Ein defektes Flatpak-Paket in einem Fedora-Repository löste einen medienwirksamen Streit aus. Obendrein gab es eine handfeste Debatte, ob Distributoren eigene Flatpaks erstellen sollten.

Im Team hinter der Video-Streaming-Software OBS Studio [1] gärte die Wut seit geraumer Zeit. Unaufhörlich liefen Beschwerden bei den Projektverantwortlichen ein. Fedora-Nutzer klagten über Fehler in ihrem eigentlich äußerst nützlichen Werkzeug. Die Probleme hätten die OBS-Studio-Entwickler liebend gern behoben, wenn sie es denn gekonnt hätten. Die faktische Ohnmacht befeuerte ihren Ärger nachhaltig. Die Quelle allen Übels lag in einem Flatpak-Paket. Zunächst entbrannte darum eine hitzige Diskussion über bevorzugte Repositories, die letztlich sogar im Androhen rechtlicher Schritte gipfelte.

Zum Hintergrund: Das OBS-Studio-Team steckt sein Video-Streaming-Programm in ein Flatpak-Paket (Abbildung 1) und stellt es über das offene und etablierte Flathub-Repository zum Installieren bereit. Zahlreiche Distributionen beziehen OBS Studio direkt von dort. Nicht jedoch Fedora – dessen Betreuer packen OBS Studio noch einmal selbst in ein Flatpak-Paket, das sie wiederum über ein eigenes Repository verteilen.

Abbildung 1: Das Paket auf Flathub stammt direkt von den OBS-Studio-Entwicklern.

Fedora bevorzugt absichtlich sein selbstgebasteltes Paket gegenüber dem offiziellen Pendant. Das unmissverständlich zu kommunizieren, scheint für die Projektverantwortlichen bisher aber keinerlei Priorität besessen zu haben. Zumindest erwähnt die Softwareverwaltung dem Anwender gegenüber nichts von dem weitreichenden und folgenschweren Eingriff. Dummerweise lief die OBS-Studio-Variante aus dem Fedora-Paket überaus unrund, womit es keineswegs alleine dasteht.

Dem Irrtum aufsitzend, sie verfügten über das offizielle Flathub-Paket, beschwerten sich viele Anwender direkt bei den OBS-Studio-Machern und damit an der falschen Adresse. Am 21. Januar 2025 verfasste der OBS-Studio-Maintainer Joel Bethke einen Fehlerbericht (Abbildung 2), in dem er das Fedora-Projekt auf die Probleme hinwies. Bethke bat darum, entweder das defekte Flatpak-Paket zu entfernen oder aber klarzustellen, dass es sich nicht um ein offizielles Paket handelte.

Abbildung 2: Die initiale Anfrage des OBS-Teams fiel noch höflich und freundlich aus.

Seine Anfrage [2] war der Zündfunke, auf den hin sich flächenbrandartig eine längere Debatte (Abbildung 3) unter Fedora-Entwicklern und Nutzern ausbreitete. Es ging um die Frage, in welcher Reihenfolge Fedora die einzelnen Repositories bevorzugen sollte [3]. Die Antwort ist nicht trivial, da immerhin noch die klassischen RPM-Pakete existieren. Sie offerieren teils dieselben Anwendungen wie das Flathub-Repository. Nach rund drei Wochen heißer Diskussionen wollte das OBS-Studio-Team jedoch nicht mehr länger warten.

Abbildung 3: Bethkes Anfrage stieß eine lange Diskussion an, unter anderem über die Priorisierung der Fedora-Repositories.

Gepflegt eskaliert

In einem gepfefferten Beitrag forderte Bethke die Fedora-Projektverantwortlichen auf, sämtliche Namen, Logos und sonstige Warenzeichen des OBS-Studio-Projekts aus der Distribution zu entfernen. Man erwarte bis zum 21. Februar 2025 eine Antwort, sonst sähe man sich gezwungen, weitere rechtliche Schritte einzuleiten. Außerdem betrachte man das Flatpak-Paket von Fedora ab sofort als feindlichen Fork. Mit diesem Post schlug der Streit zwischen OBS Studio und Flatpak in der Linux-Community mediale Wellen und fachte zusätzliche Diskussionen an.

Zahlreiche Stimmen drängten Fedora zur naheliegenden Lösung: Die Distribution sollte ausschließlich das Flathub-Repository anzapfen. Schließlich stammt die dort gelagerte Software direkt von den jeweiligen Entwicklern, die wie das OBS-Studio-Team viel Gehirnschmalz in funktionierende Flatpak-Pakete stecken. Die Fedora-Maintainer könnten sich damit nicht nur Arbeit sparen, sondern liefen zudem nicht mehr Gefahr, dass sich fiese Fehler in die selbstgeklöppelten Pakete einschleichen. Doch das ist lediglich eine Seite der Medaille. Tatsächlich gibt es für Distributionen mehrere triftige Gründe, eigene Flatpak-Pakete zu pflegen.

Offenes Sperrgebiet

So darf jeder Entwickler seine Bananensoftware in das Flathub-Repository hochladen, niemand garantiert die Qualität der darin befindlichen Software. Im schlimmsten Fall könnten Angreifer unter fremden Namen Malware einschmuggeln. Die Flathub-Betreiber versuchen, das Problem mit Reviews und einer optionalen Zertifizierung zu mindern. Im Flathub-Repository kennzeichnet ein blauer Haken (Abbildung 4) verifizierte Pakete. Allerdings ist lediglich ein Teil des Softwareangebots zertifiziert. Würde Fedora ausschließlich die Installation verifizierter Flatpak-Pakete gestatten, schrumpfte die Softwareauswahl erheblich zusammen.

Abbildung 4: Der blaue Haken weist auf verifizierte Pakete hin. Das Zertifikat stellt allerdings nur sicher, dass das Paket auch von den tatsächlichen Entwicklern kommt.

Zudem laufen Flatpak-Anwendungen stark eingeschränkt in einer Art Gefängnis. Möchte ein Programm ausbrechen und beispielsweise auf das Netzwerk zugreifen, muss es explizit um die entsprechenden Rechte bitten. Einige Flatpak-Pakete auf Flathub fordern jedoch ohne Not sehr umfassende Zugriffsrechte ein, was wiederum die Sicherheit untergräbt. Für einen auf den Schutz seiner Anwender bedachten Distributor kann es sich deswegen durchaus lohnen, selbst ein Flatpak-Paket zu schnüren, das dann die Zugriffsrechte auf das wirklich Notwendige beschränkt oder sogar die Fähigkeiten des Programms beschneidet.

Volle Kontrolle

Sämtliche Fedora-Flatpak-Anwendungen nutzen in Form einer einheitlichen Runtime denselben Unterbau. Das spart Speicherplatz und beschleunigt die Installation. Anwender wissen außerdem ganz genau, wie lange die Runtime gepflegt wird. Apropos Support: Kontrolliert ein Distributor die Flatpak-Pakete, kann er den Lebenszyklus der Programme selbst bestimmen. Das spielt primär bei Enterprise-Distributionen eine wichtige Rolle, die eine stabile und langlebige Softwarelandschaft verlangen.

Mitunter wechselt eine Software zu einer restriktiveren Lizenz. Solang Fedora die Kontrolle über ein Flatpak-Paket ausübt, hätten die Projektverantwortlichen damit zumindest vorübergehend die Möglichkeit, die ältere Version mit der liberaleren Lizenz weiter anzubieten. Bei neu entdeckten Sicherheitslücken kann der Distributor unter Umständen schneller eingreifen und muss nicht warten, bis die Entwickler das Paket auf Flathub aktualisieren.

Obendrein möchte Fedora langfristig sämtliche Anwendungen als Flatpaks zur Verfügung stellen. Das gilt insbesondere im Hinblick auf Fedora Silverblue, das ein unveränderliches Basissystem nutzt. Allerdings sind nicht alle Programme im Flatpak-Format erhältlich. Dazu zählen zum Beispiel einige Kernanwendungen des Gnome-Desktops. Folglich bleibt dem Fedora-Team nichts anderes übrig, als solche Programme selbst in Flatpaks zu verpacken.

Happy End?

Während die Diskussionen liefen, taten Bethke, die Flatpak Special Interest Group und der Fedora-Projektleiter, was sie längst hätten machen sollen: Sie setzten sich zusammen [4]. In dem laut Bethke ausgezeichneten Gespräch suchte man gemeinsam nach möglichen Lösungen. Die technischen Probleme ließen sich dabei relativ einfach aus der Welt schaffen. Um etwa einen bis dato bestehenden Fehler in der Qt-Runtime zu eliminieren, genügte bereits ein Update des Qt-Frameworks auf eine aktuellere Version.

Eine deutlich größere Herausforderung lag im Ursprung des Streits: Die Anwender wissen schlicht nicht, wem sie ihre Fehlerberichte schicken müssen. Auch damit setzten sich Bethke und die Fedora-Verantwortlichen auseinander. Beide Parteien halten den Punkt momentan für nicht allzu hinderlich – nach der Androhung rechtlicher Schritte überrascht das dann doch ein wenig. Das OBS-Studio-Team bleibt Bethke zufolge aber am Thema dran und möchte sich weiterhin mit seinen Sichtweisen als Upstream-Projekt einbringen.

Fazit

Auf den ersten Blick erscheint es widersinnig, dass eine Distribution bestehende Flatpak-Pakete erneut selbst verpackt und verteilt. Bei näherem Hinsehen sprechen dafür aber gleich eine Menge guter Gründe: Der Distributor erhält mehr Kontrolle und erhöht im besten Fall sogar die Sicherheit. Da umgekehrt jedoch die Gefahr von defekten Paketen steigt, sollten die Maintainer ihre Strategie wohlüberlegt abwägen – oder die Anwender die Softwarequellen wählen lassen. Wie es beim Fedora-Flatpak-Paket weitergeht, stand bei Redaktionsschluss noch nicht fest. Immerhin ist die Forderung, alle OBS-Warenzeichen aus Fedora zu entfernen, vom Tisch – und damit ein Brandherd gelöscht. (csi)