Hé ben ça n'en finit pas d'émouvoir les foules cette histoire de Flatpak ! Toujours les mêmes peurs et notamment :
« ça prend de la place »
Avec le système de runtime la place est rentabilisée par le volume d'applications installées. Si les applications ne sont pas packagées de façon trop dégueulasse on peut espérer que ce soit pas si pire, mais sinon effectivement on peut pas avoir les avantages du statique sans les inconvénients qui vont avec.
« ça met le bordel »
Ah ben là, ça m'étonnerait que ce soit pire que le merdier terrible que cause une installation par le gestionnaire de paquets ou par make install. C'est la fête dans /usr/share, /usr/bin, /etc, … Sur tous les autres OS on ne peut que constater que c'est nettement moins le bordel.
« c'est pas sécurisé »
Les PPA douteux, les AUR douteux et les paquets deb/rpm douteux c'est pas mieux. Le problème n'est pas nouveau : si on peut installer depuis des sources externes il y aura des risques de sécurité. Donc il faut revoir le modèle de sécurité des distributions pour l'adapter à ça.
Mais dites-vous que vous serez toujours libres de ne pas utiliser Flatpak. Ce système répond à un besoin important qui n'est pas comblé actuellement : pouvoir installer une appli sans dépendre du mainteneur de sa distrib, dans la version qu'on veut. Ça a toujours été un truc chiant sur Linux, surtout pour les logiciels de tierce partie.
J'ajouterai que pour la question de la place, ostree (utilisé en arrière plan par flatpak) fait en plus de la déduplication.
Par contre, « sur tous les autres OS on peut constater que c'est nettement moins le bordel »… tu as déjà entendu parlé de Windows ? C'est un OS à la popularité plus ou moins anecdotique, et c'est un gros foutoir.
Justement, sur Windows une application prend généralement un répertoire dans Program Files et la configuration utilisateur dans AppData. Sur Linux une application a tendance à inscrire des fichiers dans /etc, /usr, /usr/share, /usr/bin, /opt (parfois), etc.
Pour la sécurité, on parle pas des PPA ou de l'AUR. On parle des dépôts. FlatPack veut remplacer les dépôts. Sauf qu'on vire la sécurité d'un tiers dont « le boulot » est d'empaqueter correctement et de vérifier la sécurité de tout ça. On demande au dev de le faire à la place : ça lui prends du temps, et il risque de privilégier la simplicité du « faut que ça marche à tout prix » plutôt que la propreté et la sécurité de l'installation.
D'ailleurs, même l'AUR est relativement safe : tu vérifies que la source est bien l'upstream, tu vérifies que le PKGBUILD fait pas nawak, et ça roule. Les PPA par contre, faut avoir une confiance aveugle dans les binaires qu'on te file. Surtout si le mec qui gère le PPA n'est pas officiellement lié aux devs de l'upstream.
Sécurité bis : la gestion des versions et des mises à jour de Flatpack privilégie le « faut que ça marche » à la sécurité…
Flatpack est la non-réponse à la question des librairies statiques : pensez à tout mettre à toujours, toujours, tout le temps.
Si un soft ne suit pas, préparez sa migration.
Si, c'est tout à fait possible. Environnements staging, preprod et prod, sinon vous ne controlez absolument rien dans votre entreprise et vous devriez tout confier en infogérance puisque votre travail n'est pas lié à l'informatique.
Hé ben ça n'en finit pas d'émouvoir les foules cette histoire de Flatpak ! Toujours les mêmes peurs et notamment :
« ça prend de la place » Avec le système de runtime la place est rentabilisée par le volume d'applications installées. Si les applications ne sont pas packagées de façon trop dégueulasse on peut espérer que ce soit pas si pire, mais sinon effectivement on peut pas avoir les avantages du statique sans les inconvénients qui vont avec.
« ça met le bordel » Ah ben là, ça m'étonnerait que ce soit pire que le merdier terrible que cause une installation par le gestionnaire de paquets ou par make install. C'est la fête dans /usr/share, /usr/bin, /etc, … Sur tous les autres OS on ne peut que constater que c'est nettement moins le bordel.
« c'est pas sécurisé » Les PPA douteux, les AUR douteux et les paquets deb/rpm douteux c'est pas mieux. Le problème n'est pas nouveau : si on peut installer depuis des sources externes il y aura des risques de sécurité. Donc il faut revoir le modèle de sécurité des distributions pour l'adapter à ça.
Mais dites-vous que vous serez toujours libres de ne pas utiliser Flatpak. Ce système répond à un besoin important qui n'est pas comblé actuellement : pouvoir installer une appli sans dépendre du mainteneur de sa distrib, dans la version qu'on veut. Ça a toujours été un truc chiant sur Linux, surtout pour les logiciels de tierce partie.
J'ajouterai que pour la question de la place, ostree (utilisé en arrière plan par flatpak) fait en plus de la déduplication.
Par contre, « sur tous les autres OS on peut constater que c'est nettement moins le bordel »… tu as déjà entendu parlé de Windows ? C'est un OS à la popularité plus ou moins anecdotique, et c'est un gros foutoir.
Justement, sur Windows une application prend généralement un répertoire dans Program Files et la configuration utilisateur dans AppData. Sur Linux une application a tendance à inscrire des fichiers dans /etc, /usr, /usr/share, /usr/bin, /opt (parfois), etc.
Et les DLLs dans system32.
Ok pour la place.
Pour le bordel, je préfère encore le FHS (https://fr.wikipedia.org/wiki/Filesystem_Hierarchy_Standard), bien géré, plutôt que la méthode Windows…
Pour la sécurité, on parle pas des PPA ou de l'AUR. On parle des dépôts. FlatPack veut remplacer les dépôts. Sauf qu'on vire la sécurité d'un tiers dont « le boulot » est d'empaqueter correctement et de vérifier la sécurité de tout ça. On demande au dev de le faire à la place : ça lui prends du temps, et il risque de privilégier la simplicité du « faut que ça marche à tout prix » plutôt que la propreté et la sécurité de l'installation.
D'ailleurs, même l'AUR est relativement safe : tu vérifies que la source est bien l'upstream, tu vérifies que le PKGBUILD fait pas nawak, et ça roule. Les PPA par contre, faut avoir une confiance aveugle dans les binaires qu'on te file. Surtout si le mec qui gère le PPA n'est pas officiellement lié aux devs de l'upstream.
Flatpack est la non-réponse à la question des librairies statiques : pensez à tout mettre à toujours, toujours, tout le temps. Si un soft ne suit pas, préparez sa migration.
Impossible en entreprise
Si, c'est tout à fait possible. Environnements staging, preprod et prod, sinon vous ne controlez absolument rien dans votre entreprise et vous devriez tout confier en infogérance puisque votre travail n'est pas lié à l'informatique.