Snap é mais confiável que ppa? [RESOLVIDO]

1. Snap é mais confiável que ppa? [RESOLVIDO]

Samuel Leonardo
SamL

(usa XUbuntu)

Enviado em 08/05/2022 - 13:33h

Alguém pode me dizer que diferença, relativo a segurança, tem entre pacotes snap e os ppa?
Pelo que eu sei, ppa qualquer um pode criar esse pacote e disponibilizar pra outros, mas e os snaps? Quem disponibiliza? Alguém verifica a veracidade de tais pacotes? Ou simplesmente compila e joga pra todos usarem, tipo os ppa?


  


2. MELHOR RESPOSTA

alberto roberto
adminbuster

(usa Gentoo)

Enviado em 08/05/2022 - 15:53h

SamL escreveu:

Alguém pode me dizer que diferença, relativo a segurança, tem entre pacotes snap e os ppa?
Pelo que eu sei, ppa qualquer um pode criar esse pacote e disponibilizar pra outros, mas e os snaps? Quem disponibiliza? Alguém verifica a veracidade de tais pacotes? Ou simplesmente compila e joga pra todos usarem, tipo os ppa?


acho que snaps são mantidos pela canonical
mais ou menos como o repositório principal das distros
e os ppas como são repositórios customizados que qualquer um pode criar acaba não sendo seguro

https://snapcraft.io/blog/where-eagles-snap-snap-security-overview
https://help.ubuntu.com/stable/ubuntu-help/addremove-ppa.html.en

3. Re: Snap é mais confiável que ppa? [RESOLVIDO]

Samuel Leonardo
SamL

(usa XUbuntu)

Enviado em 08/05/2022 - 15:55h


adminbuster escreveu:


SamL escreveu:

Alguém pode me dizer que diferença, relativo a segurança, tem entre pacotes snap e os ppa?
Pelo que eu sei, ppa qualquer um pode criar esse pacote e disponibilizar pra outros, mas e os snaps? Quem disponibiliza? Alguém verifica a veracidade de tais pacotes? Ou simplesmente compila e joga pra todos usarem, tipo os ppa?


acho que snaps são mantidos pela canonical
mais ou menos como o repositório principal das distros
e os ppas como são repositórios customizados que qualquer um pode criar acaba não sendo seguro

Valeu ai, eu acabei achando uma discussão aqui:
https://askubuntu.com/questions/1179175/are-snap-and-flatpak-apps-safe-to-install-are-they-official-...
Lá eles falam disso que tu citou.
De qualquer forma, pra mim não importa se os snaps usam mais memória. Pelo menos agora sei que a segurança é levada em conta e não é qualquer fulano que adiciona snap oficial.


4. Re: Snap é mais confiável que ppa? [RESOLVIDO]

alberto roberto
adminbuster

(usa Gentoo)

Enviado em 08/05/2022 - 16:02h

o snapd é dependente do systemd e costuma demorar para baixar coisas simples
é só por isso que não uso


5. Re: Snap é mais confiável que ppa? [RESOLVIDO]

Ruan
ru4n

(usa Fedora)

Enviado em 08/05/2022 - 16:16h

Se é mais seguro/confiável que PPA, não creio que seja. Já foi detectado um minerador de bitcoins em snap, em 2018, na própria loja do Ubuntu:
https://securityaffairs.co/wordpress/72449/hacking/ubuntu-snap-store-miner.html

Porém, esse tipo de coisa pode acontecer com qualquer pacote de terceiro, seja ele nativo ou em contêiner (snap/flatpak/appimage).

A única forma de se manter seguro nesse caso é fazendo auditoria manualmente, ou usar apenas pacotes nativos e oficiais.

Mesmo assim, usar Snap ou Flatpak ao invés de PPA é mais vantajoso, pois evita de quebrar o sistema com dependências mal resolvidas.





6. Re: Snap é mais confiável que ppa? [RESOLVIDO]

Samuel Leonardo
SamL

(usa XUbuntu)

Enviado em 08/05/2022 - 16:29h


ru4n escreveu:

Se é mais seguro/confiável que PPA, não creio que seja. Já foi detectado um minerador de bitcoins em snap, em 2018, na própria loja do Ubuntu:
https://securityaffairs.co/wordpress/72449/hacking/ubuntu-snap-store-miner.html

Porém, esse tipo de coisa pode acontecer com qualquer pacote de terceiro, seja ele nativo ou em contêiner (snap/flatpak/appimage).

A única forma de se manter seguro nesse caso é fazendo auditoria manualmente, ou usar apenas pacotes nativos e oficiais.

Mesmo assim, usar Snap ou Flatpak ao invés de PPA é mais vantajoso, pois evita de quebrar o sistema com dependências mal resolvidas.

Eu só instalo no root o que é pacote oficial, nem do github eu instalo sem ver o source. Aliás, eu pesquiso antes pra saber o histórico do developer se ele pode ser confiável ou não. Dou preferência por programas de script do que por executáveis pré-compilados, com exceção do vscode que baixo do site oficial da Microsoft mas sabendo que esse programa tem "spyware" de coleta de dados.


7. Re: Snap é mais confiável que ppa? [RESOLVIDO]

Ruan
ru4n

(usa Fedora)

Enviado em 08/05/2022 - 18:58h


SamL escreveu:
Eu só instalo no root o que é pacote oficial, nem do github eu instalo sem ver o source. Aliás, eu pesquiso antes pra saber o histórico do developer se ele pode ser confiável ou não. Dou preferência por programas de script do que por executáveis pré-compilados, com exceção do vscode que baixo do site oficial da Microsoft mas sabendo que esse programa tem "spyware" de coleta de dados.


Penso que essa é a forma correta de se ter o mínimo de segurança e privacidade no linux.

Eu só instalo pacotes oficiais como root também, o resto fica com flatpak ou scripts de github. Nesse último caso, eu analiso para ver exatamente o que o script faz no sistema.
Com esses últimos ataques a grandes players do mercado - inclusive no github - é o ideal a se fazer, penso eu.

Ainda sobre pacotes oficiais, a única exceção é o vscode, o qual instalo pelo gerenciador de pacotes, já que a versão flatpak do vscode não funciona adequadamente.



8. Re: Snap é mais confiável que ppa? [RESOLVIDO]

Clodoaldo Santos
clodoaldops

(usa Linux Mint)

Enviado em 08/05/2022 - 21:02h

Eu não uso snap no Ubuntu... Tanto que já removi o Firefox e o Ubuntu software do 22.04



9. Re: Snap é mais confiável que ppa? [RESOLVIDO]

LinuxWalker
Delusion

(usa Debian)

Enviado em 09/05/2022 - 12:43h

segurança, acho que não tem pior que ppa.
o ruim desses softwares snap, flatpak, appimage, é que são muito inferiores aos nativos dos repos, pelo menos no debian.
Precisei de editores de video e audio, mas fecham sozinhos, do nada. Perde todo o trabalho...
A solução foi usar uma versão antiga, porém nativa da distro.


10. Re: Snap é mais confiável que ppa? [RESOLVIDO]

Samuel Leonardo
SamL

(usa XUbuntu)

Enviado em 09/05/2022 - 16:30h


Delusion escreveu:

segurança, acho que não tem pior que ppa.
o ruim desses softwares snap, flatpak, appimage, é que são muito inferiores aos nativos dos repos, pelo menos no debian.
Precisei de editores de video e audio, mas fecham sozinhos, do nada. Perde todo o trabalho...
A solução foi usar uma versão antiga, porém nativa da distro.

Se for software opensource, talvez a alternativa pra tu seja compilar os programas no teu sistema. Alguns sistemas de compilação tem a capacidade de gerar um arquivo .deb, já outros dá pra definir instalar noutro local que não apenas o /usr/local ou /usr


11. Re: Snap é mais confiável que ppa? [RESOLVIDO]

LinuxWalker
Delusion

(usa Debian)

Enviado em 14/05/2022 - 20:54h


SamL escreveu:
Se for software opensource, talvez a alternativa pra tu seja compilar os programas no teu sistema.


pacotes compilados são atualizados normalmente pelo gerenciador de pacotes? ou mantém sua versão quando atualizo os outros...




12. Re: Snap é mais confiável que ppa? [RESOLVIDO]

Samuel Leonardo
SamL

(usa XUbuntu)

Enviado em 14/05/2022 - 21:35h


Delusion escreveu:


SamL escreveu:
Se for software opensource, talvez a alternativa pra tu seja compilar os programas no teu sistema.


pacotes compilados são atualizados normalmente pelo gerenciador de pacotes? ou mantém sua versão quando atualizo os outros...

Pior que não. Quando tu instala um software compilado no teu pc, é altamente recomendável NÃO ter ele instalado pelo apt, ou então, o apt vai lá e sobrescreve ele com uma versão antiga, por exemplo, mas essa versão é apenas nova no repositório do apt. É um dos maiores problemas no mundo linux. Se tu compilar uma lib com versão 2.x e no apt tiver ela já instalada com versão 1.x, então, num apt upgrade, essa lib 2.x irá ser sobrescita por uma versão própria do apt, já que a 2.x veio mais recente e nos repos do apt é provável que as versões seja mais antigas, ou ,melhor, o apt não tem como saber que versão foi instala pelo source, já que não há uma padronização nesse sentido.
Acho que isso é difícil de acontecer numa distro com rolling release, já que lá é de fato a última versão usada pra compilar e mandada pros sistemas cliente. O problema acima, eu me refiro a distros com versões LTS, tipo o Ubuntu e até o Debian stable.



01 02