Vlákno názorů k článku
Firefox 59 vyšel jako snap
od Přezdívka? To jsou ale novinky. - A bude to někdo chtít?
Mám sice starší verzi...
-
A bude to někdo chtít?
Mám sice starší verzi firefoxu (ESR), ale až se zase něco semele, tak mi přijde jedna aktualizace. Kdybych měl všechno ze snapů, tak musím kontrolovat všechny nalezené chyby, kontrolovat které snapy používají které knihovny, reinstalovat znovu všechno a ještě doufat že každý vývojář vydá snap nový ihned po nalezení chyby.
Kdyby to sponzoroval M$, tak bych se vůbec nedivil, protože mi to přijde ve stylu WinXP.
-
Ono to s těmi knihovnami je velmi dvojsečná zbraň. Je sice pravda, že například k tomu, aby se všechny aplikace ochránily proti Hartbleedu stačí teoreticky jednou instalovat opravenou verzi openssl. Jenže nějaký zásah do system-wide knihovny může i nechtěně způsobit, že některé z aplikací přestanou fungovat. Problémy s konflikty mezi knihovnami, pády kvůli náhle nevyřešeným symbolům (ačkoli až do poslední aktualizace to fungovalo) apod. přece jenom nejsou tak vzácné. Právě to vedlo na Windows (ovšem až 7, ne XP) k zavedení adresáře winsxs, kde jsou všechny verze všech DLL jedna vedle druhé.
Nevýhoda plynoucí z toho, že oprava knihovny vyžaduje rebuild balíku, je reálná, ale bohužel nelze mít obojí současně. Snap to aspon částečně dohání třemi způsoby. Zaprvé, všechny důležité knihovny, jako mj. kompletní stacky GNOME, Qt atakdále jsou přece jenom sdílené ze snapu gnome-platform-3-26-1604, stejný mechanismus má i flatpak. Zadruhé ve snapu aplikace standardně běží pod apparmorem a seccompem, stejně tak ve flatpaku pod SELinuxem, takže značná část potenciálních exploitů to má přece jenom těžší (záleží samozřejmě na typu chyby). No a konečně nevím sice jak u flatpaku, ale u snapu je vydání aktualizovaného balíku v typické situaci až směšně snadné.
-
mngnt (neregistrovaný)
Niektore (len niektore) kniznice mam aj na Debiane vo viacerych verziach a prelinkovane. Je rozdiel medzi novou udrzbovou verziou a novou major verziu, ktora rozbija spatnu kompatibilitu. V idealnom svete udrzbova verzia funguje presne rovnako ako predchadzajuca, nerozbija kompatibilitu.
"všechny důležité knihovny, jako mj. kompletní stacky GNOME, Qt atakdále jsou přece jenom sdílené ze snapu gnome-platform-3-26-1604" Takze snap obsahuje vsetky zavislosti danej aplikacie. Okrem tych, ktore neobsahuje, lebo su v inom snape.
"snapu aplikace standardně běží pod... " doraz na slovo standardne. Nie vzdy to je realne sandboxovane a zavsi to ciste na vyvojarovi. Vid Skype.
"snapu je vydání aktualizovaného balíku v typické situaci až směšně snadné." znamena co? Ako je to technicky riesene na strane distributora? Pokial viem, uzivatelovi sa update nainstaluje automaticky...
-
Aktualizace balíku na straně distributora se dá dělat různými způsoby. Tím směšně snadným myslím ten, kdy distributor v souboru snapcraft.yaml změní verzi potřebné knihovny (nebo checkout zdrojáku, atd.), comituje to na github a to je v podstatě všechno. Build bot si to vyzvedne a pokud build proběhne úspěšně, nová verze balíku se hned vypustí do větve "edge", kde ji autor může otestovat. Pomocí jediného příkazu snapcraft release (...) ji lze uvolnit do dalších větví (stable, candidate atd...), odkud se pak automaticky aktualizuje uživatelům.
Pokud v projektu používám knihovnu z repozitářů Ubuntu, což je nejběžnější a nejsnažší způsob (ale nijak povinný), a pokud má repozitář aktualizovanou verzi, kterou chci použít, většinou nemusím ani nic editovat a komitovat. Na snapcraft.io stačí kliknout na "build now" a nový balík se objeví v edge.
Samozřejmě tohle není nijak nutné, distributor může kompilovat a pracovat lokálně a naprosto nezávisle na jakékoli vnější infrastruktuře, ale uživatelsky přívětivější už to snad být ani nemůže.
