Bei den Distris hat der Paketbetreuer die Aufgabe Sicherheitslücken zu fixen (CVE-Lücken werden kenntlich gemacht) und Updates einzuspielen. Sofern er dieser Aufgabe nicht nachkommt wird er ggf. ausgetauscht.
Bei Snap, Flatpak, AppImage kann jeder beliebige ein Paket einstellen. Ob das dann weiter gepflegt wird interessiert dann erst mal nicht. Eigentlich sollte das aber m.E. der Sinn der neuen Paketformate sein, dass Upstream direkt die Pakete pflegt und verteilt (ein paar Pakete bei denen es gut läuft hast du ja schon genannt). Das ist aber auf den ersten Blick nicht immer erkennbar und danach filtern kannst du auch nicht..
Flathub hat ebenfalls Maintainer, welche sich um die Updates kümmern sollen. Der Prozess bei Flathub kann mit Sicherheit noch verbessert werden, aber es ist auch kein Projekt, dass schon seit Jahrzehnten existiert. Eine bessere Sichtbarkeit von offiziellen Flatpaks kannst man ja vorschlagen, bei Snap gibt es das ja auch (https://github.com/flathub/flathub/issues).
Hab jetzt nur mal ein schnelles Beispiel rausgesucht:
https://flathub.org/apps/details/org.munadi.Munadi Version 17.02 vom 01.02.2017
https://gitlab.com/munadi/munadi/-/releases Version 19.04 vom 06.04.2019 (das ganz aktuelle habe ich mal rausgelassen weil noch zu frisch).
Die AppStream-Metadaten sind falsch und deshalb wird eine alte Version angezeigt. Die Anwendung wird vermutlich sogar vom Entwickler gepflegt (der Entwickler nutzt eine @hak.pw E-Mail Adresse und der GitHub Maintainer heißt hakpw), wobei es dennoch eine Verzögerung gibt: https://github.com/flathub/org.munadi.Munadi/commits/master
Die aktuellen Hub’s (auch AppImage) sind einfach schlecht. Daher besser direkt auf die Entwicklerplattform schauen (i.d.R. GitHub oder GitLab).
Eben, und dies ist ein "security nightmare". Irgendwo, irgendwelche Dateien herunterladen und hoffen, dass die Quelle vertrauenswürdig ist, keine Informationen zu Updates erhalten (es sei denn, jede Anwendung liefert einen eigenen Updater mit…). Es gibt zwar die Funktionen bei AppImage (z.B. Validating the signature), aber Windows hat schon Eindrucksvoll bewiesen: Für den Otto-Normalbenutzer ist dies auch schon viel zu kompliziert.
Wir reden hier ja nicht von irgendwelchen Dateien von irgendwo, sondern direkt beim Entwickler. Wenn wir bei Windows angekommen sind, wo Apps dann auf Seiten wie chip.de oder noch schlimmer russland-warez-woauchimmer.net gezogen werden, dann sehe ich auch das absolute "security nightmare".
Das mit den Updates ist auch kein großes Problem. Einfach auf der Plattform anmelden und man bekommt automatisch Informationen über aktuelle Releases. Aber stimmt schon, für Otto-Normalbenutzer zu kompliziert.
Daher sehe ich die Apps generell lieber weiterhin in den offiziellen Paketquellen der Distributionen und nur als Ergänzung dann die neuen Paketquellen. Und hier hoffe ich auf einen gemeinsamen Standard und dann noch mehr Beteiligung vom Upstream.
Mal beobachten wie sich das ganze entwickelt. Man darf gespannt sein...
Flathub hat ebenfalls Maintainer, welche sich um die Updates kümmern sollen. Der Prozess bei Flathub kann mit Sicherheit noch verbessert werden, aber es ist auch kein Projekt, dass schon seit Jahrzehnten existiert. Eine bessere Sichtbarkeit von offiziellen Flatpaks kannst man ja vorschlagen, bei Snap gibt es das ja auch (https://github.com/flathub/flathub/issues).
Die AppStream-Metadaten sind falsch und deshalb wird eine alte Version angezeigt. Die Anwendung wird vermutlich sogar vom Entwickler gepflegt (der Entwickler nutzt eine @hak.pw E-Mail Adresse und der GitHub Maintainer heißt hakpw), wobei es dennoch eine Verzögerung gibt: https://github.com/flathub/org.munadi.Munadi/commits/master
Eben, und dies ist ein "security nightmare". Irgendwo, irgendwelche Dateien herunterladen und hoffen, dass die Quelle vertrauenswürdig ist, keine Informationen zu Updates erhalten (es sei denn, jede Anwendung liefert einen eigenen Updater mit…). Es gibt zwar die Funktionen bei AppImage (z.B. Validating the signature), aber Windows hat schon Eindrucksvoll bewiesen: Für den Otto-Normalbenutzer ist dies auch schon viel zu kompliziert.Wir reden hier ja nicht von irgendwelchen Dateien von irgendwo, sondern direkt beim Entwickler. Wenn wir bei Windows angekommen sind, wo Apps dann auf Seiten wie chip.de oder noch schlimmer russland-warez-woauchimmer.net gezogen werden, dann sehe ich auch das absolute "security nightmare".
Das mit den Updates ist auch kein großes Problem. Einfach auf der Plattform anmelden und man bekommt automatisch Informationen über aktuelle Releases. Aber stimmt schon, für Otto-Normalbenutzer zu kompliziert.
Daher sehe ich die Apps generell lieber weiterhin in den offiziellen Paketquellen der Distributionen und nur als Ergänzung dann die neuen Paketquellen. Und hier hoffe ich auf einen gemeinsamen Standard und dann noch mehr Beteiligung vom Upstream.
Mal beobachten wie sich das ganze entwickelt. Man darf gespannt sein...