24.09.2020

Linux Mint будет блокировать скрытую от пользователя установку snapd


Разработчики дистрибутива Linux Mint заявили, что в грядущем выпуске Linux Mint 20 не будут поставлять snap-пакеты и snapd. Более того, будет запрещена автоматическая установка snapd вместе с другими пакетами, устанавливаемыми через APT. При желании вручную пользователь сможет установить snapd, но его добавление с другими пакетами без ведома пользователя будет запрещено.

Суть проблемы в том, что браузер Chromium распространяется в Ubuntu 20.04 только в формате Snap, а в DEB-репозитории размещается заглушка, при попытке установки которой в систему без спроса устанавливается Snapd, осуществляется подключение к каталогу Snap Store, загружается пакет Chromium в формате snap и запускается скрипт переноса текущих настроек из каталога $HOME/.config/chromium. Данный deb-пакет в Linux Mint будет заменён на пустой пакет, не выполняющий каких-либо действий по установке, но выводящий справку о том, где можно самостоятельно получить Chromium.

Компания Canonical перешла на поставку Chromium только в формате snap и прекратила формирование deb-пакетов из-за трудоёмкости сопровождения Chromium для всех поддерживаемых веток Ubuntu. Обновления браузера выходят достаточно часто и новые deb-пакеты приходилось каждый раз досконально тестировать на предмет возникновения регрессий для каждого выпуска Ubuntu. Применение snap существенно упростило данный процесс и дало возможность ограничиться подготовкой и тестированием только одного snap-пакета, общего для всех вариантов Ubuntu. Кроме того, поставка браузера в snap позволяет запускать его в изолированном окружении, созданном при помощи механизма AppArmor, и защитить остальную систему в случае эксплуатации уязвимости в браузере.

Недовольство Linux Mint связано с навязыванием сервиса Snap Store и с потерей контроля за пакетами в случае их установки из snap. Разработчики не могут внести исправления в подобные пакеты, управлять их доставкой и проводить аудит изменений. Вся связанная с пакетами snap активность ведётся за закрытыми дверями и не подконтрольна сообществу. Snapd выполняется в системе с правами root и представляет большую опасность в случае компрометации инфраструктуры. Возможность переключения на альтернативные каталоги Snap не предоставляется. Разработчики Linux Mint считают, что подобная модель мало чем отличается от поставки проприетарного ПО и опасаются внесения неконтролируемых изменений. Установка же snapd без ведома пользователя при попытке установки пакетов через пакетный менеджер APT сравнивается с бэкдором, подключающим компьютер к Ubuntu Store.

Источник: https://www.opennet.ru/opennews/art.shtml?num=53073

Добавить комментарий