snap 已经在污染 apt

211 天前
 unclemcz

前几天是看到这个新闻: https://news.itsfoss.com/ubuntu-24-04-disappointment/

心里想不至于吧,Canonical 这么无良了么?

今天验证了下,握草,真的是这样。

apt 安装 chromium 的时候,会同时安装 chromium-browser 包和 snap 的 chromium,chromium-browser 是一个马甲,实际是使用 snap 的 chromium 。

我只能说,Canonical 我日你先人。

12270 次点击
所在节点    Ubuntu
88 条回复
adoal
210 天前
@cnt2ex 我对你和 @Jirajine 的整个话题没有参与讨论的欲望,他说的因为 security critical 而一直升级的合理性我也不帮他辩护(事实上我也不同意)。

只是针对你说的“一个包 5.1.0 的版本存在严重安全漏洞,我只需要 5.1.1 的版本,或者是 5.2.x 的版本修复这个漏洞,不代表我就一定要更新到 6.8.1”这段。

你认为 5.1.0 有严重 security 漏洞,你升到 5.1.1 修复了,就不需要继续升级了。但如果上游的浏览器开发团队坚持 rolling 发布,过时的版本哪怕安全漏洞也不修,想要解决安全问题就要跟着它升到很信的版本呢?如果 5.1.0 里的某个严重安全漏洞过了很久才被人发现,这时上游发布的版本已经是 5.2.x 甚至 6.8.x 了,它只会在 6.8.x branch 里修这个漏洞,已经不管 5.2.x 了,你还想要一个 5.1.1 ,跟谁去要呢?浏览器团队已经不管这事了。那只能 distro 软对来做 backport……然后这么大一个软件,并不能指望 distro 团队的力量跟的上,即使能力有,也不能指望人家愿意往这上面投精力,毕竟这个“特定的”浏览器没有那么刚需,人家还有肯出 ESR 版的保底浏览器呢。

再重申一边,我不支持 @Jirajine 的观点。我同意你举的例子,很多服务器基础设施软件的安全更新行为足以证明“security critical 这一点,根本无法作为一个包"必须要一直升级的程序"的理由”。但是,回到某个“特定的”浏览器这事,人家上游怎么发版,是人家自己说了算的,人家就是要 rolling ,就是不管旧版本的 branch ,那么对这个“特定的”软件的“security critical”保障,那就只能靠追新来解决。说到底是 symver point release 的 distro 跟 rolling release 的应用程序之间维护方式的矛盾,只是个特例,咱们拿具体程序来讨论的时候就是说的这个特例。
Jirajine
210 天前
@cnt2ex #80 @adoal #81
我不知道哪条回复让你们得出“所有 security critical 的程序都必须要一直升级”的含义。
我说的是浏览器必须要一直升级,因为:
1. 浏览器是 security critical 的。
2. 浏览器的攻击面巨大( jit 需要违背 w^x )。
3. 浏览器的复杂度非常高。
4. 大部分安全漏洞不会收到 cve ,也不会被 backport 。
5. 基于以上原因,无论浏览器开发商还是 os 厂商都没有办法长期可靠的 backport 所有安全更新并维护旧版本,尤其是 10 年起步的 lts 更是几乎不可能。
因此,浏览器必须要一直升级,独立于 lts 的仓库以外,无法像其他程序(内核/sshd )一样收到 lts 的支持。
现在知道我说的什么意思了吗?
adoal
210 天前
晕,两头挨怼。我还是匿了吧。
cnt2ex
210 天前
@Jirajine #82
真无语,看来我说的又没有让你理解。

怎么又回到了之前的原点呢,我说了,需要安全更新不代表需要一直升级。

我前面的例子已经说过了,我已经在 5.1.1 停了,没继续往 6.8.x 版本继续升级了,你知道了吗?看到了吗? 5.1.1 ,不是 6.8.x 。不过我估计你还是没看到。

你要是还不理解我说的什么意思的话,估计之后你也无法理解了。
AstroProfundis
210 天前
@cnt2ex 他想说发行版的打包者没有能力跟上浏览器上游的更新速度,会导致 backport 不及时

我的评价是:这个能力恰恰是发行版搞 LTS 的原因,以及一些厂家拿来卖钱的地方,如果不信任这种能力那就不要用 LTS 直接来愉快地滚 Arch 好了,也犯不上用这种自带一大坨专用依赖的包(
cybort
209 天前
@jinliming2 Ubuntu 的大部分用户并不想这样或者没有精力这样折腾,需要作为默认的行为提供使用便利。
ch3n9w
208 天前
@Jirajine LTS 不能提供常用软件的安全更新, 不是软件的问题, 就是厂商问题, 别扯什么复杂不复杂, 写一个自动化脚本更新很难吗?
xing2387
198 天前
chromium 很久很久前就用 snap 了,比 ubuntu 自带的 firefox 还早,我就换了用 chrome 。我宁愿用 edge 也不要 snap !

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1037576

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX