Die Diskussion über die Vertrauenswürdigkeit von Software aus alternativen Paketsystemen wie Flatpak oder Snap reißt nicht ab. Erst kürzlich gingen zum wiederholten Mal Berichte über manipulierte Crypto-Apps im Snap Store durch die Presse. Canonical gelobte einen besseren Review-Prozess. Wer jetzt glaubt, dabei würde der Code auf mögliche schadhafte Anteile überprüft, der irrt. Den damit verbundenen Arbeitsaufwand kann weder Flathub noch Canonical leisten. Deshalb wird Canonical künftig bei Einreichungen im Snap Store genauer draufschauen, wer denn da ein Snap hochladen möchte.
Verifiziert oder nicht?
Auf Flathub, der bei Weitem größten Plattform mit mehr als 2.500 Flatpaks erhalten Apps, die nachweislich direkt vom Entwickler oder einem vom Entwickler autorisierten Dritten zur Verfügung gestellt werden, seit rund einem Jahr einen blauen Haken hinter dem Namen der App. Derzeit haben 953 Apps diesen Haken. Diese Apps kann man sich auflisten lassen, wenn man am unteren Rand der Seite auf Verified klickt oder die Seite gleich mit der URL https://flathub.org/apps/collection/verified aufruft. Um eine App verifizieren zu lassen, muss sich der Entwickler mit dem mit der App verknüpften Konto auf Plattformen wie GitHub oder GitLab in seinem Flathub-Konto anmelden.
Erhöhte Aufmerksamkeit
Viele Apps werden auf Flathub von Dritten veröffentlicht, die nicht vom ursprünglichen Entwickler autorisiert sind. Dies ist erlaubt, aber solche Apps sind nicht für die Überprüfung geeignet. Seit Neuestem werden solche Apps mit dem Zusatz !Unverified in roter Farbe ausgezeichnet. Damit soll signalisiert werden, dass hier nicht der von Flathub verifizierte Entwickler der Urheber des Flatpak ist.
Gute Überprüfbarkeit
Besonders bei nicht verifizierten Flatpaks mit Zugang zum Internet wie WhatsApp, Bitwarden oder Signal sollten solche Apps vor der Installation überprüft werden. Dazu finden sich auf in der Beschreibung der Apps ein Reiter mit Links zum jeweiligen Code-Hosting und dem Manifest der App. Hier muss der Anwender selbst tätig werden, um eine informierte Entscheidung treffen zu können. Was derzeit noch fehlt, ist ein Link, der wie bei den verifizierten Apps alle nicht verifizierten Apps auflistet.
Der Anwender ist gefragt
Die Flathub-Betreiber verbessern ständig die Überprüfbarkeit der Flatpaks auf der Plattform. Der Anwender kann immer besser entscheiden, ob er einer App vertraut oder nicht. Bei den etablierten Repositories der Distributionen ist eine Überprüfung nicht so leicht möglich, hier wird eher ein Grundvertrauen in den Maintainer als Teil des Teams der Distribution vorausgesetzt.
