[Linuxtrent] Re: Programmi flatpak e sicurezza

• From: azazel <azazel@xxxxxxxxxxxxxxx>
• To: linuxtrent@xxxxxxxxxxxxx
• Date: Wed, 31 Mar 2021 16:08:45 +0200

"Antonio" == Antonio Galea <antonio.galea@xxxxxxxxx> writes:

    Antonio> Il problema è identico per tutte le tecnologie di 
containerizzazione,
    Antonio> peraltro: per motivi di comodità distruggono il concetto di
    Antonio> "distribuzione" - anziché aggiornare un unico sistema operativo, ti
    Antonio> trovi a dover aggiornare tutti i contenitori (spesso e volentieri 
non
    Antonio> puoi neppure). Da un punto di vista della sicurezza, sono un deciso
    Antonio> passo indietro.

Il problema non è limitato alle tecnologie di containerizzazione, è
tendenza generale di molte tecnologie/linguaggi/ambienti per lo sviluppo
di applicativi, dove viene richiesta una e una sola specifica versione
di una dipendenza. Pacchettizzare questo tipo di applicativi
richiederebbe tendenzialmente la presenza di (molte) più versioni di
quella dipendenza all'interno della distribuzione, cosa che in genere
ditribuzioni tradizionali come Debian cercano di evitare, proprio per
problemi inerenti alla gestione della sicurezza. Purtroppo però questa è
una tendenza con non si potrà fermare a mio modo di vedere, perché
influenza decisamente processi come l'integrazione continua (CI) e la
distribuzione continua (CD) degli applicativi, che sono ormai strumenti
considerati necessari allo sviluppo moderno.

Proprio Debian si è scontrata con il problema in una discussione durata
mesi riguardo alla pacchettizzazione dell'orchestratore Kubernetes,
sviluppato nel linguaggio Go. Alcuni spunti:

- https://lwn.net/Articles/835599/ "Packaging Kubernetes for Debian" del
  30 Ottobre 2020 
- https://lwn.net/Articles/842319/ "Debian discusses vendoring—again" del
  13 Genniaio 2021
- https://lwn.net/Articles/843313/ "The Debian tech committee allows
  Kubernetes vendoring" del 20 Gennaio 2021 

In questo caso la commissione tecnica ha dichiarato Kubernetes cone "un
caso speciale" alla stregua di Firefox ed ha qundi permesso la pratica
di pacchettizzazione di versioni specifiche delle dipendenze l'utilizzo
esclusivo di Kubernetes però il problema più generale resta ed è da
vedere come si troverà il compromesso (in Debian).
--
Per iscriversi  (o disiscriversi), basta spedire un  messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx

• References:
  • [Linuxtrent] Programmi flatpak e sicurezza
    • From: Pablo Pellegrini
  • [Linuxtrent] Re: Programmi flatpak e sicurezza
    • From: Antonio Galea

Other related posts:

• » [Linuxtrent] Programmi flatpak e sicurezza- Pablo Pellegrini
• » [Linuxtrent] Re: Programmi flatpak e sicurezza- Marco Ciampa
• » [Linuxtrent] Re: Programmi flatpak e sicurezza- Antonio Galea
• » [Linuxtrent] Re: Programmi flatpak e sicurezza- Daniele Nicolodi
• » [Linuxtrent] Re: Programmi flatpak e sicurezza- Daniele Nicolodi
• » [Linuxtrent] Re: Programmi flatpak e sicurezza - azazel
• » [Linuxtrent] Re: Programmi flatpak e sicurezza- Marco Ciampa

1. Home
2. linuxtrent
3. Archive
4. 03-2021

---

• » Previous by Date
• » Next by Date
• » Related Posts
• » View list details
• » Manage your subscription

---