Warum gibt es keine Open Source Software Distribution für Windows?



  • Mit der man per einfachem Paketmanager alle installierte Open Source Software auf dem aktuellen Stand halten oder zumindest Sicherheitspatches einspielen kann?

    Für Linux gibt es ja auch dutzende Distributionen, nur für Windows gibt es keine.





  • https://0install.de/

    Aber wie du schon sagst:

    auf dem aktuellen Stand halten

    Und das muss jemand tun. Technisch ist das ja kein Problem.



  • Nutzt ihr das, also 0install oder chocolatey?
    Wie sind eure Erfahrungen bezüglich Aktualität und stopfen von Sicherheitslücken?

    So nach einem groben Stichprobentest scheint Chocolatey mehr Pakete zu haben, zumindest finde ich dort Stellarium und wireshark, bei 0install fehlt beides.
    GNU bc habe ich bei keinem gefunden.
    putty gibt's für beide.

    Chocolatey scheint nur dann kostenlos zu sein, wenn man sich auf Open Source Software beschränkt.

    Kann man den Paketen bzw. den Personen hinter dem Projekt vertrauen?

    Kann man selber entscheiden wo was installiert wird oder wird das fest vorgegeben?



  • Hier steht:

    Bei Bedarf herunterladen?
    Chocolatey = nein

    http://0install.de/about/product-comparison/?lang=de

    Wieso kann man da nicht bei Bedarf herunterladen?
    Also muss ich vorher, also bei der ersten Installation schon wissen, welche Software ich alles benötige oder wie muss ich das verstehen?



  • Das finde ich doof:

    We do this by caching a copy of the content on our private CDN. This content also gets virus checked and checksummed to verify that it matches what was originally intended by package maintainers and moderators for you to receive.

    https://chocolatey.org/docs/features-private-cdn

    Und bedeutet, kein Virenschutz und keine Signaturprüfung für die Kunden, die bei Chocolate nicht bezahlen.
    Zwar scheinen die Pakete direkt von den offiziellen Projektwebseiten downgeladen zu werden, also bspw. Firefox von Mozilla, Chrome von Google, aber wenn bei einem kleineren Projekt die Webseite gehackt wurde, dann wird chocolatey ungefragt auf eine neue Version updaten, die ein Cracker auf der gehackten Webseite hochgeladen hat.
    Eine Signaturprüfung oder vergleichbares findet nicht statt. Je mehr Pakete man also über chocolatey installiert und je länger man diese über einen bestimmten Zeitraum über chocolatey wartet, desto wahrscheinlicher ist es, dass man sich etwas einfängt.

    Zwar wird für das Installationsscript bei einigen wenigen Paketen vor der Installation so ein Prüfsummencheck durchgeführt, aber der gilt nicht für alle Pakete.
    Bei Gimp findet der z.B. gar nicht statt, wie man am Instllationsscript sehen kann:
    Unter Files auf "tools\chocolateyInstall.ps1 Show" klicken.
    https://chocolatey.org/packages/gimp/2.8.22.20171021

    Hier wird doch tatsächlich erwartet, dass man die Verfizierung manuell selber durchführt und das, wenn das Paket schon längst downgeladen und über choco installiert wurde.
    Siehe unter Files "legal\VERIFICATION.txt Show"

    Für mich ist das ein absolutes NoGo.
    Ob man erzwingen kann, dass nur solche Pakete installiert werden, für das im Installationscript auch ein Prüfsummencheck durchgeführt wurde weiß ich nicht.
    Aber es ist schon doof, dass dies explizit im Installationsscript eingebaut werden muss. Ein Maintainer der das vergisst, bietet somit keine Installationsskripts mit eingebautem Prüfsummencheck an.

    Sinnvoller wäre es, wenn der Paketinstaller das Vorhandensein von Checksummen im Script vorschreibt und das auch sicherstellt, dass da welche drin sind.
    Also IMO ein Fehler by design, wenn das nicht erzwungen wird.

    Da scheint Zero Install wesentlich besser zu sein:

    -Feeds (Dateien die Anwendungen beschreiben) sind mit GnuPG Signaturen signiert. Dies stellt sicher, dass zukünftige Updates immer noch vom selben Publisher stammen, wie das Orginal.
    -Heruntergeladene Anwendungen werden mit SHA-256 Hashes verfiziert, um sicherzustellen, dass sie nicht beschädigt oder manipuliert wurden.
    -Das Synchronisations-Feature verwendet Client-seitige AES Verschlüsselung sowie eine HTTPS Verbindung.

    https://0install.de/about/security/?lang=de

    Bei 0install scheint man den Prüfsummencheck immer durchzuführen.
    Ich werde mir das aber auch nochmal genauer ansehen.



  • 11. Chocolatey is run by a US-based Delaware Corporation named Chocolatey Software.

    https://chocolatey.org/security

    Selbst wenn das Installationsscripts Checksummen einbaut, wäre es denkbar, dass bspw. die NSA auf dem Server des offiziellen Pakets eine Datei plaziert und dann bei Chocolatey ein Installationsscript mitliefert, welches über passende Checksummen zu dieser Datei verfügt.



  • 9. ...
    Chocolatey v0.10.0+ enforces a checksum requirement for non-secure locations by default and is hoping that secure downloads will also become a requirement in 2017 for all new packages and versions submitted to the community repository.

    https://chocolatey.org/security

    Checksummenprüfungen werden nur dann erzwungen, wenn die Projektseite einer Software keine sichere Downloadmöglichkeit bietet.
    Z.B. FTP anstatt HTTPS.

    D.h. maniupuliert ein Hacker eine HTTPS Seite, dann gibt es keine Prüfung des manipulierten Binarys das dort vom Hacker plaziert wurde. Chocolatey installiert es schön brav.

    Übrigens muss man sich zum Schreiben von Chocolatey ziemlich verrenken, mir wäre es lieber gewesen, die hätten sich einen anderen Namen ausgedacht.



  • * We don't require cryptographically signing packages yet, that is a future enhancement
    * Checksumming is a requirement for non-secure scenarios, but is not yet a requirement in some scenarios, so keep reading the next section.

    Ja, zwei Punkte, an denen sollten sie dringend arbeiten. Bis dahin werde ich deren Distribution nicht einsetzen.



  • Was mir noch auffällt, ist das durchaus noch ein sehr großer Unterschied zwischen Chocolatey und einer Linux Distribution besteht.

    Chocolatey nimmt die Pakete von der offiziellen Projektwebseite wie sie sind.
    Hat man bspw. mehrere Open Source Projekte über Chocolatey installiert und brauchen die alle die gleiche Lib, z.b. zlib, dann wird letztere auch mehrmals installiert.

    Bei Linux Distributionen ist das nicht so, da wird die gleiche Lib nach /usr/lib installiert und die Anwendungen werden gegen diese gelinkt, womit sie genau diese sich Teilen.
    Man spart also jede Menge Festplattenplatz. Bei Chocolatey hat man weiterhin einen unnötigen Mehrverbrauch an Speicherplatz.

    Ebenso bauen die Linux Distributionen die binarys selber und liefern gegebenenfalls noch eingebaute Patches mit, die dann in einem eigenen Versionierungsschema vermerkt werden.
    Bei Chocolatey fällt das weg, da wird einfach die neuste Version des hoffentlich (siehe oben) offiziellen Pakets installiert.

    Gibt's irgendeine Open Source Software Distribution für Windows, die das so macht wie die Linux Distributionen?



  • Da gäbe es noch MSYS 2. Ist im Prinzip Cygwin (Posix Layer) + Pacman (Paketmanager von Arch Linux). Repositories mit den Build Rezepten kann man unter https://github.com/msys2/msys2 sehen. Letztendlich installieren tut man vorkompilierte Binärpakete auf Basis dieser Rezepte. Man kann sich die Pakete aber auch selber bauen wenn man unbedingt mag.

    Unter Windows 10 wäre aber inzwischen WSL auch eine alternative. Da hat man dann tatsächlich ein Linux Repository als Quelle.

    Das reicht aber alles nur so weit wie der GCC (oder Clang?) involviert ist. Wenn man sich z.B. einen Chromium bauen will, geht das offiziell nur mit dem Microsoft Compiler, und da bringt dir dein bereits installiertes zlib für den GCC nichts, weil es nicht komplett kompatibel ist.


Log in to reply