Ono to tak stejne hloupe je. Problem je, ze v dnesni dobe lidi na kvalitu kaslou, tudiz se misto rpm ktere je plne zavislosti instaluje snap/flatpack ktere si ty zavislosti nese s aplikaci a kasle na system wide knihovny. Tudiz aplikace A ma sebou knihovnu X ve verzi N a aplikace B ma sebou tu samou knihovnu. Misto sdilene knihovny ve stylu rpm zavislosti ted mate na disku 2x tu samou knihovnu, cekate 2x na aktualizaci te knihovny ve dvou aplikacich a jako uzivatel vubec netusite co si ta aplikace nese sebou protoze vse je zabaleno v aplikaci misto jasnych zavislosti ve stylu rpm. Ono je to desne cool mit vsechny zavislosti v jednom aplikacnim balicku, ale uz nemuzete jako uzivatel rictze nechci pouzivat aplikace s vulnerable openssl, proste musite cekat az autor fixne svou aplikaci. Vyhoda ze aplikace je dostupna ve snapu rovnou pro podporovane distribuce je vyhodou pro autora aplikace, ale ne pro uzivatele.
Na kvalitu vůbec nekašlou, naopak si na základě dlouholetých zkušeností s rpm a deb uvědomili, že ta kvalita je širší a složitější problém. To, že aktualizace jedné knihovny rozbije nějakou další aplikaci, která na ní závisí, se stává celkem pravidelně, zvlášť, pokud někdo používá PPA a další podobné neoficiální repozitáře. To je ta známá hra na "co dneska nebude fungovat", hlavně u rolling dister, a když zrovna nefunguje něco, co nutně potřebuju, tak to do nějaké kvality má dost daleko. Jindy naopak důležitou aktualizaci kvůli dependence hellu provést nejde. Zvlášť pro někoho, kdo má zajišťovat smluvní podporu, to je dost zlé.
S těmito novými formáty by u openssl konkrétně problém nenastal, protože ta je součástí sdílených runtime knihoven, ale u nějaké jiné "nestandardní" knihovny je na vývojáři aplikace, aby to sledoval a balíky aktualizoval dle potřeby. Celkem vzato je to vlastně tak logické a i když je pravda, že tradiční model, kdy se jedna knihovna sdílí pro všechny instalované aplikace a dá se nezávisle aktualizovat, má nesporné výhody, způsobuje příliš mnoho problémů. Snap a flatpak v podstatě nedělají nic jiného, než co je dávno zavedenou praxí na Windows i na Macu, a mají k tomu dobrý důvod.
Řešení dle MS-Windows bych moc nechválil (a nebo jsem obsah příspěvku nepochopil). V profi praxi s koupeným drahým SW Microsoft updatne knihovny (záplaty) a náhle drahý SW je nefunkční. Jeho update je dražší, jak vlastní Windows (navíc 10 zadara).
Takže se často přejde na virtualizaci a SW se provozuje ve virtuálu bez záplatování.