Wer dachte, dass Ubuntu eines Tages mal Snap aufgeben und stattdessen auf Flatpak setzen würde, muss jetzt stark sein, denn der Ubuntu Gründer Mark Shuttleworth meldete sich mit Klarheit bringenden Worten.
In Rahmen einer Feier zur Veröffentlichung von Ubuntu 22.04 LTS kam es auch zu einer Frage- und Antwort-Session mit Mark Shuttleworth.

Der Ubuntu Gründer wurde gefragt, ob er es jemals in Erwägung zieht, Ubuntu out-of-the-box mit Flatpak statt Snap anzubieten. Seine Antwort auf diese Frage fiel eindeutig aus:
„Ich kann im Moment sagen, dass Flatpak’s für uns nicht funktionieren würde. Ich glaube nicht, dass sie die Sicherheitsgeschichte haben, und ich glaube auch nicht, dass sie die Fähigkeit haben, im Laufe der Zeit die gleiche Integrität der Ausführung zu liefern, die Snaps hat, weil wir diese Dinge in Snaps eingebaut haben.“
[…]
„Ich mag es, dass die Leute unterschiedliche Meinungen darüber haben, wie das Problem gelöst werden kann […], aber ich denke auch, dass wir Entwicklern und Benutzern ein weitaus besseres Erlebnis bieten werden, wenn wir unsere Bemühungen auf etwas konzentrieren, sodass wir wirklich vorankommen.”
Mark Shuttleworth
Mehr zum Thema: Ubuntu 22.04 Jammy Jellyfish – Die beste Ubuntu Version? Wir finden es im Test heraus
Das bedeutet für den Ubuntu Desktop Snap. Ferner ergänzte er, eine enorme Anzahl von Entwicklern und Verbrauchern bevorzugen das Veröffentlichungserlebnis und die Einfachheit, die Snaps auf den Ubuntu-Desktop bringen.

Aber er ging auch auf Kritik zu Snap ein.
„Es gibt definitiv Stellen, an denen wir das Snap-Erlebnis auf dem Desktop verbessern müssen. Startzeiten scheinen wirklich, wirklich wichtig zu sein, also können wir uns darauf konzentrieren. Und auch die Verwaltung der Sicherheitsgrenze […] die Verwaltung der Orte, an denen Sie Ihre Anwendung absichtlich aus dem gesicherten Container-Bereich herauslassen möchten.“
Mark Shuttleworth
Snap vs Flatpak Thematik
Abschließend meinte Shuttleworth, dass das Thema „Snap vs Flaptak“ starke Meinungen und Positionen bei den Anwendern hervorrufe. Er betonte an der Stelle jedoch, dass er selbst ebenfalls leidenschaftlich sei und fügte an, dass „Ubuntu das Recht verdient hat, in die Tiefe zu gehen und die Dinge richtig zu machen und die Wege einzuschlagen, die man erforschen wollen und man mache die Ergebnisse für alle verfügbar, damit alle sie verwenden können aber nicht müssen.“
Die gute Nachricht bei Ubuntu 22.04 ist, dass es nicht schwer ist das System um Snap zu erleichtern, wie ich es bereits für Ubuntu 20.04 demonstrierte. Dies klappt auch mit Ubuntu 22.04 auf gleiche Weise. Und es gibt auch gute Gründe für Flatpak, denn es gibt auch Apps, die eben nur als Flatpak und nicht als Snap veröffentlicht wurden.
Der Sicherheitsaspekt in Verbindung mit Flatpak ist aber definitiv konkret. Es gibt bei Flatpak keine zentrale Trust-Stelle der Software, wie es im klassischen Software-Deployment mit nativen Paketen der Fall ist. Die Paketbauer der Distribution sind die QS Stelle, die die Software der Entwickler für die eigene Distribution paketieren. Bei Flatpak beziehst Du direkt das Entwicklerpaket und musst nehmen, was der Entwickler eingebaut hat. Hier können auch Reste von Software Development Kits enthalten sein, die Telemetrie- oder Diagnosedaten sammeln und senden. Zugegeben, das ist im FOSS Umfeld nicht zwingend an der Tagesordnung, doch gibt es bei den Software Container, egal ob Snap oder Flatpak, auch proprietäre Software wie z.B. Spotify, Slack, Zoom, Microsoft Teams und diese kommen aus einer anderen philosophischen Welt der Softwareerstellung.
Ein Trust-Layer wäre im Kosmos von Flatpak bzw. Flathub in der Tat ein deutlicher Sprung und eine erhebliche Steigerung der Qualitätssicherung. Die Kritik von Mark Shuttleworth an Flatpak ist für mich klar nachvollziehbar. Ob im Umkehrschluss Ubuntu bzw. Canonical als der proklamierte Schutzherr für der QS bei Snap auch so wahrgenommen wird, das zeigt die Zeit. Zumindest dürfte Canonical eine hierfür nötige Reputation besitzen. Sicher würde Canonical die FOSS Gemeinschaft leichter hinter sich versammeln können, würde man die Snap Backendinfrastruktur als quelloffene Software betreiben.

4 Comments