Flatpak - это универсальная система упаковки приложений для Linux, которая стремится решить проблему множества форматов пакетов. Она позволяет разработчикам создавать единый пакет приложения, который может быть установлен на различных дистрибутивах Linux без необходимости перекомпиляции.
Одна из самых больших проблем с Linux — это то, что у нас слишком много дистрибутивов, и каждый из них использует свой собственный формат пакетов. Это создает огромные проблемы для разработчиков приложений, которые должны поддерживать множество различных форматов, чтобы их программное обеспечение работало на всех дистрибутивах.
— Линус Торвальдс, создатель Linux и фанат Mac (не Дональдса)
Проблема в мире Linux с дистрибуцией приложений всегда была острой. Если с какими-то простыми консольными утилитами проблем особых нет, так как они часто представляют собой один бинарник без зависимостей, их можно скачать curl’ ом и просто запустить, то с чем-то сложным уже беда. Можно было использовать Windows-подход, распространяя приложение в виде архива со всеми зависимостями, но в мире Linux пошли по другому пути, вынеся общие зависимости в отдельные пакеты. Но тут возникла проблема с тем, что пакетам нужна разная версия одной и той же зависимости, и тут выбор делается в пользу той, которая системная, но приложение как-то нужно запускать. Сюда же накладывается проблема с кучей дистрибутивов с разными версиями системных библиотек.
Решением может быть переход на роллинг-релиз, например, и тут два подхода: компилируем все пакеты, красноглазя ночами, либо используем собранные (бинарные). Различия между динамической и статической линковкой я описывать не буду, напишу лишь что статическая линковка ничем не лучше скачивания проги в виде архива со всеми зависимостями, а готовые бинарные пакеты используют почти всегда динамическую линковку. Сборкой бинарных пакетов занимаются энтузиасты в основном, им никто сборочные сервера не оплачивает, поэтому часто, как в том же Arch Linux, установка пакета из репы — это на самом скачивание того же .deb с сайта разработчиков, которые сидят на какой-нибудь Ubuntu 18, и их мало волнуют проблемы тех, кто сидит не то что с роллинга, а с более новых версий Ubuntu. Ситуация складывалась критическая, и решением стало засунуть все в контейнеры. Причем, это еще решало проблемы с безопасностью.
Что такое Flatpak
Flatpak — это технология, которая стремится решить проблему множества форматов пакетов и упростить дистрибуцию графических приложений на различных дистрибутивах Linux.
-
Flatpak использует единый формат пакетов для всех дистрибутивов Linux. Это означает, что разработчики могут создавать один пакет, который будет работать на любой системе, поддерживающей Flatpak, независимо от используемого дистрибутива.
-
Flatpak изолирует приложения от основной системы, используя контейнеры. Это позволяет приложениям работать независимо от версий библиотек и зависимостей, установленных в основной системе. Таким образом, разработчикам не нужно беспокоиться о совместимости с различными версиями библиотек на разных дистрибутивах.
-
Flatpak использует централизованное хранилище приложений, называемое Flathub. Разработчики могут публиковать свои приложения в Flathub, и пользователи смогут легко устанавливать их на любом дистрибутиве, поддерживающем Flatpak. Это устраняет необходимость в создании и поддержке пакетов для каждого дистрибутива.
✍️ История
Flatpak изначально назывался XDG-App. Он был создан в 2014 году. Незадолго до этого, в феврале 2013 года, вышел Linux 3.8, добавивший поддержку пользовательских неймспейсов. А еще до этого были реализованы изоляция процессов. Таким образом, проект изначально был рассчитан на использование самых последних возможностей ядра. В 2015 году проект был переименован в Flatpak, чтобы лучше отразить его цель — предоставление унифицированного способа распространения графических приложений на различных дистрибутивах Linux. «Pak» — это жаргонное «package», то есть «коробка», а «flat package» — это картонная коробка, стандартный способ доставки чего-либо почтой или службой доставки до дома.
🤓 Кто создатель Flatpak
Flatpak — проект, разрабатываемый сообществом с поддержкой ряда компаний и организаций. Основателем и ведущим разработчиком является шведский разработчик Александр Ларссон (Alexander Larsson). Он долгое время работал в Red Hat и известен своим вкладом в развитие среды рабочего стола GNOME, а также фреймворка мультимедиа GStreamer.
💰 Спонсоры и поддержка
Проект Flatpak поддерживают несколько крупных компаний и организаций, среди которых:
- Red Hat — одна из ключевых компаний, активно участвующих в развитии Flatpak.
- Endless — компания, известная своими Linux-дистрибутивами, также вносит вклад в развитие Flatpak.
- Другие организации и сообщества — включая GNOME Foundation и другие структуры, заинтересованные в развитии свободного программного обеспечения.
Поддержка со стороны крупных компаний дает уверенность в том, что проект неожиданно не загнется, заставив пользователей искать альтернативу.
🧑💻 Поддержка в дистрибутивах
Flatpak доступен для установки в большинстве дистрибутивов из стандартных репозиториев. Стоит отметить, что в дистрибутивах от Red Hat типа Fedora, Flatpak является предустановленным, и почти все графические приложения ставятся через него.
👍🏿 Габен рекомендует
Благодаря Steam Deck самым популярным дистрибутивом на десктопе стал Steam OS, основанный на Arch Linux (можно сказать, что и Arch Linux теперь занимает больше половины рынка). Из его особенностей помимо использования Btrfs (причем корень монтируется в ro) можно отметить использование Flatpak как единственного рекомендованного способа установки приложений:
Как установить приложения?
В настоящее время в KDE Plasma есть стандартное решение для установки программного обеспечения. Вы можете использовать Discover Software Center (на панели задач) для установки приложений. Discover Software Center устанавливает приложения с использованием технологии flatpak (подробнее об этом ниже) на записываемую часть вашего диска. Если вы разбираетесь в командной строке Linux, вы можете напрямую использовать команды flatpak для установки приложений. Обычные браузеры, музыкальные плееры и другие виды приложений уже доступны через эти методы, и мы ожидаем, что многие из них будут обновлены, исправлены и станут доступны после запуска.
И это при том, что Steam Deck, являясь по сути обычным Arch Linux, путем нехитрых манипуляций позволяет ставить пакеты через pacman.
🤔 Преимущества Flatpak
Flatpak выделяется рядом ключевых преимуществ:
- Использование
ostreeи поддержка дельта-обновлений, обеспечивающих частичное обновление приложений, сокращает объем загружаемых данных. Скачанные приложения хранятся на диске в/var/lib/flatpak. Там есть подкаталогиapp,runtime,exports, …,repo. Вrepoструктура похожа на Git: там хранятся дельты различий между версиями, используется сжатие и т.д. Это позволяет хранить множество версий тех же рантаймов, причем их реальный размер на диске будет меньше того, который мы могли бы получить, складывая размер каждой версии. Например, если сложить размеры из выводаflatpak list --columns=size, то получится 17 гигабайт различных версий приложений и рантаймов, но если выполнитьdu -sh /var/lib/flatpak, то там будет храниться всего 14 гигабайт благодаря механизмуostree. Такжеflatpakне хранит архивы с каждой установленной версией пакета, так как сostreeэто не нужно, что тоже экономит очень много места. Можно сказать, что только это уже компенсирует необходимость иметь немного дополнительного места для хранения различий между версиями. - Общие рантаймы — это наборы общих компонентов, которые используются различными приложениями. Благодаря этому Flatpak значительно выигрывает перед AppImage, позволяя экономить дисковое пространство и трафик. Библиотеки, которые содержат рантаймы, шарятся в RAM между приложениями.
- Изоляция приложений в контейнерах, обеспечивающая повышенную безопасность и стабильность работы. Например, ситуаций когда после обновления системных зависимостей, перестанет запускаться приложение из Flatpak, не будет.
- Централизованное хранилище пакетов Flathub, где доступны самые новые версии приложений. Так же, что важно, вы можете подключить сторонние репозитории.
- Из неочевидных преимуществ Flatpak нужно упомянуть, что даже в стандартных репозиториях дистрибутивов ментейнерами даже популярных приложений являются сторонние разработчики-энтузиасты, в то время как во Flathub приложения часто поддерживают их разработчики (как тот же Telegram).
- Все пользовательские данные хранятся в одном месте: в директории
~/.var. - Приложения, распространяемые через Flatpak, часто бывают преднастроенными. Хотя это можно назвать и минусом.
- Оформление приложений подстраивается под тему вашей DE (поддерживаются лишь KDE, Gnome и Xfce).
♻️ Дельта-обновления
Дельта-обновления — это одно из главных преимуществ Flatpak. Они позволяют экономить время и пропускную способность сети, загружая только изменения между текущей и новой версиями приложения, а не весь пакет целиком.
Как работают дельта-обновления:
Для delta-обновлений в Flatpak используется библиотека ostree.
OSTree широко используется в продуктах компании Red Hat. Он позволяет откатывать систему после неудачных обновлений (прямо как в git).
Принцип работы:
- Сравнение файлов: При обновлении приложения Flatpak сравнивает файлы текущей версии с файлами новой версии.
- Генерация дельт: Flatpak генерирует «дельты» — наборы изменений, которые нужно применить к текущим файлам, чтобы получить новые файлы.
- Загрузка дельт: Дельты загружаются с сервера и применяются к локальным файлам.
- Обновление: После применения дельт приложение обновляется до новой версии.
Преимущества дельта-обновлений:
- Экономия пропускной способности: Загружаются только изменения, что снижает потребление интернет-трафика.
- Быстрое обновление: Обновление происходит быстрее, так как загружается меньше данных.
- Экономия места: Меньше данных загружается, что экономит место на диске.
🫙 Что такое контейнеры
Контейнеры — это технология виртуализации на уровне операционной системы, которая позволяет запускать приложения в изолированных средах. В отличие от виртуальных машин, контейнеры используют ядро хост-системы, что делает их более легковесными и быстрыми.
Как работают контейнеры
-
Изоляция процессов: Контейнеры изолируют процессы приложений друг от друга и от основной системы. Это достигается за счет использования механизмов ядра Linux, таких как namespaces и cgroups.
-
Namespaces: Namespaces создают изолированные пространства имен для различных ресурсов, таких как процессы, сеть, файловая система и пользователи. Это позволяет каждому контейнеру иметь свою собственную «область видимости».
-
Cgroups: Control Groups (cgroups) ограничивают и контролируют использование ресурсов (CPU, память, сеть) контейнерами. Это позволяет управлять нагрузкой на систему и предотвращать влияние одного контейнера на другие.
-
Файловая система: Контейнеры используют файловую систему, изолированную от основной системы. Обычно это достигается с помощью UnionFS или OverlayFS, которые объединяют несколько слоев файловой системы в один.
Изоляция и безопасность
Для создания изолированных контейнеров Flatpak использует инструмент bubblewrap, который управляет изоляцией процессов и ресурсами. Bubblewrap позволяет приложениям запускаться в защищённой среде с минимальным доступом к системным файлам и службам, что добавляет дополнительный уровень безопасности, ограничивая потенциальные угрозы и уязвимости.
Контейнеры предоставляют изолированную среду для каждого приложения, что предотвращает их влияние друг на друга. Это значительно повышает стабильность и предсказуемость работы системы, так как сбой или ошибка в одном приложении не затрагивает остальные компоненты.
Контейнеры ограничивают доступ приложений к ресурсам системы, что делает их более безопасными. Например, можно задать ограничения на доступ к файлам или сетевым ресурсам, не позволяя приложению взаимодействовать с системными элементами за пределами контейнера.
Так же важно отметить, что если два приложения используют один и тот же runtime, они могут разделять в памяти библиотеки, предоставляемые этим runtime. Это аналогично тому, как стандартные приложения разделяют динамически загруженные библиотеки (shared libraries) в обычных Linux системах.
Песочница во Flatpak реализуется через контейнеры.
Ограничения песочницы
Одной из основных целей Flatpak является повышение безопасности настольных систем за счет изоляции приложений друг от друга. Это достигается с помощью песочницы, что означает, что по умолчанию приложения, запущенные с помощью Flatpak, имеют крайне ограниченный доступ к хост-окружению:
-
Нет доступа к файлам хоста, за исключением среды выполнения (runtime), самого приложения,
~/.var/app/$FLATPAK_ID, и$XDG_RUNTIME_DIR/app/$FLATPAK_ID. Только последние два из них являются доступными для записи. -
Нет доступа к сети.
-
Нет доступа к узлам устройств (за исключением
/dev/nullи т.д.). -
Нет доступа к процессам за пределами песочницы.
-
Ограниченные системные вызовы. Например, приложения не могут использовать нестандартные типы сетевых сокетов или отслеживать другие процессы с помощью
ptrace. -
Ограниченный доступ к экземпляру сессионного D-Bus — приложение может владеть только своим собственным именем на шине.
-
Нет доступа к хост-сервисам, таким как X11, системный D-Bus или PulseAudio.
Доступ к сети, к сокетам dbus, некоторым устройствам и тп приложению можно дать.
К каталогам хоста типа /root, /sys, /bin и тд доступ нельзя получить.
Кому не нужен Flatpak?
- Пользователям дистрибутивов типа Ubuntu, где есть полноценный аналог + в дистрибутиве, где присутствует встроенная телеметрия, какие-то соображения о приватности, доверии разработчикам не работают.
- В таких дистрибутивах как Qubes OS, где каждое приложение ставится в виртуалку, Flatpak чуть менее чем полностью не уместен.
Установка
Ubuntu/Debian
# Обновляем список пакетов
sudo apt update
# Устанавливаем Flatpak
sudo apt install flatpak
# Устанавливаем плагин для графического интерфейса (необязательно)
sudo apt install gnome-software-plugin-flatpak
Fedora
В новых версиях Flatpak установлен по умолчанию.
sudo dnf install flatpak
Arch Linux и его клоны
sudo pacman -S flatpak
yay -S flatpak
openSUSE
sudo zypper install flatpak
CentOS/RHEL
В новых версиях RHEL yum является алиасом dnf.
# Включаем репозиторий EPEL (если еще не включен)
sudo yum install epel-release
# Устанавливаем Flatpak
sudo yum install flatpak
Gentoo
# Устанавливаем Flatpak
sudo emerge --ask app-eselect/eselect-repository
sudo eselect repository enable guru
sudo emerge --sync guru
sudo emerge --ask flatpak
Alt Linux
sudo apt install flatpak
flatpak remote-add flathub https://dl.flathub.org/repo/flathub.flatpakrepo
Необязательное подключение репозитория
Если в вашем дистре по какой-то причине не прописан основной репозиторий, выполните эту команду:
flatpak remote-add --if-not-exists flathub https://dl.flathub.org/repo/flathub.flatpakrepo
🚀 Основные команды для терминала
Некоторые из этих команд могут понадобиться:
# Установка пакета
# flathub здесь — это явное указание из какого репозитория установить приложение. Указание репозитория можно опустить
flatpak install flathub com.example.App
# Запуск приложения
flatpak run com.example.App
# Обновление одного пакета
flatpak update com.example.App
# Обновление всех пакетов
flatpak update -y
# Запретить обновление приложения
flatpak mask org.example.App
# Удаление пакета
flatpak uninstall com.example.App
# Удаление неиспользуемых рантаймов
flatpak uninstall --unused
# Иногда пакет не хочется удаляться, потому как он почему помечен как системный, тогда нужно выполнить pin
flatpak pin --remove runtime/org.winehq.Wine.DLLs.dxvk/x86_64/stable-23.08
# а затем удалить его
flatpak uninstall org.winehq.Wine.DLLs.dxvk
# и почистить хвосты
flatpak uninstall --unused
# Вывести список рантаймов
flatpak list --runtime
# Поиск пакета
flatpak search <text>
# Вывод списка установленных пакетов с их id, названием, занимаемым местом
flatpak list --columns=app,name,size
# Дать доступ приложению к графическому устройству для работы с OpenGL
flatpak override --device=dri com.example.App
# Сбросить разрешения для приложения на дефолтные
flatpak override --reset com.example.App
# Просмотр информации о пакете
flatpak info com.discordapp.Discord
# Так же мы можем присоединится к любому запущенному контейнеру
flatpak enter com.discordapp.Discord sh
# Добавление сторонего репозитория от разрабов KDE
flatpak remote-add --if-not-exists kdeapps --from https://distribute.kde.org/kdeapps.flatpakrepo
# Удаление репозитория
flatpak remote-add repo
# Список репозиториев
flatpak remotes
🚧 Flatseal: Управление разрешениями Flatpak
Flatseal — это графический инструмент для управления разрешениями приложений, установленных через Flatpak. Он позволяет пользователям просматривать и изменять разрешения для каждого приложения, что повышает безопасность и контроль над приложениями.
Основные функции Flatseal:
-
Просмотр разрешений: Flatseal отображает все разрешения, предоставленные каждому приложению, включая доступ к файлам, сети, аппаратным устройствам и другим ресурсам.
-
Изменение разрешений: Пользователи могут изменять разрешения для каждого приложения, добавляя или удаляя доступ к определенным ресурсам.
-
Безопасность: Flatseal помогает повысить безопасность системы, позволяя пользователям ограничивать доступ приложений к критическим ресурсам.
Установка Flatseal:
Flatseal можно установить через Flathub:
flatpak install flathub com.github.tchx84.Flatseal
Использование Flatseal:
-
Запуск Flatseal:
flatpak run com.github.tchx84.Flatseal -
Просмотр и изменение разрешений:
- Откройте Flatseal и выберите приложение, для которого хотите изменить разрешения.
- Просмотрите текущие разрешения и измените их по необходимости.
🖥️ Интеграция с DE
Flatpak интегрирован в популярные окружения рабочего стола KDE и GNOME. Как в GNOME Software, так и в Discover можно устанавливать приложения напрямую из Flatpak, мало того в обеих средах Flatpak является источником для поиска и установки приложений по умолчанию. Разработчики дистрибутивов могут основными источниками пакетов делать свои репозитории и отключать возможность установки через Flatpak.
В Arch Linux в описании пакета Discover среди зависимостей указан
packagekit-qt6. Он нужен для установки пакетов из стандартного репозитория. Там так же написано, что его можно использовать только на свой страх и риск, т.е. в Арче рекомендованный способ установки графических приложений — Flatpak.
Правами flatpak-приложений можно управлять при наличии установленного Flatseal.
Plasma 6: запускаем System Settings, а далее Security & Privacy → Application Permissions → Flatpak Permissions.
Gnome:
- Откройте
GNOME Software. - Перейдите на вкладку
Installed. - Найдите приложение, установленное через Flatpak.
- Нажмите на приложение и перейдите на вкладку
Permissions. - Здесь вы можете управлять правами доступа для выбранного приложения.
Недостатки Flatpak
- Более долгий запуск приложений. Речь идет о долях секунды или даже секундах, но тем не менее.
- Приложение, установленное через Flatpak имеет ограниченный доступ к ресурсам и файловой системе хоста, что может быть проблематичным для Gparted (поэтому его и нет во Flathub) или какой-нибудь IDE, которые должны быть тесно интегрирована с системой. Руководствуйтесь правилом не ставить стандартные приложения для вашего DE из Flatpak
- Он используется для установки только графических приложений.
- Внешний вид приложений может отличаться от привычного. Дело тут в том, что «разработчики» и мейнтейнеры пакетов дистрибутивов очень часто кардинально меняют внешний вид всего до чего могут дотянуться. Внешний вид приложений из стандартных репозиториев не изменяют только в Arch Linux. Но тут можно кинуть камень в огород и упаковщиков flatpak, они тоже таким страдают.
- Осиротевшие пакеты, оставшиеся без мейнтейнера удаляют из репозитория. Очень старые версии рантаймов так же удаляют.
- Система может засоряться рантаймами, поэтому нужно периодически вызывать
flatpak uninstall --unused. Но при использовании приложений, которые редко обновляются, множество старых версий рантаймов будет всегда присутствовать. Так же можно использоватьflatpak mask org.example.Appчтобы запретить обновление проблемного приложения при вызовеflatpak update.
⚔️ Сравнение с конкурирующими технологиями
AppImage и Snap — это технологии для решения проблемы с кросс-дистрибутивным распространением приложений на Linux, конкурирующие с Flatpak. Каждая из них имеет свои преимущества и недостатки.
AppImage
Преимущества:
Тут указаны преимущества над стандартными спсобами дистрибуции
- Простота использования: AppImage — это просто исполняемый файл, который можно запустить без установки.
- Условная переносимость: AppImage в теории должен работать на любом дистрибутиве Linux, поддерживающем исполняемые файлы ELF. Тут нужно написать, что этот пункт применим с очень большой натяжкой, так как с тем же musl этот формат не дружит, те какие-то системные зависимости все равно должны быть.
- Не требует установки: в большинстве случаев (если используется жирнодистр типа Ubuntu) не нужно устанавливать дополнительные пакеты или зависимости, что упрощает распространение приложений.
Недостатки:
- Нет обновлений: AppImage не предоставляет механизм обновления приложений, нужно постоянно скачивать новую версию приложения.
- Засоряет систему: в «образы» (архивы и тп — как хочешь называй) AppImage включены зависимости. Это тот же Windows-подход только у нас вместо папочек архивчики, где содержатся повторяющиеся so-шки. Чем оно лучше статических сборок? — Лишь тем, что все идет одним файлом и компилировать ничего не надо.
- Нет ограничения доступа: AppImage не изолирует приложения, что может привести к проблемам с безопасностью.
- Нет реальной кроссдистрибутивности: например, AppImage гвоздями прибит к
glibc.
Интересно, что разработчик AppImage сам предлагает Flatpak как достойную альтернативу его проекту, здраво рассуждая, что у каждой технологии есть свое применение. Те, если вам не нужны обновления или нужного приложения нет в Flatpak тупо потому что оно старое, не поддерживаемое, то ищете AppImage.
Snap
Преимущества:
- Интеграция с Ubuntu: Snap тесно интегрирован с Ubuntu, что обеспечивает лучшую поддержку и обновления. Flatpak же необходимо быть универсальным…
- Консольные приложения: Snap позволяет устанавливать и запускать как графические, так и консольные приложения.
- Автоматические обновления: Snap поддерживает автоматические обновления приложений (KDE и Gnome тоже могут автоматически обновлять приложения, установленные через Flatpak, но они не единственные DE).
Недостатки:
- Зависимость от Ubuntu: Snap тесно связан с Ubuntu, что может быть проблемой для других дистрибутивов.
Остальные недостатки те же самые, что и у Flatpak.
⚔️ Flatpak vs Firejail, Apparmor и SELinux
Эти технологии были созданы для ограничения доступа приложений к сети и/или системным ресурсам. Flatpak проще в использовании: он не требует запуска ядра с дополнительными параметрами, установки кучи пакетов, написания конфигов и т.д.
Так же никто вам не запрещает использовать тот же Apparmor чтобы дополнительно ограничить flatpak и все приложения, запускаемые через него.
📦 Поддержка flatpak-версий приложений официальными разработчиками
Если раньше было проблемой мотивировать разрабов популярных программ сделать flatpak-версию, но после того как Fedora выпилили многие программы из своих репозиториев, разработчики начали активно добавлять свои программы в Flathub.
Вот неполный список flatpak-версий популярных приложений, поддерживаемых их разработчиками:
Офисные приложения
- LibreOffice — свободный офисный пакет.
- OnlyOffice Desktop Editors — редакторы документов, таблиц и презентаций.
Мультимедиа
- VLC Media Player — популярный видеоплеер (аудио тоже воспроизводит).
- Spotify — клиент для прослушивания музыки через одноименный сервис.
- Audacity — аудиоредактор.
- GIMP — растровый графический редактор.
- Kdenlive — видеоредактор.
Интернет и коммуникации
- Mozilla Firefox — веб-браузер с телеметрией.
- Google Chrome — популярный веб-браузер с телеметрией и интеграцией с сервисами Google.
- Telegram Desktop — ранее свободный мессенджер.
- Slack — корпоративный мессенджер.
- Discord — мессенджер, используемый для общения в онлайн-играх.
Разработка
- Visual Studio Code — свободный редактор кода от Microsoft.
- IntelliJ IDEA Community — IDE для разраотки на Java, Groovy, Kotlin, Scala от JetBrains.
- PyCharm — IDE для разраотки на Python от JetBrains.
- GitKraken — графический интерфейс для Git от разработчика Sublime Text.
От себя отмечу, что не нужно использовать flatpak-версии IDE. Как писал уже выше для них критически важна интеграция с системой. Тот же VS Code требует либо создания своего flatpak-билда со всем необходимым, что сложно, либо использования разработки через docker-контейнеры, что не всегда удобно. Можно, конечно, извратиться установив все необходимые средства разработки в какой ~/.local/bin, но это противоречит практике при которой все пакеты в системе должны управляться пакетным менеджером, чтобы иметь их актуальные версии (в случае с Python всякие black и pylint можно ставить через pipx — тогда терпимо, но от проблем с интеграцией с ssh это не спасает). Из неочевидных решений можно поднять локальный ssh-сервер и подключаться к хосту по ssh чтобы вести разработку (я так, например, делал когда сидел с Windows, а Arch Linux у меня крутился в гипервизоре). Но, так или иначе, я предупредил о возможных проблемах и подсказал пути их решения.
Системные утилиты
- Timeshift — утилита для создания снимков системы.
Игры
Другие
- Krita — профессиональный инструмент для цифрового рисования.
- Inkscape — векторный графический редактор.
- Blender — 3D-редактор.
- OBS Studio — программа для записи и стримминга видео.
📂 Популярные репозитории
Вот подборка популярных и полезных репозиториев Flatpak, которые помогут расширить доступ к различным приложениям:
-
KDE Applications (kdeapps) — репозиторий с широким набором приложений для среды рабочего стола KDE.
-
GNOME Nightly — содержит ночные сборки приложений GNOME, для тех, кто предпочитает работать с последними версиями.
-
Elementary OS Flatpak — официальный репозиторий приложений для пользователей Elementary OS, известного своим минимализмом и эстетикой.
🗣️ Мнения от экспертов в области безопасности
В мире Linux существует ряд известных разработчиков и исследователей в области безопасности, которые высказывают свое мнение о Flatpak и его роли в обеспечении безопасности и совместимости приложений.
Маттью Гэрретт, специализирующийся на обеспечении безопасности UEFI и разработке ядра Linux, отмечает, что Flatpak предлагает важные преимущества в плане изоляции приложений и управления зависимостями. Он считает, что этот подход значительно улучшает безопасность системы, поскольку каждое приложение работает в своей собственной изолированной среде, что снижает риск распространения вредоносного кода и уязвимостей. Гэрретт также подчеркивает, что Flatpak позволяет разработчикам легко распространять свои приложения на различных дистрибутивах Linux, что способствует более широкому распространению программного обеспечения и улучшению совместимости.
Еще одним известным исследователем в области безопасности, который высказывает свое мнение о Flatpak, является Киз Кук, работающий в компании Google и активно участвующий в разработке ядра Linux, также видит в Flatpak потенциал для улучшения безопасности. Он отмечает, что изоляция приложений, предлагаемая Flatpak, является важным шагом вперед в борьбе с уязвимостями и атаками на систему. Кук подчеркивает, что Flatpak позволяет пользователям устанавливать приложения с минимальными рисками для безопасности, поскольку каждое приложение работает в своей собственной среде, изолированной от остальной системы.
В целом, мнение этих известных разработчиков и исследователей в области безопасности свидетельствует о том, что Flatpak представляет собой важный инструмент для улучшения безопасности и совместимости приложений в мире Linux. Их поддержка и активность в этой области способствуют дальнейшему развитию и распространению этой технологии, что, в свою очередь, приносит пользу всему сообществу Linux.
🤦 Про критику
У любой прогрессивной, модной и «молодежной» технологии есть противники. Такие люди как правило могут критиковать, но не способны предложить лучшую альтернативу и тем более ее написать.
Лозунг, что Flatpak будущее Linux написан на главной странице сайта проекта.
Сайт «Flatpak is not a future» — это пример критики проекта Flatpak, которая, по мнению автора, не имеет будущего. Однако, такие критические заявления часто основаны на неполной информации или предвзятости и не отражают реальной ситуации с проектом Flatpak. Со всеми его тезисами можно ознакомиться тут. Вот их опровержение:
-
Песочница и безопасность: автор критикует Flatpak за то что ментейнеры пакетов дают им излишние права… — Ну, это примерно как претензии к Пашке Дурову за то что творят пользователи Телеграма. А так же он хотел бы чтобы пакетам права какие-то устанавливали не сами разработчики, а кто-то типа модераторов, что весьма трудозатратно.
-
Объём дискового пространства: да, действительно, в первый раз когда качаешь приложение, то скачивается в тч его рантайм с драйверами Nvidia и тп, но рантаймы общие для приложений, а при обновлении скачивается только дельта. Это ситуация когда полуправда хуже лжи.
-
Производительность: утверждается, что приложения дольше запускаются. Это правда, но тут все-таки нужно сделать выбор между изоляцией и безопасностью, а дополнительное время на запуск не более секунды на относительно современных машинах.
🪲 Реальные уязвимости
По-мимо каких-то мнимых претензий со стороны троллей и просто невежд, которые не понимают либо не хотят разбираться «а зачем оно нужно», есть реально задокументированные серьезные проблемы в области безопасности, ради обеспечения которой вроде и нужно использовать Flatpak. Из серьезных уязвимостей можно припомнить, CVE-2024-32462, где разработчики пакета в теории могли получить доступ к файловой системе хоста через command line injection. Она относительно серьезная, но так или иначе Flatpak не дает доступа к root. Тут уже каждый решит для себя что лучше чувство мнимой безопасности или ее полное отсутствие, потому как никто не может гарантировать появление подобных уязвимостей в будущем. Ряяяяяяя — скажут противники Flatpak, зачем оно такое дырявое, а я их разочарую, потому как эта уязвимость была и в sudo, например, изучаем этот сплойт для CVE-2023-22809. Вывод: Flatpak настолько уязвим, насколько уязвимы сторонние разработки, лежащие в основе.
👁️ Почему Flatpak — это будущее?
Flatpak представляет собой будущее Linux благодаря своей универсальности и эффективности в решении проблем, связанных с зависимостями и совместимостью приложений. Контейнеризация, лежащая в основе Flatpak, позволяет изолировать приложения от системы, что решает проблему «ада зависимостей» и обеспечивает стабильность работы приложений на различных дистрибутивах. В дистрибутивах таких как Ubuntu, сталкивающиеся с трудностями в поддержке множества версий пакетов для своих различных релизов, это осознали одними из первых, а поэтому они идут именно по пути упаковывания в контейнеры приложений. Вы можете плеваться, истерить, рвать на голове и спине волосы, но этот процесс не остановить. В других же дистрибутивах вместо того чтобы полагаться на проприетарные технологии, такие как Snap от Canonical, которые могут в будущем стать платными или сменить лицензию, выбирают Flatpak как более открытую и свободную альтернативу. Flatpak не только упрощает распространение приложений, но и обеспечивает более строгий контроль над правами доступа, что повышает безопасность и защиту персональных данных пользователей. Для «стабильных» дистров Flatpak — это возможность прикоснуться к rolling, а в rolling и в «стабильных» в том числе — повысить безопасность. Таким образом, Flatpak становится ключевым инструментом для создания более стабильной, безопасной и совместимой экосистемы Linux.
