Was mir noch nicht ganz klar ist wie sie Sicherheitsupdates bei oft verwendeten Libs bewerkstelligen wie z.B. OpenSSL oder glibc.
Wenn ich mir mal überlege wie viele Programme gegen libssl oder glibc gelinkt sind, dann gibt es nur zwei Möglichkeiten.
Entweder bauen sie einen Mechanismus ein der es erlaubt mit einem Paket bei allen anderen Paketen die Lib zu setzen oder sie machen hunderte Einzelupdates. Letzteres ist sowohl kaum wünschenswert wenn für dutzende Pakete auf einmal ein Sicherheitsupdate runtergeladen werden muss.
Ich denke es wird passieren was immer passiert bei Ubuntu, nach der ankündigung wird eingesehen, dass es nicht funktioniert. So langsam ist das ja dort zum Running-Gag geworden
Ich muss sagen, ich bin da etwas zwiegespalten. Das Konzept klingt, als könnte es für bestimmte Einsatzzwecke tatsächlich Vorteile bringen. Kommt dann auf die konkrete Umsetzung an. Andererseits hat das "klassische" Paketsystem unter Linux natürlich unbestreitbar viele Vorteile, die man dadurch verliert.
Letztlich ist es aber legitim und in Ordnung, wenn Ubuntu auch mal eine neue Technik probiert. Die Abstimmung findet mit den Füßen statt. (Ich bin übrigens schon vor 2 Jahren weg von der Ubuntu-Basis, weil mir ihre Parallelentwicklungen Unity und Mir nicht gefallen, ich möchte lieber näher am Upstream bleiben und keine "Ubuntu-only"-Lösungen verwenden)
Von -.,.-,-.,-,.-,-, am Mi, 6. Mai 2015 um 21:12 #
"Die" werden die Großzahl an solchen Paketen einfach ungepatcht lassen, indem sie den Anwendern einfach sagen, sie sollen die neueste Version selbst installieren. Snappy wird so "funktionieren". Auch wenn es nicht wirklich funktionieren sollte, wird Ubuntu das nicht wirklich interessieren. Canonical werden diese alten Pakete genauso interessieren wie sich Microsoft z.B. für alte Corel Draw- oder Magix-Installationen unter Windows interessiert.
Es gibt übrigens Software-Beispiele aus der Linuxgeschichte, die zeigen, dass man auch die vorhandenen Möglichkeiten der Standard-Paketsysteme nutzen kann, wenn es nur darum geht, aktualisierte Softwareversionen bereitzustellen, die mit dem alten OS-Core z.B. einer LTS-Distribution nicht mehr laufen.
Und zwar handelt es sich hier um die statisch gepackten Pakete. Opera hatte diese Strategie angewandt, um u.a. Opera 9-Versionen auf uralten Linuxdistributionen am Laufen zu halten. Das Update war hierbei recht einfach: Man aktualisierte das ganze Paket, sobald eine neue Version herauskam.
Die Static-Version brachte die zum Betrieb notwendige Qt3-Lib mit, die Shared-Version benutzte diejenige des jeweiligen Linux-OS.
Nun frage ich mich, für was man eigentlich nun das "neue" Snappy benötigt. Die Static-Pakete besitzen IMO annähernd dieselben Vor- und Nachteile wie die Snappy-Pakete.
Ja irgendwie ist es nicht ganz einfach genaue infos ueber snappy heraus zu finden. Z.b. ob es doch externe packet Abhaengigkeiten gibt. Dies waere sehr sinvoll fuer generelle libs wie openssl! Anderseits vermisse ich an dem Debian system das ich eben nicht mal ein externes packet local in einer sandbox als normaler user installieren kann. Ich wuerde mir auch wuenschen das ich app Rechte einschraenken kann also nicht wie bei Android gezwungen werde alle Rechte zu akzeptieren. Keine Ahnung ob snappy das kann aber ich bin froh das eine groessere distro mal in diese Richtung geht.
Vielleicht wirds dann eine Art von "Core-Libs 1.0" geben, da wäre dann SSL sicher mit dabei, .. die verlässlich dabei sind... für den Rest muss man selber sorgen
Wenn jedes Paket seine eigenen Libraries mitbringt, dann geht ja ein großer Vorteil der Paketverwaltung verloren und man auch gleich Windows nehmen mit seinem Wust an eigenen und fremden DLLs ...
Es soll nicht jedes Paket seine eigenen Bibliothek mit sich bringen. Nur solche, welche nicht zum Grundsystem gehören bzw. von diesem bereitgestellt werden können. Also auch nicht anders als heute schon üblich.
sehr gut das endlich ein package manager apps in einer sandbox ausfuehren kann! z.b. lass ich skype oder steam ungern direkt auf meinem system laufen. Hoffentlich enfaellt damit auch das man zum installieren root sein muss!
Ich wollte einmal ein reales Beispiel zum Besten geben, um einfach auch einmal auf die Nöte hinzuweisen, die aktuelle Debian-Distributionen im Hinblick auf die Installation neuer Softwareversionen haben.
Mein Beispiel ist Abiword.
In Squeeze war Abiword 2.8.6 enthalten, eine stabile Version, die zwar einige Bugs aufwies, mit der man aber recht gut arbeiten konnte.
Wheezy kam nun mit dem Development Release 2.9.2, zu anfangs zumindest handelte es sich dabei um eine IMO vollkommen defekte Testversion. Der Debian-Maintainer hat allerdings zumindest in der Folgezeit von etwa einem jahr versucht, wichtigste Patches backzuporten, was die Brauchbarkeit verbesserte. Mit einer stabilen, problemlos nutzbaren Version hat das aber nur wenig zu tun.
Jessie kommt nun mit Abiword 3.0, vor kurzem wurde Abiword 3.0.1 veröffentlicht.
Ich glaube, dass zumindest in Wheezy der Wunsch nachvollziehbar ist, Abiword 2.9.2 entweder auf Abiword 2.8.6 downzugraden oder auf Version 3.0.1 upzugraden.
Gelingt denn nun ein solches Vorhaben problemlos, gerade angesichts der zahlreichen Abhängigkeiten, die Abiword so mitbringt? Leider eher nicht.
Die Abiword-Entwickler geben letztlich folgende installationsmethode für Ihre Sourcen an: configure, make, make install
Das klappt so allerdings nur mit Abiword 2.9.4 (wobei man nicht vergessen darf, ein ldconfig hinterherzuschieben und vielleicht noch ein checkinstall, um ein wieder deinstallierbares Deb-Paket zu erhalten). Die gleichen Installationsversuche schlugen wegen kryptischer Fehlermeldungen im Rahmen des make-Prozesses für Abiword 2.8.6 und 3.0.1 fehl.
Wenn ich nun - in meiner Eigenschaft als Linux-Nutzer und Linux-Laie - die Möglichkeit gehabt hätte, ein stabiles und weitgehend bugfrei benutzbares Abiword 2.8.6 oder 3.0.1 mit Hilfe eines eher statisch gelinkten, freien "Snappy"-Pakets nachinstallieren zu können, dann hätte ich diese Möglichkeit gerne ergriffen.
Und, so möchte ich anfügen, Tausende von Benutzern von Abiword 2.9.2 in Xubuntu-Versionen wie z.B. 12.04 genauso. Die Abiword 2.9.x-Phase führte mittlerweile übrigens dazu, dass Xubuntu standardmäßig ab Version 15.10 nicht mehr Abiword, sondern Libre Office anbieten wird.
Die "Verzweiflung" mit Abiword 2.9.2 war dabei mittlerweile so groß geworden, dass man den Nutzern oftmals den Tipp gab, Abiword 2.8.6 mit Hilfe von Wine über die Windows-exe nachzuinstallieren. Das klappt zwar, nur installiert die Abiword-2.8.6-exe eine unfreie Micorosoft-VB6-Runtime mit, die den freien Softwaregedanken dann gewissermaßen unbeabsichtigt von hinten "erdolcht".
Ich persönlich bin deshalb der Meinung, dass solche Erfahrungen wie diejenige mit Abiword 2.9.2 der Grund dafür sind, Snappy-Pakete überhaupt einführen zu wollen. Und ich kann nur sagen: Volle Zustimung und auf geht's, Ubuntu!
Von .-,-.,.-,-.,-.,-., am Mo, 18. Mai 2015 um 23:24 #
Ja, Debian ist zuweilen geradezu "furchtbar" stable. Und manchmal ist es so stable, dass es irgendwelche Development-Versionen einer Software gleich mitfreezt.
Nur hätte Xubuntu genau dass ja nicht unbedingt nachmachen müssen.
Die Gründe für das Vorgehen des Debian-Abiword-Maintainers sind hier hinterlegt: https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=677402#10
Was mir noch nicht ganz klar ist wie sie Sicherheitsupdates bei oft verwendeten Libs bewerkstelligen wie z.B. OpenSSL oder glibc.
Wenn ich mir mal überlege wie viele Programme gegen libssl oder glibc gelinkt sind, dann gibt es nur zwei Möglichkeiten.
Entweder bauen sie einen Mechanismus ein der es erlaubt mit einem Paket bei allen anderen Paketen die Lib zu setzen oder sie machen hunderte Einzelupdates. Letzteres ist sowohl kaum wünschenswert wenn für dutzende Pakete auf einmal ein Sicherheitsupdate runtergeladen werden muss.
Ich denke es wird passieren was immer passiert bei Ubuntu, nach der ankündigung wird eingesehen, dass es nicht funktioniert. So langsam ist das ja dort zum Running-Gag geworden
Könnte passieren.
Ich muss sagen, ich bin da etwas zwiegespalten.
Das Konzept klingt, als könnte es für bestimmte Einsatzzwecke tatsächlich Vorteile bringen. Kommt dann auf die konkrete Umsetzung an.
Andererseits hat das "klassische" Paketsystem unter Linux natürlich unbestreitbar viele Vorteile, die man dadurch verliert.
Letztlich ist es aber legitim und in Ordnung, wenn Ubuntu auch mal eine neue Technik probiert. Die Abstimmung findet mit den Füßen statt.
(Ich bin übrigens schon vor 2 Jahren weg von der Ubuntu-Basis, weil mir ihre Parallelentwicklungen Unity und Mir nicht gefallen, ich möchte lieber näher am Upstream bleiben und keine "Ubuntu-only"-Lösungen verwenden)
"Die" werden die Großzahl an solchen Paketen einfach ungepatcht lassen, indem sie den Anwendern einfach sagen, sie sollen die neueste Version selbst installieren. Snappy wird so "funktionieren". Auch wenn es nicht wirklich funktionieren sollte, wird Ubuntu das nicht wirklich interessieren. Canonical werden diese alten Pakete genauso interessieren wie sich Microsoft z.B. für alte Corel Draw- oder Magix-Installationen unter Windows interessiert.
Es gibt übrigens Software-Beispiele aus der Linuxgeschichte, die zeigen, dass man auch die vorhandenen Möglichkeiten der Standard-Paketsysteme nutzen kann, wenn es nur darum geht, aktualisierte Softwareversionen bereitzustellen, die mit dem alten OS-Core z.B. einer LTS-Distribution nicht mehr laufen.
Und zwar handelt es sich hier um die statisch gepackten Pakete. Opera hatte diese Strategie angewandt, um u.a. Opera 9-Versionen auf uralten Linuxdistributionen am Laufen zu halten. Das Update war hierbei recht einfach: Man aktualisierte das ganze Paket, sobald eine neue Version herauskam.
Siehe u.a. hier:
http://arc.opera.com/pub/opera/linux/964/final/en/i386/
Die Static-Version brachte die zum Betrieb notwendige Qt3-Lib mit, die Shared-Version benutzte diejenige des jeweiligen Linux-OS.
Nun frage ich mich, für was man eigentlich nun das "neue" Snappy benötigt. Die Static-Pakete besitzen IMO annähernd dieselben Vor- und Nachteile wie die Snappy-Pakete.
Ja irgendwie ist es nicht ganz einfach genaue infos ueber snappy heraus zu finden. Z.b. ob es doch externe packet Abhaengigkeiten gibt. Dies waere sehr sinvoll fuer generelle libs wie openssl! Anderseits vermisse ich an dem Debian system das ich eben nicht mal ein externes packet local in einer sandbox als normaler user installieren kann. Ich wuerde mir auch wuenschen das ich app Rechte einschraenken kann also nicht wie bei Android gezwungen werde alle Rechte zu akzeptieren. Keine Ahnung ob snappy das kann aber ich bin froh das eine groessere distro mal in diese Richtung geht.
Vielleicht wirds dann eine Art von "Core-Libs 1.0" geben, da wäre dann SSL sicher mit dabei, .. die verlässlich dabei sind... für den Rest muss man selber sorgen
Wenn jedes Paket seine eigenen Libraries mitbringt, dann geht ja ein großer Vorteil der Paketverwaltung verloren und man auch gleich Windows nehmen mit seinem Wust an eigenen und fremden DLLs ...
Das ist für die Ubuntu Zielgruppe bestimmt vernachlässigbar.
0n3-cl1ck-1n574ll, br0!!111
Es soll nicht jedes Paket seine eigenen Bibliothek mit sich bringen. Nur solche, welche nicht zum Grundsystem gehören bzw. von diesem bereitgestellt werden können. Also auch nicht anders als heute schon üblich.
... musste sofort daran denken, als ich den Titel las
http://www.linux-magazin.de/NEWS/Microsoft-feiert-Debian-8
Vielleicht hängt es damit zusammen? Wer will schon von Microsoft ne Laus im Pelz!
Hä?!
sehr gut das endlich ein package manager apps in einer sandbox ausfuehren kann! z.b. lass ich skype oder steam ungern direkt auf meinem system laufen. Hoffentlich enfaellt damit auch das man zum installieren root sein muss!
Ich wollte einmal ein reales Beispiel zum Besten geben, um einfach auch einmal auf die Nöte hinzuweisen, die aktuelle Debian-Distributionen im Hinblick auf die Installation neuer Softwareversionen haben.
Mein Beispiel ist Abiword.
In Squeeze war Abiword 2.8.6 enthalten, eine stabile Version, die zwar einige Bugs aufwies, mit der man aber recht gut arbeiten konnte.
Wheezy kam nun mit dem Development Release 2.9.2, zu anfangs zumindest handelte es sich dabei um eine IMO vollkommen defekte Testversion. Der Debian-Maintainer hat allerdings zumindest in der Folgezeit von etwa einem jahr versucht, wichtigste Patches backzuporten, was die Brauchbarkeit verbesserte. Mit einer stabilen, problemlos nutzbaren Version hat das aber nur wenig zu tun.
Jessie kommt nun mit Abiword 3.0, vor kurzem wurde Abiword 3.0.1 veröffentlicht.
Ich glaube, dass zumindest in Wheezy der Wunsch nachvollziehbar ist, Abiword 2.9.2 entweder auf Abiword 2.8.6 downzugraden oder auf Version 3.0.1 upzugraden.
Gelingt denn nun ein solches Vorhaben problemlos, gerade angesichts der zahlreichen Abhängigkeiten, die Abiword so mitbringt? Leider eher nicht.
Die Abiword-Entwickler geben letztlich folgende installationsmethode für Ihre Sourcen an:
configure, make, make install
Das klappt so allerdings nur mit Abiword 2.9.4 (wobei man nicht vergessen darf, ein ldconfig hinterherzuschieben und vielleicht noch ein checkinstall, um ein wieder deinstallierbares Deb-Paket zu erhalten). Die gleichen Installationsversuche schlugen wegen kryptischer Fehlermeldungen im Rahmen des make-Prozesses für Abiword 2.8.6 und 3.0.1 fehl.
Wenn ich nun - in meiner Eigenschaft als Linux-Nutzer und Linux-Laie - die Möglichkeit gehabt hätte, ein stabiles und weitgehend bugfrei benutzbares Abiword 2.8.6 oder 3.0.1 mit Hilfe eines eher statisch gelinkten, freien "Snappy"-Pakets nachinstallieren zu können, dann hätte ich diese Möglichkeit gerne ergriffen.
Und, so möchte ich anfügen, Tausende von Benutzern von Abiword 2.9.2 in Xubuntu-Versionen wie z.B. 12.04 genauso. Die Abiword 2.9.x-Phase führte mittlerweile übrigens dazu, dass Xubuntu standardmäßig ab Version 15.10 nicht mehr Abiword, sondern Libre Office anbieten wird.
Die "Verzweiflung" mit Abiword 2.9.2 war dabei mittlerweile so groß geworden, dass man den Nutzern oftmals den Tipp gab, Abiword 2.8.6 mit Hilfe von Wine über die Windows-exe nachzuinstallieren. Das klappt zwar, nur installiert die Abiword-2.8.6-exe eine unfreie Micorosoft-VB6-Runtime mit, die den freien Softwaregedanken dann gewissermaßen unbeabsichtigt von hinten "erdolcht".
Ich persönlich bin deshalb der Meinung, dass solche Erfahrungen wie diejenige mit Abiword 2.9.2 der Grund dafür sind, Snappy-Pakete überhaupt einführen zu wollen. Und ich kann nur sagen: Volle Zustimung und auf geht's, Ubuntu!
Ja, Debian ist zuweilen geradezu "furchtbar" stable. Und manchmal ist es so stable, dass es irgendwelche Development-Versionen einer Software gleich mitfreezt.
Nur hätte Xubuntu genau dass ja nicht unbedingt nachmachen müssen.
Die Gründe für das Vorgehen des Debian-Abiword-Maintainers sind hier hinterlegt:
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=677402#10