Die Diskussion über die Vertrauenswürdigkeit von Software aus alternativen Paketsystemen wie Flatpak oder Snap reißt nicht ab. Erst kürzlich gingen zum wiederholten Mal Berichte über manipulierte Crypto-Apps im Snap Store durch die Presse. Canonical gelobte einen besseren Review-Prozess. Wer jetzt glaubt, dabei würde der Code auf mögliche schadhafte Anteile überprüft, der irrt. Den damit verbundenen Arbeitsaufwand kann weder Flathub noch Canonical leisten. Deshalb wird Canonical künftig bei Einreichungen im Snap Store genauer draufschauen, wer denn da ein Snap hochladen möchte.
Verifiziert oder nicht?
Auf Flathub, der bei Weitem größten Plattform mit mehr als 2.500 Flatpaks erhalten Apps, die nachweislich direkt vom Entwickler oder einem vom Entwickler autorisierten Dritten zur Verfügung gestellt werden, seit rund einem Jahr einen blauen Haken hinter dem Namen der App. Derzeit haben 953 Apps diesen Haken. Diese Apps kann man sich auflisten lassen, wenn man am unteren Rand der Seite auf Verified klickt oder die Seite gleich mit der URL https://flathub.org/apps/collection/verified aufruft. Um eine App verifizieren zu lassen, muss sich der Entwickler mit dem mit der App verknüpften Konto auf Plattformen wie GitHub oder GitLab in seinem Flathub-Konto anmelden.
Erhöhte Aufmerksamkeit
Viele Apps werden auf Flathub von Dritten veröffentlicht, die nicht vom ursprünglichen Entwickler autorisiert sind. Dies ist erlaubt, aber solche Apps sind nicht für die Überprüfung geeignet. Seit Neuestem werden solche Apps mit dem Zusatz !Unverified in roter Farbe ausgezeichnet. Damit soll signalisiert werden, dass hier nicht der von Flathub verifizierte Entwickler der Urheber des Flatpak ist.
Gute Überprüfbarkeit
Besonders bei nicht verifizierten Flatpaks mit Zugang zum Internet wie WhatsApp, Bitwarden oder Signal sollten solche Apps vor der Installation überprüft werden. Dazu finden sich auf in der Beschreibung der Apps ein Reiter mit Links zum jeweiligen Code-Hosting und dem Manifest der App. Hier muss der Anwender selbst tätig werden, um eine informierte Entscheidung treffen zu können. Was derzeit noch fehlt, ist ein Link, der wie bei den verifizierten Apps alle nicht verifizierten Apps auflistet.
Der Anwender ist gefragt
Die Flathub-Betreiber verbessern ständig die Überprüfbarkeit der Flatpaks auf der Plattform. Der Anwender kann immer besser entscheiden, ob er einer App vertraut oder nicht. Bei den etablierten Repositories der Distributionen ist eine Überprüfung nicht so leicht möglich, hier wird eher ein Grundvertrauen in den Maintainer als Teil des Teams der Distribution vorausgesetzt.
Schreibfehler im Absatz “Gute Überprüfbarkeit”
> Hier muss der aqnwender selbst tätig werden, […]
Anwender
Danke.
Als Debian User bin ich bisher sehr konservativ und zurückhaltend bei der Nutzung von Fremdquellen gewesen …und bis heute. Die Gründe dafür liegen auf der Hand.
Allerdings gibt es die ein oder andere Software (z.B. div. Browser) die es entweder in den Debian Repos nicht gibt oder zu alt ist. Dafür habe ich dann Fremdquellen eingebunden denen ich vertraue. Allerdings beschränke ich diese auf ein absolutes Minimum um das Risiko so klein wie möglich zu halten. Nun ist es aber so, dass auch meine Kinder Debian nutzen und die Ansprüche von Teenies sind halt andere, wie von so alten Säcken 😁 wie mir oder meiner Frau. Dafür muss mittel- bis langfristig eine Lösung her. Davon abgesehen werden meine Begehrlichkeiten auch immer wieder mal geweckt 😁.
Als mögliche Lösung sehe ich hier für uns Flathub.
Ist noch nicht in der Mache, wird aber kommen.
Erste Quelle für mich werden aber immer die Debian Repos bleiben.
Ich möchte damit aber sagen, wie wichtig eine Alternative ist, um attraktiv zu sein und um für Linux mehr Akzeptanz auf dem Desktop zu bekommen.
Dafür ist es allerdings unabdingbar für Sicherheit zu sorgen. Da sehe ich einen Anfang als gemacht. Eine Mamut Aufgabe!
In diesem Sinne euch einen schönen Feiertag und frohe Ostern 🐇.
Da bin ich ganz bei dir und kann deinem Beitrag zu 100% zustimmen.
Ich halte es genau so, Priorität sind zuerst die Debian Repos, dann ist erst Flathub dran. Und da beschränke ich mich auch auf ein Minimum, nach eingehender Recherche. Das hat jetzt die letzten Jahre auch immer sehr gut funktioniert, irgendwelche Probleme hatte ich nicht. Aber um etwas Einarbeit in die Materie kommt man nicht drum herum.
Mit dem neuen Bewertungssystem hat Flatpak die richtige Entscheidung getroffen und geht damit in die richtige Richtung.
Schöne Ostern