CleanPress

Flatpak 1.10 mit neuem Repository-Format

Verfasst von

sla

in

Flatpak 1.10
Bild: Flatpak.org

Alex Larsson hat nach drei Beta-Versionen Flatpak 1.10 offiziell freigegeben. Wichtigste Änderung ist die Einführung eines neuen Repository-Formats, das Aktualisierungen beschleunigen und die heruntergeladene Datenmenge reduzieren soll. Das neue Format, das auch bereits in Flathub integriert ist, ermöglicht zudem die Isolierung von Metadaten basierend auf der Architektur des Prozessors, wodurch im gleichen Repository Pakete für verschiedene Architekturen besser bereitgestellt werden können.

Flathub ist ein OSTree-Repository

Larsson stellte das neue Format bereits im letzten Jahr im GNOME-Blog ausführlich vor. Dort erläutert er, dass Flathub sich beim Verteilen von Flatpaks auf OSTree stützt und somit praktisch ein OSTree-Repository sei. Der Kern eines OSTree-Repositorys ist die Summary-Datei, die den Inhalt des Repositorys beschreibt. Dies ist ähnlich wie die Metadaten, die apt update bei Debian herunterlädt.

Summary verkleinert

War diese Zusammenfassung bisher entpackt rund 6.6 MByte groß, konnte sie mit dem neuen Format in Flatpak 1.10 durch die Aufteilung auf einzelne Architekturen für x86 beispielsweise auf 2.7 MByte reduziert werden. Da diese Zusammenfassung bei jeder Flatpak-Installation heruntergeladen wird, reduziert dies insgesamt den Netzwerkverkehr. Damit wird zudem die Erweiterung um neue Architekturen vereinfacht, die jeweils die Menge der vorhandenen Apps multiplizieren. Ein neu eingeführtes inkrementelles Delta-Update tut ein Übriges.

Weitere Verbesserungen

Des Weiteren bringt Flatpak 1.10 Unterstützung für die GCC (GNU Compiler Collection) 11 Serie, ein neues flatpak pin Kommando zum Pinnen von Laufzeitumgebungen sowie neue APIs zur Erweiterung der Funktionalität von Flatpak. Sandboxen mit Netzwerkzugang haben jetzt Zugriff auf systemd-resolved und somit auf DNS-Lookups. Flatpak 1.10 kann während Flatpak-Updates nun auch automatisch nicht mehr unterstützte Laufzeitumgebungen deinstallieren.

Kommentare

4 Antworten zu „Flatpak 1.10 mit neuem Repository-Format“

  1. Avatar von Charon
    Charon

    Muss wohl meine Meinung über Flatpak revidieren. Vielen Dank.

    Antworten
  2. Avatar von Nick
    Nick

    Erfreulich das sich gewisse Feinheiten verbessern. Nichtsdestotrotz ändert das nichts an anderen Designfehlern, wodurch sich nahezu jedes Flatpak effektiv mehr Privilegien gönnt als eigentlich notwendig wären, und die Entwickler hinter Flatpak bislang nichts dagegen unternehmen. Es bleibt einzig das Kommando „flatpak override“ bzw. „flatpak-override“, womit das Manifest bzw. die Privilegien bereits installierter Flatpaks nachträglich überschrieben werden können. Und das geht nur manuell und muss bei Veränderungen stets lästig wiederholt werden. Es gibt keine globale Konfiguration in der das unabhängig festgeschrieben werden kann, weshalb man sich stets um diesen Mist kümmern muss, wenn sich ein Flatpak mal wieder mehr an Privilegien gönnt als einem lieb ist.

    In diesem Zusammenhang ist auch die Situation rund um die Freigabe von /home unbefriedigend. Hier hat man entweder die Wahl es komplett freizugeben oder gar nicht, und ersteres eröffnet wiederum Angriffsvektoren über die die Sandbox selbst wieder ausgehebelt werden kann. Sicher könnte man auch partielle Verzeichnisse unter /home freigeben, jedoch ist auch das ein Gefrickel unter Flatpak, noch kümmern sich die Herausgeber jeweiliger Flatpaks darum die Sandbox richtig zu konfigurieren, und geben schlicht /home als ganzes frei. Das war von Anfang an ein Fehler Entwicklern derartige Freiheiten einzuräumen, um die reguläre Sandbox gemäß eigenem Bedarf in begrenztem Rahmen aufweichen zu können. Genau darum ist unter anderem Firejail mein Favorit, zumal weder der Entwickler noch dessen Software ein Mitspracherecht hinsichtlich des lokalen Sandboxing haben sollten. Die werden sich immer mehr Privilegien gönnen wenn niemand genauer hinschaut, weil das schlicht der bequemste Weg ist. Und insbesondere hinsichtlich proprietärer Software via Flatpak, ist noch weniger davon auszugehen, dass hier irgendjemand ein Interesse daran hat die eigene Software mehr als nötig einzuschränken.

    Antworten
    1. Avatar von Ferdinand
      Ferdinand

      Flatseal kann die Situation etwas abmildern.

      Antworten
  3. Avatar von 2Cents
    2Cents

    Zu wenige Open Source Projekte bieten offizielle Flatpak Pakete an.
    Wenn die Pakete in der Distri zu alt sind, dann bleibt einem nur noch der Zugriff auf den Quellcode und das selber bauen oder binäre tar.gz Builds der Projektentwickler oder eben Flatpaks.
    Binäre tar.gz Builds greifen meist zu stark in die Distribution ein, da wird wie Kraut und Rüben das Zeug überall ohne Rücksicht hininstalliert, z.B. irgendwo nach /usr/lib anstatt nach /opt/paketname
    und root muss man dem entpackten sh Installer auch noch geben.
    Das sind keine schöne Aussichten.
    Schöner wären Flatpaks, denn die laufen von Haus aus in einer Sandbox.
    Aber Flatpaks kann man auch nicht nehmen, weil die oftmals nicht von den offiziellen Entwicklern sind, sondern irgendwer zusammengebaut hat. Wollte man Schadsoftware einschleußen, die /home verschlüsselt, dann muss man also nur Open Source Software auf flathub.org als Flatpak anbieten und den meisten Entwicklern der offiziellen Projekte scheint das auch leider völlig egal zu sein, weil deren tar.gz Lösung ja funktioniert.

    Da muss sich in den Köpfen also leider noch sehr viel tun.

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Weitere Beiträge