[Linuxtrent] Re: Programmi flatpak e sicurezza
- From: Daniele Nicolodi <daniele@xxxxxxxxxx>
- To: linuxtrent@xxxxxxxxxxxxx
- Date: Wed, 31 Mar 2021 15:44:11 +0200
On 31/03/2021 11:28, Antonio Galea wrote:
On Tue, Mar 30, 2021 at 1:50 PM Pablo Pellegrini
<pablojr.pellegrini@xxxxxxxxx> wrote:
Al di là della comodità per gli sviluppatori di non dover fare una versione
del programma per ogni distribuzione, c'è anche qualche guadagno in termini
di sicurezza nell'uso di flatpak?
No, non c'è nessun guadagno in sicurezza. Anzi, potenzialmente ci
perdi: l'app pacchettizzata si porta dietro le sue librerie, e quindi
non beneficia degli aggiornamenti di sicurezza che fai sul sistema -
può restare non patchata e vulnerabile, anche se il sistema è
aggiornatissimo.
Questo non è esatto: Flatpack si basa sul concetto di "runtime
platforms" su cui le applicazioni si basano. Per esempio c'è un runtime
con tutte le dipendenze di una tipica applicazione GNOME. Se pachettizzo
una applicazione GNOME come Flatpack posso dunque appoggiarmi al runtime
GNOME senza dover portarmi dietro tutte le librerie. In questo modo, se
una vulnerabilità viene corretta in una parte dello stack che eredito
dal runtime la mia applicazione ne beneficierà transparentemente. I
runtime sono curati e distribuiti indipendentemente dalle applicazioni.
Ovviamente, chi pachettizza e distribuisce le applicazioni come Flatpack
può decidere di utilizzare librerie distribuite con un runtime o
portarsi dietro specifiche versioni.
Ciao,
Daniele
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
"subscribe" (o "unsubscribe") a
mailto:linuxtrent-request@xxxxxxxxxxxxx
Other related posts: