Michaelas Catanzaro, vienas iš „Epiphany“ (GNOME žiniatinklio) žiniatinklio naršyklės kūrėjų ir GNOME bei Fedora projektų bendradarbis, pasiūlė persvarstyti „FlatHub“ katalogo naudojimą Fedoroje. LinuxAtomiškai atnaujintoje „Fedora Workstation“ versijoje siūloma pagal numatytuosius nustatymus naudoti „FlatHub“ katalogą vartotojų įdiegtiems „flatpak“ paketams ir apriboti gimtąją „flatpak“ paketų saugyklą, kad ji būtų naudojama tik iš anksto įdiegtiems paketams.
Šiuo metu „Fedora“ pagal numatytuosius nustatymus siūlo savo „flatpak“ saugyklą, kurios turinys formuojamas remiantis rpm paketų atkūrimu. Pagal numatytuosius nustatymus paketų atsisiuntimą iš „FlatHub“ galima įjungti tik po įdiegimo, GNOME programų tvarkytuvėje aktyvavus parinktį „Įjungti trečiųjų šalių saugyklas“, tačiau net ir tokiu atveju paketai iš „Fedora“ saugyklos turi didesnį prioritetą.
Michaelas mano, kad dauguma vartotojų norėtų diegti paketus iš „FlatHub“ katalogo, kuriuos kuria pagrindiniai programų kūrėjai, o ne „Fedora“ palaikytojai (80 % diskusijos dalyvių pasisakė už „FlatHub“ naudojimą). Daroma prielaida, kad programų kūrėjai geriau išmano savo projektų niuansus ir kuria geriau veikiančius „flatpak“ paketus, kuriuos geriau išbandė bendruomenė. Tuo pačiu metu „rpm“ paketų palaikytojai „Fedora“ sistemoje nerodo susidomėjimo „flatpak“ paketų variantų palaikymu ir nekreipia deramo dėmesio į tokių paketų klaidų pranešimus, todėl „Fedora“ „flatpak“ paketų kokybė yra žemesnė nei pagrindinių projektų „FlatHub“ paketų.
Daugelis vartotojų nežino, kad diegiant „flatpak“ paketą per „Fedora Application Manager“, jis diegiamas ne iš „FlatHub“, kaip kituose platinimuose, o iš „Fedora“ saugyklos, kurioje yra kitokie paketai nei „FlatHub“. Dėl šios priežasties problemos, susijusios su paketais iš „Fedora“ saugyklos, yra suvokiamos kaip problemos oficialiuose „FlatHub“ paketuose, o skundai adresuojami pagrindiniams kūrėjams, o ne „Fedora“ palaikytojams. Pavyzdžiui, probleminio „OBS Studio flatpak“ paketo pristatymas „Fedora“, kuris buvo svarbesnis nei „FlatHub“ paketas, vasario mėnesį sukėlė konfliktą su „OBS Studio“ projektu.
Pažymima, kad „Fedora Workstation“ ateitis matoma kaip atomiškai atnaujinamas platinimas, todėl geriau neatidėlioti perėjimo prie „FlatHub“ klausimo. Nuosavybės teise paremtos „Flatpak“ saugyklos naudojimas yra susijęs su poreikiu kurti paketus patikimoje aplinkoje. „FlatHub“ paketų kūrimas, net jei atsižvelgtume tik į patikrintus paketus, už kurių publikavimą atsakingi pagrindiniai projektai, atliekamas išorinėse infrastruktūrose, kurių saugumas gali būti abejotinas.
Savo saugyklos tvarkymo „Fedora“ sistemoje privalumai apima garantijas, kad paketas sukurtas iš deklaruoto šaltinio kodo ir jame yra tik komponentai pagal atviras licencijas, patvirtintas naudoti „Fedora“. „Fedora“ saugyklos paketuose taip pat gali būti pataisų, kurios prieinamos tik RPM paketams „Fedora“ sistemoje ir dar nebuvo priimtos į pagrindinę projekto kodo bazę.
Michaelo pasiūlymas iš esmės reiškia, kad „Fedora Workstation“ atominėje versijoje būtų galima įdiegti paketus iš „FlatHub“, kurie pagal numatytuosius nustatymus yra „nemokamos programinės įrangos“ kategorijoje. Galimybė įdiegti iš „FlatHub“ paveiks tik tuos paketus, kuriuos vartotojai įdiegs per GNOME programinės įrangos tvarkyklę. Visi „flatpak“ paketai, kurie pagal numatytuosius nustatymus yra iš anksto įdiegti, bus ir toliau atsisiunčiami iš pačios „Fedora“ saugyklos, tačiau paketams, kurie pagal numatytuosius nustatymus nenaudojami, kaip atsisiuntimo šaltinį siūloma naudoti „FlatHub“.
Prieš migruojant į „FlatHub“, siūloma bendrai įdiegti „FlatHub“ galimybę kurti paketus patikimoje infrastruktūroje ir naudoti patikrinimus, pagrįstus atkuriamomis versijomis. Be to, reikėtų išspręsti pasenusių „Flatpak Runtime“ versijų naudojimo paketuose problemą, kurių pažeidžiamumų taisymai jau nebetaikomi. Šiuo metu 994 iš 3438 (beveik trečdalis) patikrintų „FlatHub“ paketų naudoja pasenusias „Runtime“. Saugumo problemos taip pat kyla dėl pasenusių vidinių priklausomybių, įtrauktų į paketus, ir nepakankamų smėlio dėžės apsaugos priemonių (kai kuriuose paketuose išjungti saugos režimai).
Be Michaelo, panašų pasiūlymą pateikė ir Timothée Ravier: „Fedora 43“ ir toliau teiktų iš anksto įdiegtus „flatpak“ paketus iš „Fedora“ saugyklos, tačiau pridėtų filtrą, kuris leistų įdiegti pasirinktas, patikrintas programas iš „FlatHub“. Šio siūlomo sprendimo privalumai yra sumažinti painiavą pagrindinių projektų vartotojams ir kūrėjams (kūrėjai turi išsiaiškinti klaidų pranešimus, susijusius su „Fedora Flatpak“, kurie siunčiami prisidengiant tuo, kad yra oficialiame „flatpak“). Šis pakeitimas taip pat sumažintų priežiūros specialistų darbo krūvį, leisdamas jiems sutelkti dėmesį į taisymų diegimą pagrindiniuose projektuose ir numatytųjų „flatpak“ testavimą.
Šaltinis: opennet.ru
