Ich sehe immer wieder mal Programme wo ich mir nicht sicher bin, weil ein Flatpak aktueller ist. Zum Beispiel KeepassXc. Das Flatpak ist aktueller als das aus dem Repo betrffend Sicherheit frage ich nun für welches ich mich entscheiden soll.
Wi handhabt ihr das?
Wo kann ich auf der Flathub Seite erkennen ob ein Flatpak vom Entwickler stammt?
Auf der KeePassXC Website wird auf dieses Flatpak als offizielles Flatpak hingewiesen.
Auf der beta Seite von flathub (beta.flathub.org) wird, wenn man nach KeePassXC sucht, angezeigt, dass den Herausgebern die Domain keepassxc.org gehört, also ist das Flatpak offiziell. Ich finde die Beta Flathub Seite generell besser.
Ich glaube ich habe mal gehört, dass man mit der Flatpak u. Snap Version von KeePassXC das Browser Addon nicht nutzen kann. Da müsstest du noch einmal nachgucken.
Wenn es um eine Debian-Distribution oder ein Derivat handelt, verwende ich immer das Paket aus der Distribution. Wenn ein Programm einmal seine Funktion grundsätzlich erfüllt, kommen meist nur noch Komfortfunktionen hinzu. Gerade diese Funktionen bringen gerne mal ungewollt Lücken mit sich.
Bei einem Debian-Paket hat ein Mensch den Code ausgepackt, gebaut, an Distributions-Standards angepasst und mit dem Resultat ein Paket gebaut. Meist sind die Maintainer auch aus dem jeweiligen Bereich und können die Änderungen des Autors zumindest beurteilen.
Bei einem Flatpak bekomme ich irgendwas. Nicht immer ist es so leicht wie im genannten Beispiel den Autor herauszufinden. Und selbst wenn man das weiss: Wer garantiert, das das verteilte Paket auch aus der gleichen Quelle stammt?
Im Falle einer elementaren Software wie Keepass würde ich erst recht immer das Distributionspaket verwenden.
Das habe ich mich eben auch gefragt.
Du meinst mit Derivat dann auch Ubuntu, Mint, PopOs usw.
Wer baut denn diese Flatpaks bzw. gibt es Flatpaks die auch direkt von den Entwicklern gebaut werden oder sind das andere?
Und die höheren Versionsummern von Flatpak, woher kommen die?
Das Original hat ja nie eine solch hohe Nummer.
Hängt ja davon ab wie häufig Ubuntu und Derivate die Pakete aktualisieren. Welche Version hat denn MX in den offiziellen Repos? 2.6.6?
Wenn Du das Aktuellste willst bleibt nur der Weg über PPA oder Flatpak/Snap.
Wenn ich richtig gesehen habe kommt 2.7.4 mit Ubuntu 23.04 lunar lobster. Wann es dann in den Derivaten aufschlägt bleibt abzuwarten.
Mein Favorit wäre das zu Deiner Distro passende PPA.
Wie gesagt, auf der Beta Seite von Flathub kann man lesen, dass den Maintainern des KeePassXC Flatpaks auch die Domain keepassxc.org gehört. Also ist das Flatpak offiziell und vielleicht auch durch neue Versionen sicherer.
Ich möchte hier als Beispiel gerne den Ungoogled-Chromium „einwerfen“, für den es unter MX Linux erst gar keine Distributionsquelle zu geben scheint, auch keine veraltete. Hier bleibt dann nur das Flatpak-Repo (Eloston) übrig.
Bei mir enthält das MX-Linux - Repository die original Chromium-Version aus dem Debian Repository. Die heißt zwar nicht „ungoogled“ ist aber mindestens so streng entgoogled wie der „ungoogled“.
Quelle: Ungoogled Chromium im alten Forum
"Und dann probier als erstes den Chromium aus dem Repo. Die Teams arbeiten zusammen. Debian ist tatsächlich STRENGER als ungoogled-chromium. "