Re: snap: gestore di pacchetti
On 13/06/20 13:21, gerlos wrote:
Davide Prina ha scritto:
È vero che sono pacchetti auto contenuti il cui contenuto non può essere
modificato una volta installato sul tuo computer - ed è un bene per la
sicurezza, imho.
aspetta, l'articolo dice che non puoi tu direttamente modificarlo, ma il
repositori di snap può modificare e lo fa senza avvisarti.
Forse non hai ben chiaro il concetto di sicurezza: una cosa è sicura,
per me, quando soddisfa il mio grado di sicurezza. E questa regola vale
per tutti: la sicurezza non è oggettiva, ma soggettiva.
Inoltre le applicazioni sono sandboxed - non possono
fare qualsiasi cosa sul sistema o sulla home dell'utente, a meno che non
siano autorizzate dall'utente, e anche questa è una cosa positiva che
prima non si poteva fare (non in modo così immediato per l'utente
finale, almeno).
la stessa cosa la puoi ottenere con altri metodi, come ho indicato nella
risposta precedente.
Non è vero che non puoi controllare quali pacchetti installa snap -
pacchetto per pacchetto puoi scegliere da quale canale
(beta/testing/stable/...) installare (è anche più facile che facendo
pinning) ed eventualmente puoi bloccare l'aggiornamento dei pacchetti.
come detto io non ho mai usato snap e ho preso per buono quello presente
nell'articolo, anche perché leggendo i commenti (non li ho letti tutti)
sotto non ho trovato qualcuno che dicesse: stai mentendo, questa cosa la
puoi fare e non è come dici tu...
ho cercato di capire questo punto e ho trovato delle critiche:
https://en.wikipedia.org/wiki/Snap_(package_manager)
* è stato tolto dai repo ufficiali di Arch
* sviluppatori e amministratori di sistema dichiarano che è altamente
inadatto per applicazioni mission-critical, dato che gli aggiornamenti
automatici non possono essere bloccati. Tale funzionalità mancante è una
scelta di progettazione degli sviluppatori di snap, ma ha portato a
downtime inaspettati quando i servizi vengono fatti ripartire o quando
software con bug entra nel sistema di distribuzione snap
* il codice della parte server di snap non è distribuita (non è sofware
libero)
* non è presente un meccanismo per poter usare server di terze parti
* per poter partecipare allo sviluppo del software bisogna firmare un
"contributor software agreement"
* ...
ok, wikipedia può essere modificata da chiunque, però ci sono anche gli
amministratori che controllano che non vi siano modifiche "errate".
Ho guardato sulla documentazione ufficiale e da quello che ho capito
puoi controllare in qualche modo l'update solo a livello di sistema e
non singolo pacchetto.
Tra l'altro il fatto che siano auto contenuti, con tutte le loro
dipendenze, riduce moltissimo la possibilità di conflitti e problemi di
repository in concorrenza tra di loro, ragioni per cui spesso facevamo
pinning.
leggi quello che ho trovato sopra.
Poi mi fai un esempio in cui hai dovuto fare il pinning perché c'erano
problemi di concorrenza (usi unstable/experimental o unstable)
Io ho usato veramente poche volte il pinning (penso meno di 10,
probabilmente meno di 5, in almeno 20 anni che uso Debian) e i motivi
sono stati: bug, necessità di mantenere una libreria usata da un mio
applicativo ad una versione precedente.
Puoi addirittura avere installati sul sistema due versioni diverse dello
stesso pacchetto senza conflitti né problemi di librerie (e non è cosa
da poco).
ma questo puoi benissimo farlo anche senza usare snap. Ci sono vari
sistemi per ottenere questo e molto altro.
È vero che c'è un solo repository di pacchetti snap (snapcraft.io), ma
non è necessariamente un male - non ti impedisce di installare versioni
diverse della stessa applicazione. Anzi, se vuoi puoi crearti e
mantenere un pacchetto snap tu stesso e poi metterlo su snapcraft ed
installare quello che hai creato tu, cosa che con i repository
tradizionali non si può fare (ti devi fare e gestire un repo tuo).
ma dalle critiche riportate su wikipedia, direi che questo può essere un
male...
Visto che snap c'è anche in Debian: snapd e altri pacchetti; se tutto
questo è vero consiglio a tutti di rimuovere tutti i pacchetti del
gestore di pacchetti snap (notare che c'è un pacchetto con nome snap
che fa tutt'altro)
Mi sembra eccessivo.
riconfermo quanto scritto. Questo è il mio consiglio se quanto riportato
è corretto.
Secondo me il problema è applicare ad un sistema di pacchettizzazione
diverso come snap le stesse logiche che abbiamo usato finora per dpkg/apt.
qui non si tratta di logiche, ma di cosa sta dietro.
A me sembra, da quello che ho letto, che si stia creando qualcosa di
completamente chiuso, si rilascia un piccolo pezzo con licenza libera e
si usa questo come cavallo di Troia (ma sembra che fosse in realtà una
barca e non un cavallo) per entrare nel tuo sistema e fare cose a tua
insaputa, che tu non puoi controllare, ...
Questa polemica mi ricorda molto quelle con systemd: arriva qualcosa di
nuovo, e prima ancora di conoscerlo alziamo gli scudi condannando la
novità.
mi sembra un bel po' diverso il confronto.
Poi io non ho mai usato snap, non ho letto la sua documentazione (se non
in parte ora per verificare la cosa riportata sopra) - non si può essere
informati in dettaglio su tutto -, ma ritengo affidabili le fonti di
informazioni che ho citato e meno che riesci a smentirle indicandomi dei
link "ufficiali" dove quanto riportato è "diverso" da quanto "contestato".
Ciao
Davide
--
Dizionari: http://linguistico.sourceforge.net/wiki
Database: http://www.postgresql.org
GNU/Linux User: 302090: http://counter.li.org
Non autorizzo la memorizzazione del mio indirizzo su outlook
Reply to: