Flatpakの未来は大丈夫か?開発が停滞しているとの指摘
引用元:https://news.ycombinator.com/item?id=44068400
記事の引用通り、Flatpak開発停滞してるってマジ?Red HatはRHELでデスクトップパッケージ減らしてFlathub推してるんだから、Flatpak開発にもっと力入れてよ。
パーミッション問題も困るんだよね。ゲーム開発者だけど、新しいパーミッション(–device=inputとか)使うと古いFlatpakで動かないから、結局全部許可みたいな設定になっちゃうんだ。古いFlatpakでも動くようにフォールバック機能欲しいな。
Red Hat、FirefoxとThunderbirdをRHEL 10でFlatpakだけにするって言ってたけど、結局rpmも出したらしいね。Native Messagingとかポリシー管理とか、デスクトップとの連携がうまくいかなかったのが理由っぽい。
FirefoxとThunderbirdは残ったけど、Evolution、LibreOffice、GIMP、Inkscape、TotemはRHELから消えたんだよ。Red Hatはオフィススイートとか画像エディタとか、RHELで提供しなくなったってこと。開発ワークステーションでRHEL使う人もFlathub使うしかなくなるね。
Red Hatにとってデスクトップ市場はそんなにデカくないんだよ。社員もだいたいFedora使ってるし。RHELワークステーション使う人って特殊な用途が多いし、結局みんなWindows PCかCitrix/RDPで仕事してるのが現状じゃない?
10年くらい前、バイオインフォマティクスの研究室で働いてた時は、全部RHELのマシンだったな。今は変わったのかな?
デスクトップ分野はUbuntuに食われちゃった感じだよね。昔は商業ソフト使うならSuSEかRed Hatだったけど、Ubuntuが出てきて、より新しいUbuntuが選ばれるようになった。Red Hatは前からデスクトップは縮小傾向で、今回の件はその流れを汲んでるだけだよ。
Ubuntuが人気出たのは、インストール簡単、タダ、ビジネスモデルあったからだよ。Red Hatが個人向けやめたとか、SuSE買われたとか、Fedoraが不安だったとか、Debian好きが勧めたとか、色んな理由があるんだ。「より新しい」ってのは、そんなに関係ないと思うな。
RHELのターゲットってサーバーだから、デスクトップアプリのパッケージやめるのは別に良いんじゃないかな。オフィススイートがなくても、RHELユーザーにはそんな影響ないでしょ。Flathubみたいな代替あるなら、なおさらね。
Flathubが代替って話だけど、僕が言いたかったのはそこ!Red HatはRHELでデスクトップアプリやめて「Flathub使え」って言ってるのに、Red Hatの社員がFlatpakは開発停滞してるって言ってる矛盾。Red Hatはアプリのパッケージングやめた分、Flatpak開発にもっと金と人を出せよってこと!
Comment 9に超同意!Red Hatはパッケージングやめた分、Flatpakの開発にもっと協力すべきだよ。Flatpak使うことで楽になってる人もいるんだから、ちゃんとサポートしてほしいよね。
RHがOSのWorkstation版とServer版を分けたって話、RHEL 8で元に戻らなかったっけ?
その通りだね。それが俺にもよく分かんないんだよ。
正直、RedhatがWorkstationのライセンスをどれだけ売ってるか知りたい。もう長すぎて、まだWorkstation版のライセンス買えることすら知らなかったよ。ServerとWorkstationで同じディストリビューションになってると、どっちかがメインになって、もう片方がほったらかしになる気がするんだよね。誰がWorkstationのライセンス買って使ってるんだろう?
でも結局、彼らがRHEL向けにOffice Suiteをパッケージしたい理由が分かんないんだ。いや、それ以上に、ユーザーがそれを使いたい理由が分かんない。RHELは安定性重視でしょ。すごく良いServer OSで、サポートも手厚い。だから、ライブラリとかプログラムのバージョンが古めなことでも知られてる。多くの新機能や修正はバックポートされるけど、それでも含まれてるソフトはたいてい古い(安定した)バージョンなんだ。なんで古いバージョンのOffice Suiteが欲しいんだ?
あるいは、Serverに入れられる新しい(リスクのある)バージョンを彼らがパッケージしたい理由は?俺には全然理解できないんだよね…良いServer OSと良いWorkstation OSの根本的な矛盾だよ。
注:このやり取りは、何十年もServer上のLinux対デスクトップ上のLinuxで続いてるんだ。多分これからも何十年も続くだろうね。一つの用途に必要なものって、他の用途には合わないんだよ。だから色んなディストリビューションがあるわけで、それは良いことだ。俺が分からないのは、なんでRHがその二つをまた一緒にしたがるのかってことだ。だからこそ、RHELがパッケージするWorkstationアプリを非推奨にして、代わりにFlatpak版を推すって考えは、RHELの視点から見れば良いことだと思うよ。
>Who are the users that are buying and using Workstation licenses?
サポート契約を強く求める機関や企業、特にソフトウェアを公開してるベンダーからのサポートを求める所かな。時々、法的にそれが必須なこともあるけど、たいていはただ経営陣が経営陣らしいことをしてるだけだね。
その要求があるだけで、選択肢の大部分はすぐに狭まるんだ。たとえ、俺がもっと合理的だと思う選択肢がその基準の下に存在したとしても。
ああ、ライセンスを買う人は想像つくよ…俺がもっと知りたいのは、誰がそれを使ってるか、そして本当の疑問は――ユーザーはどんなアプリケーションを使ってるのか?ってことだ。RHはおそらく顧客全体でどんなパッケージがインストールされてるかのデータを持ってるだろうね( centralized repositoryがあるのはやっぱり利点だ)。だから、どのパッケージを捨てるか決めるのは彼らにとって多分簡単だろうね。
多くの企業は、プロプライエタリなGUIアプリケーションを動かすためにRHEL Workstationを使ってるよ。アプリケーションはたいていRHEL Serversで動いて、X11 forwardingを使ってWorkstationにGUIを表示するんだ。
クライアントとServerで同じOSを使うと、サポートがすごく楽になるんだ。ISVsはFedoraやUbuntuみたいなモダンなOSをサポートしないことすらある。
そういう企業はMicrosoft Officeを使うWindowsマシンがあるから、Office Suiteは必要ないんだ。ただ、使いやすくて、VNCでWorkstationにアクセスするときに邪魔にならないLinuxデスクトップ環境が必要なだけなんだよ。
俺のServerは、文書処理のためにLibreOfficeの一部に依存してるよ。
これは俺にすごく響く話だ。
FlatpakはおそらくLinux上でデスクトップアプリを配布するのにベストな方法だ。これはアプリ開発者として、パッケージャーとして、そしてユーザーとして言える。ある時期は、10個近いパッケージをメンテしてたんだ。
次に彼らが何をするのか、どんな魔法みたいな機能が出てくるのか、何ヶ月も待ち望んでた。フォーラムでは他のユーザーがアプリをパッケージするのを手伝ったり、Flathubの申請レビューを手伝ったり(いつも同じ問題だったからね)、どんなPRsが進んでるかチェックし始めた。でも、沈黙だった。
何ヶ月が何年にもなり、さらに何年か経つうちに、俺はだんだんFlatpakに関わることから遠ざかっていった。今はほとんどのことをAUR(Arch、btw)で済ませてるけど、この状況をはっきり聞かされてかなり悲しい。Flatpakは本当に革命的だったんだ;最新のアプリと楽な配布を全てのデスクトップに――LTSだろうがローリングリリースだろうが――もたらしたんだ。でも、何年も前にブレークして以来、実質的に何も変わってないんだ。
ユーザーとしてFlatpakで良い経験をしたことは、インストールが簡単なこと以外、ほぼないんだ。システムとちゃんと統合されることがほとんどないんだよね。テーマがおかしい、カーソルがおかしい、ファイルピッカーがおかしい、パーミッション問題、ドラッグアンドドロップ問題。一部の機能(Discordのグローバルプッシュトゥトークとか、Waylandだと特に大変)が動かないから、インストール後にアプリのパーミッションを広げるための追加ツールが必要になることもよくある。
結果としてUXが最悪なら、サンドボックスなんてどうでもいいんだ。
もしLinuxでバイナリのポータビリティがこんなに完全にジョークじゃなかったら、Flatpakなんて必要なかったのに、まあ現状はこうだね。
俺はAppImageの方がFlatpakより良い代替策だと思うんだ。インストール不要、Linuxを入れ直しても使える、テーマとかアイコンとかXorgの設定の問題なし。実際、Flatpakのストレージ容量の何分の1かで済むし、firejailみたいな外部ツールでオプションのサンドボックスも使えるし、terminalとかdmenuとかrofiから起動するのもすごく楽、いじって直すのもすごく簡単。
問題は一つだけだ:追加のアプリがないとデスクトップと統合されないこと。AppImageを”~/.local/share/applications”にドロップするだけで、自動的に”.desktop”ファイルとして認識されて、DEのメニューに表示されるような機能が必要なんだ。
Flatpakにはこういうことへの答えは確かにあるんだけど、それはFlatpakの中のプログラムが適切なAPIsを利用してないってことなんだ。彼らはファイルピッカーにはportals apiを使うことになってて、それを使えばシステムのファイルピッカーを使ってサンドボックス越しに安全にやり取りできるはずなんだ。でも多くのアプリはそれをやってないだけ。
テーマも変な点だね。GUIデザイン全般が、OSのテーマからアプリやプロダクトのテーマにシフトしてきてるんだ。それは色んなプラットフォームでプロダクトの一貫性を保つためだね。例えばDiscordは、LinuxでもWindowsでもiOSでもwebでもほとんど同じ見た目だろ。
なんで Flatpak にするとアプリがちゃんと動かないんだろう?例えば、アプリが環境とかテーマを調べようとしたとき、Flatpak 経由だと答えが違うってどういうこと?
Flatpak だとアプリが環境情報をうまく取れない理由は二つあるよ。一つは、Flatpak の中と外でライブラリとかのバージョンが違うから、テーマの名前とかが合わないこと。もう一つはサンドボックス化されてるから、情報が遮断されたり、教えられたパスにアクセスできなかったりするんだ。
ちょっと極端な例かもしれないけど、Qt5 のアプリがテーマを聞いたとき、Qt6 は互換性のある答えを返すんじゃないの?それに、アプリは Qt5 のテーマじゃなくて、”テーマ”って聞くべきでは?Flatpak の問題というより、Qt のバージョン違いの互換性の問題みたいだね。あと、必要なものにアクセスできないくらいサンドボックス化が進みすぎじゃない?
Flatpak を最大限に活かすには、ホストシステムの上で動く新しいサンドボックス化されたディストリビューションだって思うのが一番いいよ。Flatpak は完璧じゃないけど、唯一の alternative は Ubuntu の snaps だからね。
もし Linux のライブラリにそんなに後方互換性があったら、Flatpak なんて必要なかっただろうね。Flatpak と snap は、Windows API とか Android API みたいに、共通の”Linux プラットフォーム”がないことへの単なる workaround なんだよ。結局、Flatpak はホストディストリビューションの中で別のを動かしてるだけだからね。
中のアプリが専用にコードを書く必要があるなら、なんで”既存のアプリをサンドボックス化する方法”として marketing されてるの?
いや、それは違うね。こういう使い勝手の問題は Flatpak がなくても起きる、もっと根深い問題だよ。例えば Samba share をマウントしたとき、ファイルエクスプローラーからは使えても、他のアプリからアクセスするのが大変だったりする。Flatpak の問題だけじゃないんだ。
私は反対だな。Flatpak の pros は、インストールが簡単で場所が分かりやすい、アップデートの一元管理がある。あと Flatpak は永続性がある。ユーザーがインストールしたものは home ディレクトリにある。サンドボックスも組み込み済み。他のことはコメントできないけど、問題があったことはないよ。
GTK とか Qt みたいに native toolkits を使わないアプリでも、テーマ(ダーク/ライト)やカーソルがシステムに合わない問題がある。Flatpak はほとんど対応してないね。ディスプレイのスケーリング時とかにカーソルがちっちゃくなったりして、それがまた”イケてる”んだ。
Ubuntu の Snaps は AppArmor にすごく依存してるんだけど、AppArmor は SELinux を使ってる他の多くの top-tier ディストリビューションには入ってないから、 alternative にはならないよ。
もっとコメントを表示(1)
Ubuntuだとさ、AppImageLauncher使えばAppimages統合できるよ。記事のリンクはこれ→https://www.omgubuntu.co.uk/2022/10/appimagelauncher-install
FedoraでFlatpak版のSTEAM入れるとさ、コントローラー動かすのにCLIで色々呪文唱えなきゃいけないんだって。これマジでFlatpakの欠陥を露呈してるよな。”Table stakes”アプリは普通に動くべきなんだよ。
デスクトップ統合にはさ、Gear Lever使えるよ。これ→https://github.com/mijorus/gearlever。設定いじればAppImagesのアップデートもできるらしい。
Flatpak版のFirefoxでHTMLファイルがたくさん入ったディレクトリを開こうとすると、なんかうまくいかないんだよ。1つのファイルしか開かなくて、スタイルシートとかリンクが機能しない。今はローカルにウェブサーバー立てて回避してるけど、普通に動いてほしいな。これは他のアプリがドキュメント表示で直接ブラウザ呼び出すときにも同じ問題があるんだ。
システムがライトモードかダークモードかって情報をアプリに伝える標準的な方法、ここ数年までは全然なかったんじゃないかな。
あんたが言ってる問題の多くはもう解決済みだよ。例えば”Discordでのグローバルプッシュトゥトーク、特にWaylandだといつも面白い”ってやつは、Global Shortcuts Portal使うことで解決したんだ。ほとんどのデスクトップ環境 / ウィンドウマネージャーはこのポータルに対応してるし、Electronみたいなやつも対応してるから、例えばFlatpakで入れたSlackなんかだと、Slackにフォーカスしてなくてもミュート切り替えできるようになったよ。
個人的にはね、AppImagesの方がどの環境でも動くかっていうと、そうでもないかなって思うんだ。起動時にsegfaultしたり、後で変な問題が出たりするやつもいる。作者の環境ではうまく動いてるんだろうけどね。今の俺のシステムでは動いてるのもいくつか使ってるけど、Flatpakはどんなシステムでもいつも動いてるよ。Flatpakの方がシステム環境を多く含んでるから、動く可能性は高いと思う。
サンドボックスが組み込まれてるってことね。これは良い面も悪い面もあるんだ。例えば、このアプローチの大きな欠点の一つは、サードパーティのプラグインやスクリプトのインストールが、本来よりずっと難しくなる可能性があるってことだよ。
そうそう!それ、めっちゃ便利なんだよね、自分のディストロに入れられればだけど。GitHubのリンクはこれ→https://github.com/TheAssassin/AppImageLauncher
Flatpakって全然マーケティングされてなくね?ユーザーはそう言うかもね。俺の理解だとGTKとかQT使えば動くけど、多くのアプリは独自のファイルピッカー使ってて、ファイルシステムへのアクセスが制限されてると動かないんだよ。
デスクトップ連携よりディストリビューション間でのポータビリティ不足が最大の問題だよ。ユーザー空間の違いで互換性がないことだってあるし、AppImageはUbuntu/Debian以外だとエラーになることも多い。WebからDLしたバイナリに実行権限つけさせるのもダメ。Flatpakはランタイムとnamespaceで依存性問題を解決し、安定した環境を提供してるんだ。
GTKとかQTの共通テーマを統合するのはディストリビューションの役割だったと思う。まあ、よく場当たり的だけどね。でもfreedesktop以外に、グラフィカルなアプリがDEとどう連携するかとか、共通のAPIを決める組織なんてないし。
AppImageが良いって意見に同意。AppImageはROXデスクトップのアプリバンドル形式を使ってて、これはAcornのRISC OSが元。RISC OSのアイデアはNeXT Computerに渡り、NeXTstepのDockやアプリバンドルに繋がった。これはmacOSにも引き継がれてる。GoboLinuxはOS全体をアプリバンドル化してる。FlatpakやNixの開発者はROX, AppImage, GoboLinuxを参考にすべき。古臭いUNIXのファイルシステム階層を捨てれば、もっとうまくやれる。これは偶然の産物なんだからね。
多くのGTKアプリはgvfs[0]を使ってて、KDEアプリはkio[1]を使ってるからだと思う。でも標準のシステムコールでファイルにアクセスしたいなら、標準のmountプログラムかfuseを使わないといけないんだよ。
0: https://en.wikipedia.org/wiki/GVfs
1: https://en.wikipedia.org/wiki/KIO
それはUXじゃなくテーマの問題だね。テーマがUXに影響するなら満足させられないよ。俺はFlatpakに満足してるけど、デフォルトGTKテーマしか使わない。Flatseal見つけるまではFlatpakに不満だったけど、今は導入してる。テーマの問題は多くのLinux DEカスタマイズ好きにとって厄介だと思うよ。
Flatpak設計時の逸話だよ。初期開発者に、インストールされたFlatpakに権限を紐づける設計を変えるよう説得したが失敗した。俺の主張は、インストール自体は意味を持たず、実行中のインスタンスに一時的なIDと権限セットを与えるべきだというもの。VSCodeを別々のディレクトリへのアクセス権限で複数起動したり、Tailscalesを2つ動かしたり、EphemeralなFirefoxを動かしたりできるようにすべきだった。今でもその考えは正しいと思う。FlatpakもMS, AppleのApp Storeも、Mac OSもマジで間違ってる。もっと改善の余地がある。(これはセキュリティ的に重要だ:バグったLibreOfficeが他のドキュメントにアクセスできないようにすべき。セキュリティに無頓着なVSCodeでも、Flatpak内なら安全性が高まるはず。)
愚痴だよ。セキュリティ名目の複雑さが嫌いだ。PCは俺のもので汎用デバイスなのに、インスタンスごとの権限とか、ファイル共有できないサンドボックスとかいらない。「全てはファイル」概念も捨てたくない。俺のPCはサーバーじゃないんだ。セキュリティは使いやすさとバランス取ってくれよ。UbuntuのThunderbirdとFirefoxが/tmpにアクセスできず、変なディレクトリ使ってるせいで、添付ファイル保存→他アプリで開くのが面倒になった。サンドボックスのせいで、他のアプリ候補も表示されない。PCが俺のものではなくなり、使いやすさよりセキュリティを優先する連中の遊び場になってる。そういう連中にはhttps://en.wikipedia.org/wiki/Useless_machineみたいな安全なデバイスで遊んでて欲しい。
「ネット公開サーバー」攻撃モデルは古臭い。プログラマーなら自分のソフトが自分を攻撃する可能性の方が高い。Thunderbirdのファイル保存問題の解決策は”portals”で何年も前から知られてる。サンドボックスコードが権限コードにファイルチューザーを頼む方法だ。摩擦ゼロで最高のセキュリティ。でも誰もエコシステム全体でやってない。Androidは何年もサポートしてるのに、開発者は正しいAPIを使わない。iOSアプリはほとんどファイルをサポートしてないし。Flatpakもできるはずなのに、ほとんど誰もやってないと思う。
答えてくれてありがとね。プログラマーの脅威モデルは普通のユーザーよりずっと複雑だろうけど、サンドボックスとは関係ないと思うんだ。「インターネットに面してるサーバーが現実」って点がよく分からなかったんだけど、詳しく教えてくれる?
あと、ポータルの話で、サポートはあるのにFlatpakもIOSもAndroidも誰も上手くできてないって指摘はすごく示唆に富むね。誰も正しくできないなら、設計が壊れてるってことだろうね。Fusciaですら失敗したんだし、あれはユーザー空間の隔離とIPCやシステムコールの契約に特化してゼロから作られたOSなのに。
とにかく、ユーザーにとってはすごく不公平だよ、今まで動いてたものが新しい設計で壊されるなんて。何十年も続いてるすごく基本的なコンピューターの使い方パターンについて話してるんだし。
> 「インターネットに面してるサーバーが現実」って点がよく分からなかったんだけど、詳しく教えてくれる?
要するにね、昔はコンピューターってそんなにネットに繋がってなかったから、ポートが開いてるサーバーが主な攻撃経路だったんだ。もちろん、誰かがメールで送ってきた悪意のある文書を開いたり、渡されたりして侵害されることもあったけど、それはもっとゆっくりで珍しい攻撃経路だったんだよね。意図的に実行するコードは、ほとんどが買って(オフラインでもオンラインでも)、インストールして、長い間使ってたものだった。
今は全部にウェブブラウザがあるけど、幸いなことに内部にちゃんとしたサンドボックスがある。でもみんな”アプリ”を実行するでしょ。で、”アプリ”は広い権限を持ってて、想定されてるベンダーからコードが実行されるんだ。そして、人気の”アプリ”のベンダーを文字通り買収して、自分のユーザーベースにどう見ても悪意のあるコードを配布できるようにする人たちもいる。そして、こういう”アプリ”や多くの開発者向けアプリケーションは、設計上、サードパーティから、そして多分そのサードパーティが選んだフォースパーティとかから来るコードやそれに準ずるネイティブコード(Appleさん、コード整合性に関する素敵な支離滅裂なポリシーありがとね)を実行して、そのコードを自動更新するんだ。最近は、MCPみたいなものを実行する人も増えてるんだけど、あれは基本的にリモートシステムに自分のシステムをリモートコントロールさせるツールみたいなもんだよ。で、僕的には、クライアントマシン(Flatpakとかそういうシステムを使う可能性が高いようなやつ)では、これら全てがインターネットに面してるサーバーよりも重要な攻撃経路だと思うんだ。
> I think Flatpak can do this, but almost no one does it.
Flatpakはそれが下手なんだよ。僕が見た限りだと、一度ファイルを読み取りで開くと、サンドボックス化されたアプリにそのパス名への書き込みアクセスが永久に与えられちゃうんだ。
それが問題なんだよ。それは決して「あなた」のものではなかった。それはアプリ開発者のものであり、その中には悪意のある連中も潜在的にいたんだ。デスクトップ環境をサポートする何千ものパッケージがある場合、唯一まともなセキュリティモデルは、全てを脅威として扱い、権限をオプトイン(デフォルト拒否)、つまり許可制にすることだ。例えばXなんかは、全てのプログラムがあなたのキーボード入力を盗み見たり、メモリやフレームバッファをサンプリングしたりするのを許してるんだ。
結局のところ、セキュリティに関しては、平均的なユーザーが一番よく分かってるわけじゃないから、分かってる人にシステム設計を任せるべきなんだ。これがシートベルト法や児童虐待防止法がある理由だよ。
> That is the problem, though. It was never yours. It belonged to app developers, some of them potentially nefarious.
でもそれは何十年も僕のものだったし、その間ずっと僕のディストリビューションのリポジトリでは悪意のある開発者がそんなに現実的な問題になったことは一度もなかったんだ。これは自作自演の問題だよ。
君の言う通りだね。でも実際には、君のアプローチと彼らのアプローチのハイブリッドを目指すべきだと思うよ。
君のドキュメントに関しては、普通は君のアプローチがいいだろうね。もしかしたら、「最近使ったドキュメント」メニューみたいな便利な機能のために、オプショナルな許可があってもいいかもしれないけど。
でも、もっと環境的なもの、例えばgit configとかフォントフォルダ、コードスニペットライブラリみたいなものに関しては、後でいちいち許可を求められずに全てのインスタンスに同じアクセスを許可するオプションが少なくとも欲しいな。
サプライチェーン攻撃は、君がディストリビューションに依存してる限りずっと問題だったんだよ。いくらでも実際の例を挙げられるけど、インシデントが起きるのを待つ前に、より安全なユーザースペースを作るべきなんだ。
君は正しいかもしれないね。そして、flatpakの開発者たちも君が正しいと信じていた可能性すらある。
でも、それでも正しい決断ではなかったかもしれないね。なぜなら、Flatpakみたいな製品に関しては、技術的に一番正しい選択が何かということ以外にも、たくさんの考慮事項があるからだ。
例えば、君のコメントだけを基にすれば、基本的に他のほとんど全てのOSはFlatpakと同じやり方をしてる。だから、もしFlatpakの開発者たちが君が提案したような技術的に正しいやり方をしてたら、アプリ開発者、特にマルチプラットフォームの開発者にとってはかなりの負担になって、そもそも彼らはFlatpakを使わなかったかもしれないんだ。
その議論だと、Flatpakは全く存在すべきじゃないってことになるね。何か違うことをすればダメで、何も違うことをしなければ、存在する意味がないってことだろ?
話が少しそれるけど、Androidでもこういうアプリのポータビリティはずっと欲しかったんだよね。Xiaomiみたいな一部のOEMは数年前にそれに気づいて、WhatsAppみたいな人気アプリ限定だけど、OSに内蔵のアプリ「複製」機能を提供してたみたいだよ。
うん、そうだね、実行中のプログラムの特定のインスタンスが権限のセットを持つ方がいいと思うよ。でも、これだけが問題じゃないと思うんだ。君だけじゃなく、僕もそうであってほしいと思ってたんだよね。OS全体をいろんな理由で再設計する必要があると思うんだ(以前、もっといい設計方法について言ったことがあるけど)、そうすれば、実行中のプログラムの特定のインスタンスには、引数として(あるいは他の権限経由で、でも最初のものは引数として与えるべきだ)能力が与えられるようになって、これらの能力は制限された権限を持つこともできるし、アクセスをログに記録したり、プロキシ経由でアクセスしたり、ディスク容量を設定したりみたいな、もっと多才なこともできるようになると思うよ。
ソフトウェアパッケージの仕組みについて君が正しいとしても(僕もそう思う傾向がある)、Flatpakがこのモデルを強制する役割を担うべきかは全く別の問題だね。僕が知る限り、dnf/yumやaptみたいな古いパッケージングシステムもFlatpakと同じことを許可してるよ。多分、開発者たちは単に良いパッケージングシステムであることに集中したかったんじゃないかな。それだって大変な仕事だって今見てる通りだし、パッケージングシステムの権限モデルを変えることじゃなかったんだ。合理的だと思わない?
もっとコメントを表示(2)
確かに、アプリの異なるインスタンス間を厳密に分離したいパワーユーザーにとってはこれが良いと思うよ(そして、ハイパーバイザーを使ったQubesOSみたいなアプローチがもっと見られるといいなとも思う)。でも、こういう作業のほとんどは、アプリ自体の中で、ネストされたサンドボックス化を使って優先的に行われるべきじゃないかな。そうすれば、ユーザーがアプリの通常の振る舞いに基づいて期待する場所に正確に障壁ができるよね。全てを結びつけるコードの脆弱性が爆発的なものにならないと仮定すれば、だけど。
ウェブブラウザはすでにタブ間の分離を実現するために様々なサンドボックス技術を使ってるよね。これらの技術の中にはFlatpakの中でも動くものがあるけど、Flatpakによって壊されるものもあるんだ:
>理想的には、Flatpakは単にネストされた名前空間とネストされたサンドボックスをサポートすればいいんだけど、現状ではサポートしてない。
Flatpakはサンドボックス内のアプリケーションがユーザー名前空間に直接アクセスするのを防ぐためにseccompを使ってる。
アプリ開発者がAPIを使いたい場合のために、Flatpakによって置き換えられるものもある:
>現在、Flatpakが代わりにやってるのは、アプリケーションが呼び出してさらに制限をかけられる別のFlatpakインスタンスを起動できる、一種のサイドサンドボックスを持つことだ。
幸いなことに、FirefoxやChromeがこれを修正するのを止めている主な原因であるUID namespacingについて、Wickは楽観的なようだ:
>Wickは、ユーザー名前空間は今日では十分にテストされ、よく使われているインターフェースだと感じている。彼はもうユーザー名前空間に反対する良い議論はあまりないと考えている。
インスタンス化されたFlatpaksの話に戻ると、僕が理解している限りでは、一つの問題は、サンドボックスに紐付けられるフルブート・トゥ・ユーザースペースのコード署名設定が長期的に望まれていることだ(一般的にアプリストアやプラットフォームによって)。各アプリケーションのIDは同じままであるべきだ(パワーユーザーによって特に上書きされない限り)。そうすれば、偽のアプリケーションがコード署名要件を満たさない場合に、既存のアプリケーションの機密暗号化ファイルを勝手に利用できなくなる。ここでの一つの解決策は、分離されたインスタンスがアプリケーションのIDの中にネストされることだろうけど、それはかなり複雑になってしまう。そして、まだ暗号化も機能するセキュアブート+機密計算の実装も全くないんだ──この面でこれまで実際に持っているのは、Flathubによって検証されるリバースドメイン名表記と、これらのフォルダを分離するためのファイルシステムアクセスサンドボックスだけだね。
この部分、誤解してるかもしれないけど、xdg-portalの役割じゃないの? インスタンスにアクセス権を与える何かに一時的なアクセスを許可する役割だよ。
VirtualBoxのスナップショットみたいな? そしたら、これらのスナップショットをブランチしたり、マージしたり、ロールバックしたりしたくなるだろうね。
これはQubes TemplateVMとAppVMみたいだね。
彼に100パーセント同意するわけじゃないけど、Drew DeVaultはこのトピックについていつも考えさせられる意見を言ってるよ:
https://news.ycombinator.com/item?id=32936114
https://drewdevault.com/2021/09/27/Let-distros-do-their-job….
要するに、彼はFlatpak、snap、AppImageみたいなディストロ外でのアプリケーション配布は単に悪いモデルだと主張してるんだ。正しいモデルはディストロが何年も使ってきたもので、ディストロのパッケージマネージャー経由でソフトウェアを手に入れること、そしてそのソフトウェアはディストロのために働く人々によってパッケージされることだって。彼が言うように、「ソフトウェアディストリビューションはしばしばボランティアによって運営され、ユーザーの利益を代表している。ある意味、彼らは一種のユーザーの組合なんだ」。
もちろん、もう一つの問題は、実際にはFlatpaks/snaps/AppImagesがディストロパッケージほど100パーセントうまく機能しないように見えることだね。
問題は、N個のディストロ向けにパッケージングしなきゃいけないってことだよ。そして、ディストロを運営してる人たちがそれに時間をかけたくないかもしれないから、自分でやるしかないんだ。
君は元の論点と全く逆のことを言ってるよ。それはつまり、ディストロ向けにパッケージングするべきじゃなくて、ディストロが自分でパッケージングするべきだってことだ。君はただソースを配布するだけ。君は自分のディストロのためにパッケージングするのに良い候補者だよ。それで、適当なディストロに関しては、誰もパッケージングしたくないと感じるなら、そこにないだけさ。君のプロジェクトに十分な関心がないか、そのディストロ自体に十分な関心がないかのどちらかだ。
アプリケーション開発者はアプリをパッケージングして配布できるべきだよ。Windowsで一般ユーザーがどんなアプリケーションでもダウンロードしてインストールするのがいかに簡単か見てみてよ。メンテナーはスケールできないし、彼らに依存するのはDesktop Linuxをただ足止めするだけさ。
未審査のアプリストアの良いところは、誰でもソフトを出せるところ!
悪いところは、誰でもソフトを出せるところ!
Distroのパッケージメンテナーはセキュリティ研究者じゃないし、自分がメンテしてるコードを監査してないよ.
”ディストロは自分でパッケージすべき”って言うけど、それだと昔Ubuntu/DebianでErlangが20個以上に分かれたみたいになるんだよ.だって、Erlangのことよく知らない人がやったからさ.それが問題で、ディストロのメンテナーが全部のソフトを理解してパッケージするのは無理.ディストロの数だけその問題が起きるんだ.
”ディストロメンテナーが全部?”違うよ.使う人がパッケージしてメンテナーが監督すべき.Erlangの件みたいに、使わない人はやらないでしょ.Flatpak必須論は単一OS論みたいで嫌だ.俺は自由が欲しいし、自分でパッケージすることもあるさ.貢献したくないなら人気ディストロとかWindows/macOS使えば? Alpine選んで文句言うのは違うよ.
それには反対だな.アプリのパッケージは開発者本人が作るのが一番だよ.サードパーティがやると、リリース遅延とか余計な手直し、バグ混入の元になる.だから俺はFirefoxをMozillaから直接入れてるんだ.開発者が一番わかってるからね.FlatpakはApp Storeみたいになりすぎ.俺はApp Storeは好きじゃないな.WindowsやMacみたいに、開発者が自分のサイトでバイナリを配って、OS側でセキュリティを担保するってのが理想だと思う.Linuxでもサードパーティがパッケージを支配する必要はないんじゃないかな.
”使う人がパッケージしてメンテナーが監督”って言うけど、あれ?前のコメントでは”ディストロが自分でパッケージすべき”って言ってなかったっけ?じゃあ誰がやるのさ?デタラメだよ.”使いやすさとかいいから、みんな自分でコンパイルしてパッケージしろ”って言ってるみたいだね.ユーザーがパッケージの仕方を知る必要なんてないはずだよ.
”ディストロがパッケージすべき”って言ったのは、メンテナーだけじゃなくて貢献者も含めてのことだよ.使う人がパッケージしてメンテナーが監督ってこと.俺の主張は”パッケージメンテナーはそのディストロでパッケージを理解して使うべき”って当たり前のこと.Ubuntu/Archみたいに人気なら自分でパッケージすることはないけど、musl使う場合みたいにマイナーなディストロだと貢献が必要になることもある.それは使うディストロを選んだってこと.Windowsみたいに仕組みを知りたくない人がLinuxに来てFlatpakとかsystemdを押し付けるのは嫌だね.そういう人はUbuntuとかWindows/macOS使えばいいじゃん.あとUbuntuは無料なんだから、文句ばっかり言うなっての.
それにさ、アプリ開発者にはある程度の責任があるだろ.JWZがDebianと揉めた件みたいにさ.偉大なZawinski氏のXScreensaverだと思ってたら、実際は誰が作ったか分かんない変なフォークだった、Jia Tanじゃないと良いけどね.
”貢献者がパッケージしてもいい”って言うけど、じゃあ誰がメンテしたりテストしたりバグ直したりするのさ?伝統的なディストロでは少数の人が感謝されない作業を大量にやってて、その努力が複数のパッケージシステムで無駄に重複してるんだよ.”Windows的な考えの人”って言ってたけど、”みんなが15個もの互換性のないパッケージシステムで自分でパッケージしなきゃいけないなんて前提を置かない方が良くない?”って考えるのが、なんで悪意だと決めつけるのさ?
Flatpakがもっと普及してきて嬉しいよ.アプリの配布はディストリビューションから離れるべきだね.彼らのせいじゃないけど、配布は苦手なんだよ.開発者は仲介業者なしに自分のアプリを配れる選択肢を持つべきだ.
< So who’s going to maintain the packages? …>
誰がパッケージメンテする?テストは?って聞いてるけど、それコミュニティだよ。オープンソースってそういうもんでしょ。バグあったら自分で直してMR出せばいい。受け入れられなきゃフォーク。メンテナーになりたくないならUbuntuでもWindowsでもmacOSでも使えば?Gentooとか Alpineに貢献したい人は自分で選んでやってるんだよ。< And their efforts are needlessly duplicated across several packaging systems.>
違う違う違う!努力したくないならしなくていい。UbuntuでもWindowsでもmacOSでも使えるんだから。Gentooユーザーでもないのに、俺のGentooの問題をUbuntuみたいにして解決しようとすんな、放っといてくれ!
”ディストロを運営してる人たち”に制限される必要はないんだよね。俺も使いたいソフトのために、使ってるディストロでいくつかのソフトのパッケージ作り始めたけど、別にディストロを運営してるわけじゃない。パッケージメンテする人なんて、ボランティアでやるうちになるんだよ。Linuxのほとんどがそうじゃん。
もしそのディストロに、メンテする気のあるユーザーが一人もいないなら、たぶん元々誰もユーザーにならないようなディストロだったんじゃない?
実際、Flatpackはディストリビューションがもっと安定するのに完璧だと思うよ。例えば、俺がDebianでいつも困ってたのは、安定したシステムと最新のソフトウェアを(簡単に、バックポートがあるのは知ってるけど)両立できなかったこと。Flatpackなら、それができるんだ。
これで、安定したディストリビューションの上で最新のユーザーソフトウェアが実行できるようになった。それってかなりクールだよな。
ただ、UXにはまだ問題がある。特に使ってるアプリに必要な権限がなくて、それについて何の 정보 もないとき、自分で気づいてもそれを変えるのが大変なんだ。
Flatpackは、アプリがリアルタイムで、あるいは外部リソースにアクセスしようとした時に、macOSみたいに特定の権限を要求できるようにしてほしい。APIを公開するだけじゃなく、ユーザーの承認を待つようにするんだ。
Flatpakはむしろ一連のツールとフレームワークみたいなもんだよ。ストアというより配布システムと考えるべき。Flathubはリポジトリだし、Fedoraには独自のがあるし、誰でも自分のリポジトリを作れる(収益化の概念がないからストアとは呼ばないかな)。
何か恣意的なプロセスでアプリを許可したり不許可にしたりする”チーム”があるわけじゃないから、Flatpakをゲートキーパーとは見なさないね。
macosとwindowsが正しいやり方をしたって意見にも反対。会社でノートPCを管理してる経験上、ざっくりWindows 1/3, linux 1/3, macos 1/3で見ててわかったことだけど、Windowsはユーザーに変なものをダウンロードさせて、署名されてない時の警告画面をバイパスすることを教えてるし、macOSユーザーはアプデしない。Linuxユーザーは基本的に最新に保ってる。Flatpakとかrpm/dnfとか、完璧じゃないところがあったとしても、macOSやWindowsで配布とメンテの良い方法がないためにサードパーティツールに金を払わなきゃいけないよりずっとマシだよ。
< distros should package for themselves. You just distribute your sources.>
Devaultさんは基本的には、アプリ開発者はただソースコードを壁の向こうに投げて、他の人たちがそれに気づいて正しくビルドする方法を見つけ出すのを期待すべきだって言ってるの?開発者としては、そういうソフトウェア配布モデルは満足できないね。ソースコードのtarballだけ配布して、後は仲介業者任せだと、ユーザーが最終的にどんな体験をするのか、予測するのが難しくなるから。たとえ俺の製品が完全にオープンソースで自由にフォークできても、意図した通りに動かない時に評判が悪くなるのは俺なんだ。俺はユーザーともっと直接的な関係を築きたい。サポートする全ての環境で自分でソフトウェアをビルドしてテストしたいし、問題があった時はユーザーから直接聞きたいんだよ。
Fedoraだけが自分のFlatpakリポジトリにものを入れられるんだろ。それは彼らをゲートキーパーにしてる。なんでリポジトリが必要なんだ?同じことなら、Mozillaが公式サイトにFirefoxのFlatpakファイルを置いて、それがFirefoxをインストールする推奨される方法になればいいじゃん。
もちろん誰でも(Mozillaも含めて)自分のリポジトリを作れるし、そうすれば好きなリポジトリからインストールできる。でも、それって結局、何でもダウンロードしてインストールするのとどう違うの?しかも、それは仮定の話だ。Mozillaはそんなことしてないし、そういうのは一般的じゃないんだ。
AppleとMSが署名を通して強制してるのは、インストールして実行するものが、彼らの審査を通った有効な証明書を持つ誰かによって作られたってこと。
Flatpakがまだ解決してない問題は、Mozillaのような企業が、最新バージョンのアプリを全てのLinuxユーザーに配布する良い方法がないこと。だから彼らは代わりに公式サイトにtarballを置いてるんだ。
Flathubは審査されてないわけじゃない。提出されたものは全部人間がレビューするよ。不要な権限が必要なソフト(例えば、ホームフォルダやインターネットアクセスが必要なアラーム時計プログラムとか)は却下される。開発者がソフトをアップデートして必要な権限を変更したら、またレビュー通るまで配信されない。オープンソースならコードはFlathubのビルドサーバーで検証されてる。開発者のコードと配布されるバイナリが一致するか確認できるってこと。クローズドソースパッケージには、Flathubのページにデカデカと警告が表示される。伝統的なディストロのパッケージングモデルだと、メンテナーになるのは大変で最初のレビューはあるけど、通常はその時点以降はレビューがない。最近の例だと、OpenSUSEのDeepin DEの問題見てよ。OpenSUSEのセキュリティチームが Deepin DEのコンポーネントを却下したのに、メンテナーが無害そうなパッケージに紛れ込ませて、誰も数年間気づかなかった。これはメンテナーが認定されたからって悪意あるコードを入れないわけじゃないっていう、伝統的モデルの弱点だと思う。
< Now I can run my latest user softwares on a stable distribution. That’s pretty cool.>
ちょっと困惑してるんだけど。安定したディストリビューションの全てのポイントって、最先端のユーザー空間を持たないことなんじゃないの?それは本質的に両刃の剣だよ。
もし単に混ぜ合わせたいだけなら、昔から(例えば)debian stableの下でdebian testingのchrootを実行することはできたし。Nixみたいなのはそのもっと極端なバージョン。そうなると、Flatpakのポイントはサンドボックスか、あるいは配布モデル(つまりオリジナル作者から直接ソフトを入手できること)のどっちかだよね。
< That’s how open source works:>
オープンソースはそうやって機能するって言うけど、現実にはそうじゃないのが面白いよな。パッケージはごく一部のメンテナーによって大量にパッケージングされ、誰からも感謝されない仕事をしてる。なんか”コミュニティ”とか”パッケージを使う人”が突然目覚めて”よし、このソフトをパッケージングしよう”ってなるわけじゃないんだ。これが元のコメントでErlangの例を出した理由だよ。
< In the open source world, most people are freeriders.>
あんたの暴論ともう話がそれまくるのに疲れてきた。< No! No no no no! If they don’t want to put efforts into that, they don’t have to. They could use Ubuntu>
あんたはわざとポイントを外してるか無視してる。パッケージマネージャーとパッケージフォーマットがいくつある?それぞれの形式にコードをパッケージングするのは、同じコードを、文字通り同じLinuxのために、ただ誰かが”これが唯一正しいやり方だ”っていう超主観的な意見を持ってるだけで、無駄/重複した努力なんだ。 dpkg, flatpack, nix, pacman, rpm, snapとか、他にもいくつか。誰かが”フリーローダーじゃない”とか”Windows思考じゃない人”とか、そういう意識の流れでやってるだけ。< Don’t use Gentoo if you don’t want to, and leave me alone! Don’t try to solve my problems, you’re not even a Gentoo user.>
言いたいことは全部言った。あんたはわざと自分の頭の中の声とだけ話すことを選んだ。悪いけど、その声は聞こえないから。だから、さようなら。
ダウンボートされてるけど、うん、ディストロがオリジナルの名前と同じ名前で、独自のパッチを当てたパッケージをリリースするのは結構悲しいことだよね。ああいう時は名前を変えるべきだと思うわ。ディストロ名とかの接頭辞/接尾辞をつけるだけでもいいのに。
