Gnucash的平板电脑在网上银行使用安全吗？

Question

我能信任(官员)吗？GnuCash Flatpak，从这里链接到这里？

跟进这个问答之后，我会问自己是否可以信任这，同时铭记这。

其他的选择是使用PPA，自己从源代码编译，或者等待很长时间直到Ubuntu在其repos中包含了最新版本的GnuCash。

我猜想PSD2 2的S双因素认证本身增加了相当多的安全性，但我仍然不确定是信任平板电脑，还是信任PPA。

相关链接(S)：

• https://askubuntu.com/questions/1179175/are-snap-and-flatpack-apps-safe-to-install-are-they-official-approved-or-tes
• https://askubuntu.com/questions/35629/are-ppas-safe-to-add-to-my-system-and-what-are-some-red-flags-to-watch-out-for

Answer 1

正如其他人所提到的，我认为这个问题归结为“我能相信Flatpak是一个提供软件的实体吗？”

Flatpak“安全问题”

除非Flatpak本身存在任何严重的、目前未知的漏洞(例如privesc)，那些与Flatpak相关的“问题”似乎不适用于您的关注，并且可以被揭穿。

• 许多Flatpak应用程序都具有文件系统写权限。
• 大多数Flatpak应用程序不是在沙箱中运行的。

是的，除非您使用的是精确配置的SELinux或AppArmor配置文件，否则从源代码或通过包管理器构建/安装的所有应用程序都存在这些问题。

• 应用程序和运行时的缓慢/无关键安全更新

取决于谁提供/维护应用程序。与许多常规项目没有什么不同，有时甚至是发行版。

由于您的关注似乎是关于应用程序本身的完整性，我不认为这些问题适用。

你能信任弗拉塔克？

提供的GnuCash吗？

我认为这是问题的核心。我的回答非常类似于您提供的第一个AskUbuntu链接。

由于Flatpak是从GnuCash的网站链接到的，它似乎或多或少是官方的，而且开发者被列为"GnuCash项目“。理论上，在Flatpak映像中运行的代码应该与官方版本中的代码几乎相同。构建过程相当开放；您可以看到GnuCash是如何打包在GitHub上的。

这是假设Flatpak/Flathub不是恶意的(或被破坏的)。我想，如果您愿意，可以验证包中的二进制文件是否与“可信的”二进制文件相匹配，但这可能是一项相当大的任务。像Flatpak这样的实体可能会受到社区的大量审查，所以任何重大的错误(特别是对于像GnuCash这样的项目)都可能不会被忽视。

但是，“我能否信任供应商XYZ”这个问题无法得到明确的回答。每次我们从任何地方下载软件时，我们都会做出这个决定。

TL;DR:最终取决于您信任哪些软件/供应商，但我认为使用通过Flatpak提供的GnuCash没有问题。