Ja, es gibt bei Flatpak und Snap zentrale Repositorys. Es besteht nur das Problem, dass diese Pakete selten von den Entwicklern selbst betreut werden.
Das gilt, ohne Ausnahme, für alle Distributionen. In der Regel werden die Anwendungen von Betreuern der Distribution und nicht direkt von den Entwicklern gepflegt. Einige Snaps werden dagegen direkt von den Entwicklern gepflegt (IntelliJ, Spotify, kdenlive, VLC & Slack, wenn ich die Store-Startseite besuche).
Dadurch hängen die Anwendungen oft deutlich hinter dem Upstream hinterher.
Welche Anwendungen hängen oft deutlich hinterher? Man kann mit Sicherheit noch so einiges verbessern und es gibt bestimmt Anwendungen, die schlechter gepflegt werden, aber bei meinen installierten Flatpaks erhalte ich häufig Aktualisierungen und bin in der Regel auf der neusten Version.
Erkennen kann ich das i.d.R. auch nicht auf den ersten Blick.
Das stimmt und trifft auf jeden Verteilungsweg zu (Archiv, Paketmanager, AppImage, etc.). Wenn etwas nicht aktualisiert wird, dann sieht man es meistens auch nicht. Und?
Dann lieber AppImage die vom Upstream direkt auf der Entwicklerplattform bereitgestellt werden.
Weil du unbedingt Updates erhalten möchtest, setzt du auf das Format, dass in der Hinsicht am schlechtesten aufgestellt ist? Wenn das AppImage-Verzeichnis stimmt (https://appimage.github.io/apps/), dann sind ein Großteil der AppImages nicht AutoUpdate-fähig (ob die AppImages überhaupt aktuell gehalten werden erkennt man natürlich auch nicht).
Bei den Distris hat der Paketbetreuer die Aufgabe Sicherheitslücken zu fixen (CVE-Lücken werden kenntlich gemacht) und Updates einzuspielen. Sofern er dieser Aufgabe nicht nachkommt wird er ggf. ausgetauscht.
Bei Snap, Flatpak, AppImage kann jeder beliebige ein Paket einstellen. Ob das dann weiter gepflegt wird interessiert dann erst mal nicht. Eigentlich sollte das aber m.E. der Sinn der neuen Paketformate sein, dass Upstream direkt die Pakete pflegt und verteilt (ein paar Pakete bei denen es gut läuft hast du ja schon genannt). Das ist aber auf den ersten Blick nicht immer erkennbar und danach filtern kannst du auch nicht.
Hab jetzt nur mal ein schnelles Beispiel rausgesucht:
https://flathub.org/apps/details/org.munadi.Munadi Version 17.02 vom 01.02.2017
https://gitlab.com/munadi/munadi/-/releases Version 19.04 vom 06.04.2019 (das ganz aktuelle habe ich mal rausgelassen weil noch zu frisch).
Die aktuellen Hub’s (auch AppImage) sind einfach schlecht. Daher besser direkt auf die Entwicklerplattform schauen (i.d.R. GitHub oder GitLab).
Bei den Distris hat der Paketbetreuer die Aufgabe Sicherheitslücken zu fixen (CVE-Lücken werden kenntlich gemacht) und Updates einzuspielen. Sofern er dieser Aufgabe nicht nachkommt wird er ggf. ausgetauscht.
Bei Snap, Flatpak, AppImage kann jeder beliebige ein Paket einstellen. Ob das dann weiter gepflegt wird interessiert dann erst mal nicht. Eigentlich sollte das aber m.E. der Sinn der neuen Paketformate sein, dass Upstream direkt die Pakete pflegt und verteilt (ein paar Pakete bei denen es gut läuft hast du ja schon genannt). Das ist aber auf den ersten Blick nicht immer erkennbar und danach filtern kannst du auch nicht..
Flathub hat ebenfalls Maintainer, welche sich um die Updates kümmern sollen. Der Prozess bei Flathub kann mit Sicherheit noch verbessert werden, aber es ist auch kein Projekt, dass schon seit Jahrzehnten existiert. Eine bessere Sichtbarkeit von offiziellen Flatpaks kannst man ja vorschlagen, bei Snap gibt es das ja auch (https://github.com/flathub/flathub/issues).
Hab jetzt nur mal ein schnelles Beispiel rausgesucht:
https://flathub.org/apps/details/org.munadi.Munadi Version 17.02 vom 01.02.2017
https://gitlab.com/munadi/munadi/-/releases Version 19.04 vom 06.04.2019 (das ganz aktuelle habe ich mal rausgelassen weil noch zu frisch).
Die AppStream-Metadaten sind falsch und deshalb wird eine alte Version angezeigt. Die Anwendung wird vermutlich sogar vom Entwickler gepflegt (der Entwickler nutzt eine @hak.pw E-Mail Adresse und der GitHub Maintainer heißt hakpw), wobei es dennoch eine Verzögerung gibt: https://github.com/flathub/org.munadi.Munadi/commits/master
Die aktuellen Hub’s (auch AppImage) sind einfach schlecht. Daher besser direkt auf die Entwicklerplattform schauen (i.d.R. GitHub oder GitLab).
Eben, und dies ist ein "security nightmare". Irgendwo, irgendwelche Dateien herunterladen und hoffen, dass die Quelle vertrauenswürdig ist, keine Informationen zu Updates erhalten (es sei denn, jede Anwendung liefert einen eigenen Updater mit…). Es gibt zwar die Funktionen bei AppImage (z.B. Validating the signature), aber Windows hat schon Eindrucksvoll bewiesen: Für den Otto-Normalbenutzer ist dies auch schon viel zu kompliziert.
Wir reden hier ja nicht von irgendwelchen Dateien von irgendwo, sondern direkt beim Entwickler. Wenn wir bei Windows angekommen sind, wo Apps dann auf Seiten wie chip.de oder noch schlimmer russland-warez-woauchimmer.net gezogen werden, dann sehe ich auch das absolute "security nightmare".
Das mit den Updates ist auch kein großes Problem. Einfach auf der Plattform anmelden und man bekommt automatisch Informationen über aktuelle Releases. Aber stimmt schon, für Otto-Normalbenutzer zu kompliziert.
Daher sehe ich die Apps generell lieber weiterhin in den offiziellen Paketquellen der Distributionen und nur als Ergänzung dann die neuen Paketquellen. Und hier hoffe ich auf einen gemeinsamen Standard und dann noch mehr Beteiligung vom Upstream.
Mal beobachten wie sich das ganze entwickelt. Man darf gespannt sein...
Bei den Distris hat der Paketbetreuer die Aufgabe Sicherheitslücken zu fixen (CVE-Lücken werden kenntlich gemacht) und Updates einzuspielen. Sofern er dieser Aufgabe nicht nachkommt wird er ggf. ausgetauscht.
Bei Snap, Flatpak, AppImage kann jeder beliebige ein Paket einstellen. Ob das dann weiter gepflegt wird interessiert dann erst mal nicht. Eigentlich sollte das aber m.E. der Sinn der neuen Paketformate sein, dass Upstream direkt die Pakete pflegt und verteilt (ein paar Pakete bei denen es gut läuft hast du ja schon genannt). Das ist aber auf den ersten Blick nicht immer erkennbar und danach filtern kannst du auch nicht.
Hab jetzt nur mal ein schnelles Beispiel rausgesucht:
https://flathub.org/apps/details/org.munadi.Munadi
Version 17.02 vom 01.02.2017
https://gitlab.com/munadi/munadi/-/releases
Version 19.04 vom 06.04.2019 (das ganz aktuelle habe ich mal rausgelassen weil noch zu frisch).
Die aktuellen Hub’s (auch AppImage) sind einfach schlecht. Daher besser direkt auf die Entwicklerplattform schauen (i.d.R. GitHub oder GitLab).
Flathub hat ebenfalls Maintainer, welche sich um die Updates kümmern sollen. Der Prozess bei Flathub kann mit Sicherheit noch verbessert werden, aber es ist auch kein Projekt, dass schon seit Jahrzehnten existiert. Eine bessere Sichtbarkeit von offiziellen Flatpaks kannst man ja vorschlagen, bei Snap gibt es das ja auch (https://github.com/flathub/flathub/issues).
Die AppStream-Metadaten sind falsch und deshalb wird eine alte Version angezeigt. Die Anwendung wird vermutlich sogar vom Entwickler gepflegt (der Entwickler nutzt eine @hak.pw E-Mail Adresse und der GitHub Maintainer heißt hakpw), wobei es dennoch eine Verzögerung gibt: https://github.com/flathub/org.munadi.Munadi/commits/master
Eben, und dies ist ein "security nightmare". Irgendwo, irgendwelche Dateien herunterladen und hoffen, dass die Quelle vertrauenswürdig ist, keine Informationen zu Updates erhalten (es sei denn, jede Anwendung liefert einen eigenen Updater mit…). Es gibt zwar die Funktionen bei AppImage (z.B. Validating the signature), aber Windows hat schon Eindrucksvoll bewiesen: Für den Otto-Normalbenutzer ist dies auch schon viel zu kompliziert.Wir reden hier ja nicht von irgendwelchen Dateien von irgendwo, sondern direkt beim Entwickler. Wenn wir bei Windows angekommen sind, wo Apps dann auf Seiten wie chip.de oder noch schlimmer russland-warez-woauchimmer.net gezogen werden, dann sehe ich auch das absolute "security nightmare".
Das mit den Updates ist auch kein großes Problem. Einfach auf der Plattform anmelden und man bekommt automatisch Informationen über aktuelle Releases. Aber stimmt schon, für Otto-Normalbenutzer zu kompliziert.
Daher sehe ich die Apps generell lieber weiterhin in den offiziellen Paketquellen der Distributionen und nur als Ergänzung dann die neuen Paketquellen. Und hier hoffe ich auf einen gemeinsamen Standard und dann noch mehr Beteiligung vom Upstream.
Mal beobachten wie sich das ganze entwickelt. Man darf gespannt sein...