Dieser Artikel (in dem es eigentlich um die Zukunft von Fedora geht) zeigt, wo es bei den "neuartigen Paketformaten" (hier Flatpak) krankt. Vergleichbar dem gerade ach so beliebten "Bürokratieabbau" in der Politik (der faktisch ja Personalabbau bedeutet) zeigen sich hier die Auswirkungen, wenn man sich den Paket-Maintainer der jeweiligen Distribution "sparen" will. Von Anfang an war ich gegenüber diesen "neuartigen Paketformaten" ("Neuland"? ) skeptisch und habe sie bis heute daher noch nie eingesetzt. Man kann ja die Backport beispielsweise bei Debian ( WP , Debian , Debian Wiki ) kritisch betrachten (was ich ebenfalls tue), aber hier schaut wenigstens ein Maintainer der jeweiligen Distribution mal drüber. So ärgere ich mich, wenn Generic-Pakete zwar auf mehreren Distributionen lauffähig sein sollen, dies faktisch dann aber nicht tun (weil sie eben kein "Jemand" auf ihre Lauffähigkeit und Funktion hin getestet hat). Dies prangere ich an - wohlwissend dass es eigentlich das Ziel dieser neuen Paketformate ist, dass sie "überall" laufen können sollen. Wenn hier aber der Maintainer "weggespart" wurde, dann habe ich nichts mehr als ein "aktuelles", dafür aber ungepflegtes Paket, was schlimmstenfalls nicht oder nicht richtig läuft. Auf solch einen Murks kann zumindest ich verzichten und bin daher weiterhin ein Fan der klassischen Distributionen.

Ich kann dir da nur zustimmen. Mir sind die klassischen Distris auch lieber. Netter Artikel, jedoch sehr Fedora-lastig und nicht mal eben so Distri-übergreifend übertragbar. Am meisten vermisse ich ein vernünftiges Bug-Tracking Sicherheitskonzept. Im Fedora Flatpak Issue Tracker haben sich gerade mal 53 Bugs in 2,5 Jahren angesammelt, von denen 36 bearbeitet wurden und 17 offen sind. Für eine Testing Bastel- und Spielwiese mag das ja ausreichen, aber für produktives Arbeiten hab ich andere Anforderungen.

Aufgeschreckt durch einen Golem-Artikel im August (Tracker-verseucht, daher verlinke ich den hier nicht), habe ich zu dem Thema noch mal ein wenig quergelesen. Ich habe ja schon bei rollenden Distributionen ein ungutes Gefühlt (nicht nur bei Arch und ihrem dauerkaputten AUR), auch wenn diese mich gerade sehr interessieren , da hier der Zielkonflikt Aktualität vs. Stabilität/Sicherheit besteht. Aber bei diesen "neuartigen Paketformaten", die quasi von jedem Honk mehr oder weniger zusammengedengelt werden können, rollen sich mir endgültig die Fußnägel hoch und ich lasse so etwas konsequenterweise nicht auf mein System los (verfolge aber, was sich dort tut). Die Fragestellung ist nicht neu und über die Jahre sind dazu etliche Medienberichte zusammengekommen, von denen (auch wenn manches davon heutzutage nicht mehr stimmen mag) ich hier mal einige exemplarisch in alphabetischer Reihenfolge zur Verdeutlichung der Problematik zusammentrage. Der Vollständigkeit halber muss natürlich angemerkt werden, dass versucht wird, diese Pakete via Sandboxing vom System zu trennen, was Manche sogar als Sicherheitsgewinn betrachten (was aber nicht ausschließen kann, dass diese Pakete selber kaputt oder kompromittiert sein könnten - nur können sie dann etwas weniger Schaden anrichten). Genau so erinnere ich mich an erst kürzlich verteilte gehintertürte Distributionspakete, die dem Qualitätsteam durchgerutscht sind. Und sogar gefälschte ISOs sind schon aufgetaucht. (Exkurz: Würdet ihr in diesen Tagen russischen oder chinesischen Distributionen vertrauen? Und in Zeiten von Trump amerikanischen?) Dem gegenüber stehen inzwischen die sog. Unveränderlichen Distributionen , die mit ihrem völlig neuen Ansatz ein OS zu bauen und zu betreiben in ihrer Radikalität mit einigen Vor- und Nachteilen wiederum sehr spannend sind (was auzudiskutieren ein separates Thema ist) Dies stellt einen so fundamentalen Bruch der bisherigen Distributions-Tradition dar, wie SystemD bei den Init-Systemen (ebenfalls mit zahlreichen Vor- und Nachteilen).

• Computerbase Forum: Flatpak vs. RPM? Sind Flatpaks überhaupt sicher? (2022, ganz forentypisch mit viel Kleinklein)
• Linux Bibel: Flatpak und Snap - die Unterschiede (2023, Grundlagenartikel)
• Linux Community: Sicherheitskonzepte von Flatpak und Snap unter der Lupe (2017, sehr umfangreich)
• Linux Community: Flatpak, Snap und AppImage im Vergleich (2018, ebenfalls sehr ausschweifend, bewusst ohne abschließendes Urteil)
• Linux Magazin: Sicherheitsprobleme beim Umgang mit Docker-Images (2017, über den schwierigen Versuch hier Sicherheit rein zu bekommen)
• Rene Fürst: Ubuntu Snap - Gut oder Böse? - Sicher oder unsicher? (2022, exemplarisch wird gezeigt, wie man mit Snap einfacher zum Ziel kommen kann, statt mit einem riesigen Ubuntu/DEB-Paket-Overhead auf die Nase zu fallen)
• Gerrit Heim (der ganz unideologisch auch im Bereich OpenSource unangenehme Wahrheiten anspricht und daher auch bei anderen Themen eine dringend zu beachtende Stimme ist): Flatpak / Snap vs. Paketverwaltung - Alles was dazu gesagt werden muss (2021, fasst wunderbar und kompakt alle Vor- und Nachteile der verschiedenen Paketformate zusammen)
• Michael Kofler: Flatpak und Snap - Statusbericht (2025, spielt primär auf den enormen Platzbedarf der Pakete an)
• Christian Stankowic: AppImage, Flatpak und Snap im Vergleich (2021, Grundlagenartikel, Zusammenfassung eines Vortrags)

Immerhin ist inzwischen wohl das Problem erkannt und an einer möglichen Lösung gearbeitet worden, wie z.B. die "Linux Bibel" über das Tool Grype berichtet (2025).