Repo (apt) of Flatpak

ene kant is de versie uit linux mint de stable versie dus kan soms beter zijn maar als je specifieke verbeteringen wil hebben dan kun je mischien de nieuwere versie kiezen of als er een specifieke cve is voor een vulnerability can het soms beter zijn om de nieuwere versie te installeren.

Ligt eraan of de flathub versie verified is. In dat geval zou de flathub versie mijn voorkeur hebben boven de repository versie:
https://docs.flathub.org/docs/for-users/verification

What is a verified app?

A verified app on Flathub is one whose developer has confirmed their ownership of the app ID using a uniquely generated token. This usually also may mean that either the app is maintained directly by the developer or a party authorised or approved by them.

In het geval van https://flathub.org/apps/org.gnome.Evolution is dit daadwerkelijk het geval (zie het vinkje voor de naam van de beheerder):

The ownership of the org.gnome.Evolution app ID has been verified by mcrha on GNOME GitLab

Het is altijd een balans van wat ouder maar bewezen stabielere versie vs bleeding-edge maar met de kans dat er problemen en bugs in kunnen zitten. En afhankelijk wat je wil is je keuze. op mijn debian machine draai ik het meeste in stable. en update ik alleen als ik bepaalde features wil hebben of als ik weet dat er wat problemen met de debian versie zijn.

Ik denk dat goed onderhouden Flatpak packages eigenlijk altijd wat betreft prestaties, stabiliteit en meestal ook veiligheid beter werken. Dit omdat de gebruikte bibliotheken aangepast zijn naar de beste (geteste) versies voor het programma, i.p.v. wat er zo die dag op de repositories is gezet.

Ik heb weleens gelezen dat niet alle kwetsbaarheden ook daadwerkelijk CVE's toegewezen krijgen en daardoor soms niet gebackport worden, maar omdat ik de bron zo niet meer kan vinden durf ik dit niet al te stellig te beweren. Wel is het zo dat nieuwe software niet alleen fixes bevat voor kwestsbaarheden, maar ook nieuwe security features. Die mis je wanneer je te lang op oude software blijft hangen. Daarom kies ik zelf voor Fedora, waarbij je vaak het nieuwste van het nieuwste krijgt, boven distro's als Debian of Mint. Een voorbeeld is Wayland, die Fedora als een van de eerste distro's als default gebruikte, terwijl Mint naar mijn weten nog altijd op X11 zit. Aan het gebruik van de nieuwste software zit wel een klein nadeel: je levert er stabiliteit voor in. Stabiliteit in de zin van: het kan voorkomen dat er na een update iets niet meer correct werkt. Komt weinig voor, maar is wel vervelend wanneer dit gebeurt.

Afijn, je vraag ging over Flatpaks en niet over distro's. Flatpaks draaien in een sandbox. Hoe veilig die sandbox vandaag de dag is? Geen idee. Maar ik zie het als een extra laagje beveiliging, waardoor Flatpaks voor mij de voorkeur hebben boven apps uit traditionele repo's, mits de Flatpaks uit een betrouwbare bron komen. Flatseal kan helpen om rechten te beperken van apps die toegang tot alles willen.

Uiteindelijk is de vraag: hoeveel veiligheid heb je precies nodig? Hoeveel heb je daadwerkelijk aan nieuwe security features? En hoeveel meer risico loop je (en waarop precies) met oudere software + gebackporte security patches vs. bleeding edge? Ik vind dat heel lastig te zeggen, want ik schaar mezelf onder de 99% van de online mensen die eigenlijk onvoldoende kennis van zaken heeft om echt iets zinnigs hierover te kunnen vertellen. Dus het enige advies dat ik echt kan geven is: doe research en kies bedachtzaam welke bronnen je verstandig vindt om te vertrouwen. En check of die bronnen uptodate zijn. Dat de sandbox van Flatpaks jaren geleden makkelijk te omzeilen was, wil niet zeggen dat dit nog steeds zo is.

Edit: misschien nog goed om te vermelden dat traditionele repositories ook een voordeel hebben: als een library een security patch krijgt, dan hoeft deze maar één keer te worden geupdate voor alle apps die er gebruik van maken. Met Flatpaks worden alle dependencies meegeleverd, dus als iemand geen updates meer uitbrengt voor een app dan zal een bepaalde kwetsbaarheid ook niet gepatcht worden.

[ Voor 16% gewijzigd door Denoiser op 13-05-2025 17:34 ]

Persoonlijk draai ik bewust prive server en desktop op 1 systeem waarbij server belangrijker is dan desktop. Om die reden heb ik gekozen voor AlmaLinux (RHEL clone) en niet een meer desktop friendly distro.

Voor mij zijn flatpaks echt een uitkomst, voordat dat er was was het veel geklooi met 3rd party repo's of zelfs zelf maar packages bouwen. Nu kan ik gewoon de meeste software via flatpaks installeren en heb ik ook gelijk een up2date versie. Ook het sandbox principe vind ik een mooie bijkomstigheid. Aan de andere kant: het komt voor dat er flatpak specifieke problemen zijn die je niet hebt met native packages. Dus voor zoiets als Evolution maar ook FIrefox of Thunderbird zou ik gewoon de distro specifieke packages gebruiken.

En nog een nadeel: flatpak is eigenlijk puur voor de desktop kant van het verhaal, cmd line / server apps zijn niet echt de bedoeling. Iets dat snap wel doet.