensource, talvez a alternativa pra tu seja compilar os programas no teu sistema. Alguns sistemas de compilação tem a capacidade de gerar um arquivo .deb, já outros dá pra definir instalar noutro local que não apenas o /usr/local ou /usr

Delusion
(usa Debian)

Enviado em 14/05/2022 - 20:54h

pacotes compilados são atualizados normalmente pelo gerenciador de pacotes? ou mantém sua versão quando atualizo os outros...

SamL
(usa XUbuntu)

Enviado em 14/05/2022 - 21:35h

Pior que não. Quando tu instala um software compilado no teu pc, é altamente recomendável NÃO ter ele instalado pelo apt, ou então, o apt vai lá e sobrescreve ele com uma versão antiga, por exemplo, mas essa versão é apenas nova no repositório do apt. É um dos maiores problemas no mundo linux. Se tu compilar uma lib com versão 2.x e no apt tiver ela já instalada com versão 1.x, então, num apt upgrade, essa lib 2.x irá ser sobrescita por uma versão própria do apt, já que a 2.x veio mais recente e nos repos do apt é provável que as versões seja mais antigas, ou ,melhor, o apt não tem como saber que versão foi instala pelo source, já que não há uma padronização nesse sentido.
Acho que isso é difícil de acontecer numa distro com rolling release, já que lá é de fato a última versão usada pra compilar e mandada pros sistemas cliente. O problema acima, eu me refiro a distros com versões LTS, tipo o Ubuntu e até o Debian stable.