Re: snap: gestore di pacchetti

[Davide Prina <davide.prina@gmail.com>]

On 13/06/20 13:21, gerlos wrote:

> Davide Prina ha scritto:

> È vero che sono pacchetti auto contenuti il cui contenuto non può essere 
> modificato una volta installato sul tuo computer - ed è un bene per la 
> sicurezza, imho.

aspetta, l'articolo dice che non puoi tu direttamente modificarlo, ma il 
repositori di snap può modificare e lo fa senza avvisarti.
Forse non hai ben chiaro il concetto di sicurezza: una cosa è sicura, 
per me, quando soddisfa il mio grado di sicurezza. E questa regola vale 
per tutti: la sicurezza non è oggettiva, ma soggettiva.

> Inoltre le applicazioni sono sandboxed - non possono 
> fare qualsiasi cosa sul sistema o sulla home dell'utente, a meno che non 
> siano autorizzate dall'utente, e anche questa è una cosa positiva che 
> prima non si poteva fare (non in modo così immediato per l'utente 
> finale, almeno).

la stessa cosa la puoi ottenere con altri metodi, come ho indicato nella 
risposta precedente.

> Non è vero che non puoi controllare quali pacchetti installa snap - 
> pacchetto per pacchetto puoi scegliere da quale canale 
> (beta/testing/stable/...) installare (è anche più facile che facendo 
> pinning) ed eventualmente puoi bloccare l'aggiornamento dei pacchetti.

come detto io non ho mai usato snap e ho preso per buono quello presente 
nell'articolo, anche perché leggendo i commenti (non li ho letti tutti) 
sotto non ho trovato qualcuno che dicesse: stai mentendo, questa cosa la 
puoi fare e non è come dici tu...

ho cercato di capire questo punto e ho trovato delle critiche:
https://en.wikipedia.org/wiki/Snap_(package_manager)
* è stato tolto dai repo ufficiali di Arch
* sviluppatori e amministratori di sistema dichiarano che è altamente 
inadatto per applicazioni mission-critical, dato che gli aggiornamenti 
automatici non possono essere bloccati. Tale funzionalità mancante è una 
scelta di progettazione degli sviluppatori di snap, ma ha portato a 
downtime inaspettati quando i servizi vengono fatti ripartire o quando 
software con bug entra nel sistema di distribuzione snap
* il codice della parte server di snap non è distribuita (non è sofware 
libero)
* non è presente un meccanismo per poter usare server di terze parti
* per poter partecipare allo sviluppo del software bisogna firmare un 
"contributor software agreement"
* ...

ok, wikipedia può essere modificata da chiunque, però ci sono anche gli 
amministratori che controllano che non vi siano modifiche "errate".

Ho guardato sulla documentazione ufficiale e da quello che ho capito 
puoi controllare in qualche modo l'update solo a livello di sistema e 
non singolo pacchetto.

> Tra l'altro il fatto che siano auto contenuti, con tutte le loro 
> dipendenze, riduce moltissimo la possibilità di conflitti e problemi  di 
> repository in concorrenza tra di loro, ragioni per cui spesso facevamo 
> pinning.

leggi quello che ho trovato sopra.
Poi mi fai un esempio in cui hai dovuto fare il pinning perché c'erano 
problemi di concorrenza (usi unstable/experimental o unstable)

Io ho usato veramente poche volte il pinning (penso meno di 10, 
probabilmente meno di 5, in almeno 20 anni che uso Debian) e i motivi 
sono stati: bug, necessità di mantenere una libreria usata da un mio 
applicativo ad una versione precedente.

> Puoi addirittura avere installati sul sistema due versioni diverse dello 
> stesso pacchetto senza conflitti né problemi di librerie (e non è cosa 
> da poco).

ma questo puoi benissimo farlo anche senza usare snap. Ci sono vari 
sistemi per ottenere questo e molto altro.

> È vero che c'è un solo repository di pacchetti snap (snapcraft.io), ma 
> non è necessariamente un male - non ti impedisce di installare versioni 
> diverse della stessa applicazione. Anzi, se vuoi puoi crearti e 
> mantenere un pacchetto snap tu stesso e poi metterlo su snapcraft ed 
> installare quello che hai creato tu, cosa che con i repository 
> tradizionali non si può fare (ti devi fare e gestire un repo tuo).

ma dalle critiche riportate su wikipedia, direi che questo può essere un 
male...

> > Visto che snap c'è anche in Debian: snapd e altri pacchetti; se tutto 
> > questo è vero consiglio a tutti di rimuovere tutti i pacchetti del 
> > gestore di pacchetti snap (notare che c'è un pacchetto con nome snap 
> > che fa tutt'altro)
>
> Mi sembra eccessivo.

riconfermo quanto scritto. Questo è il mio consiglio se quanto riportato 
è corretto.

> Secondo me il problema è applicare ad un sistema di pacchettizzazione 
> diverso come snap le stesse logiche che abbiamo usato finora per dpkg/apt.

qui non si tratta di logiche, ma di cosa sta dietro.
A me sembra, da quello che ho letto, che si stia creando qualcosa di 
completamente chiuso, si rilascia un piccolo pezzo con licenza libera e 
si usa questo come cavallo di Troia (ma sembra che fosse in realtà una 
barca e non un cavallo) per entrare nel tuo sistema e fare cose a tua 
insaputa, che tu non puoi controllare, ...

> Questa polemica mi ricorda molto quelle con systemd: arriva qualcosa di 
> nuovo, e prima ancora di conoscerlo alziamo gli scudi condannando la 
> novità.

mi sembra un bel po' diverso il confronto.

Poi io non ho mai usato snap, non ho letto la sua documentazione (se non 
in parte ora per verificare la cosa riportata sopra) - non si può essere 
informati in dettaglio su tutto -, ma ritengo affidabili le fonti di 
informazioni che ho citato e meno che riesci a smentirle indicandomi dei 
link "ufficiali" dove quanto riportato è "diverso" da quanto "contestato".

Ciao
Davide

--
Dizionari: http://linguistico.sourceforge.net/wiki
Database: http://www.postgresql.org
GNU/Linux User: 302090: http://counter.li.org
Non autorizzo la memorizzazione del mio indirizzo su outlook