[Linuxtrent] Re: Programmi flatpak e sicurezza
- From: azazel <azazel@xxxxxxxxxxxxxxx>
- To: linuxtrent@xxxxxxxxxxxxx
- Date: Wed, 31 Mar 2021 16:08:45 +0200
"Antonio" == Antonio Galea <antonio.galea@xxxxxxxxx> writes:
Antonio> Il problema è identico per tutte le tecnologie di
containerizzazione,
Antonio> peraltro: per motivi di comodità distruggono il concetto di
Antonio> "distribuzione" - anziché aggiornare un unico sistema operativo, ti
Antonio> trovi a dover aggiornare tutti i contenitori (spesso e volentieri
non
Antonio> puoi neppure). Da un punto di vista della sicurezza, sono un deciso
Antonio> passo indietro.
Il problema non è limitato alle tecnologie di containerizzazione, è
tendenza generale di molte tecnologie/linguaggi/ambienti per lo sviluppo
di applicativi, dove viene richiesta una e una sola specifica versione
di una dipendenza. Pacchettizzare questo tipo di applicativi
richiederebbe tendenzialmente la presenza di (molte) più versioni di
quella dipendenza all'interno della distribuzione, cosa che in genere
ditribuzioni tradizionali come Debian cercano di evitare, proprio per
problemi inerenti alla gestione della sicurezza. Purtroppo però questa è
una tendenza con non si potrà fermare a mio modo di vedere, perché
influenza decisamente processi come l'integrazione continua (CI) e la
distribuzione continua (CD) degli applicativi, che sono ormai strumenti
considerati necessari allo sviluppo moderno.
Proprio Debian si è scontrata con il problema in una discussione durata
mesi riguardo alla pacchettizzazione dell'orchestratore Kubernetes,
sviluppato nel linguaggio Go. Alcuni spunti:
-
https://lwn.net/Articles/835599/ "Packaging Kubernetes for Debian" del
30 Ottobre 2020
-
https://lwn.net/Articles/842319/ "Debian discusses vendoring—again" del
13 Genniaio 2021
-
https://lwn.net/Articles/843313/ "The Debian tech committee allows
Kubernetes vendoring" del 20 Gennaio 2021
In questo caso la commissione tecnica ha dichiarato Kubernetes cone "un
caso speciale" alla stregua di Firefox ed ha qundi permesso la pratica
di pacchettizzazione di versioni specifiche delle dipendenze l'utilizzo
esclusivo di Kubernetes però il problema più generale resta ed è da
vedere come si troverà il compromesso (in Debian).
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
"subscribe" (o "unsubscribe") a
mailto:linuxtrent-request@xxxxxxxxxxxxx
Other related posts: