現在、パッケージシステム(RPMまたはDeb)には通常、各ライブラリとプログラムのメジャーバージョンが1つだけインストールされています。すべてのライブラリは以下を使用する必要があります。セマンティックバージョン管理したがって、新しいマイナーバージョンを損傷することなく簡単にインストールできます。セキュリティ上の問題がある場合、ライブラリは修正され、関連するコードはすべてパッチの恩恵を受けることができます。
今Flatpakを使用すると、人々がすべてを結ぶことがわかりました。それはおそらくアップストリームライブラリを少し変更したからです。セキュリティ更新プログラムがある場合、すべてのアップストリーム開発者はライブラリを更新する必要があります。 「ランタイム」という概念があっても、アプリケーションは依然として古いバージョンのライブラリに依存する可能性があります。
私にとって、依存性地獄は単にAPIの安定性の規律が不足しているために発生します。これらのライブラリがAPIの安定性を適切に維持したり、新しいメジャーバージョンをリリースしたりする場合は、すべてをお勧めします。 RubyとPythonの世界では、正確なバージョン番号を含む要件のリストをよく見ています。これらはすべて仮想環境にインストールされ、ソフトウェアがデプロイされると更新されません。
Flatpakは、セキュリティ上の問題があるライブラリの便利なコピーの拡散をどのように防止しますか?
ベストアンサー1
少なくとも、OpenSSL などの基本ライブラリの場合、次の概念があります。営業時間。たとえば、GNOME、KDEなどがあります。 Flatpak自体が以前のバージョンのランタイムでビルドされている場合でも、アップグレードが可能です。
ただし、これに加えて、Flatpakの他のライブラリにもメンテナンスが必要です。明らかに、アプリケーションの作成者はこれを維持する必要があります。そうしないと、ネイティブアプリケーションもこれを維持しない可能性があるため、ネイティブアプリケーションもこの問題で困難になる可能性があります。