Вопрос №1.

Canonical стала активнее продвигать новый формат пакетов snap и для этого создана отдельная площадка snapcraft.io, чтобы в хорошем смысле дистанцироваться от Ubuntu. Конструктивной критики в рунете мало и у злопыхателей есть масса "доводов" против. Считаю что сейчас, когда технология делает первые шаги, недостаточно информации, чтобы корректно её сталкивать с противниками в лице deb и rpm. Чтобы частично восполнить пробел, решил завести серию переводов вопросов пользователей к разработчикам Canonical.

Наш предыдущий коллективный запрос Вопросы к разработчикам №0.

Должен ли я создавать новый snap пакет заново всякий раз когда её зависимости получили заплатки безопасности?

Дальнейшее пояснение: "Имеется в виду то преимущество в мире deb пакетов, что можно использовать библиотеку и если она получит обновление, то это означает и частичное обновление программы. Если иметь в виду только заплатки безопасности, то на 99% можно быть уверенным что обновление библиотеки не сломает API и программа не сломается вслед за ней."

Наиболее остро ситуация выглядит, когда находят проблемы в OpenSSL и все ответы скатились к объяснению ситуации, когда под зависимостью от библиотеки подразумевается именно OpenSSL.

Ответ от Марка Шаттлворта: "Если вы ставите софт, то доверяете данному разработчику. Если вопрос рассматривать именно в плоскости проблемы с SSL, то просто обладание исправленной версией библиотеки не поможет вам, если разработчик программы не использует её с умом. Есть масса примеров программ, имеющих проблемы с безопасностью, из-за плохого выбора алгоритмов, неправильного управлениями ключами или некорректной проверки подписи. Это всё никак не связано с версией используемой OpenSSL, то есть вы не получите магическим образом безопасность, просто получая новую библиотеку.

Но если приложение будет скомпрометировано, то в мире deb атакующему будет позволено захватить всю систему. В то время как в мире snap - нет. Нет идеальных систем, но можно сказать что snap приносят улучшения в некоторых случаях."

Оригинал