• # Dépendances

    Posté par (site web personnel) . En réponse au journal Flatpak. Évalué à 10.

    Les versions obsolètes contenant des failles de sécurité
    Pas de réutilisation des bibliothèques du système (inconvénient, ou avantage...)

    Pour moi, c’est ça le vrai problème de FlatPac, AppImage, Docker, Go et plus ou moins tout ce qui embarque en dur la liste de ses dépendances.

    Ça transforme de facto le mainteneur de l’application en le mainteneur de l’ensemble de ses dépendances.
    À la moindre modification d’une dépendance, pour cause de fix de sécu par exemple, il faut explicitement reconstruire toute la chaîne jusqu’à l’image finale (les overlay chez Docker, les runtime chez FlatPak, etc).

    Ça donne une longue traîne de trucs pas patchés parce que quelqu’un s’est endormi quelque part sur la chaîne.
    Je serais par exemple curieux de connaître le nombre d’images Docker basées sur Alpine qui sont maintenant fixées depuis la grosse CVE de fin septembre.

    Ça incite les gens à ne pas mettre leurs applications à jour et à utiliser des trucs complètement dépréciés au motif qu’avec FlatPak, ça tourne.

    Bref, c’est un joyeux bordel au niveau sécurité.