Si usas aplicaciones a través de Flatpak en tu sistema Linux, la versión 1.18 de este framework trae consigo novedades que vale la pena conocer, tanto si eres usuario de escritorio como si te dedicas a gestionar entornos más complejos. Esta actualización no se limita a correcciones menores: introduce cambios concretos en la forma en que Flatpak maneja la integración con contenedores OCI, refuerza el control de permisos y mejora aspectos del rendimiento que se notan en el día a día. Y aunque el nombre Flatpak no siempre aparece en primer plano cuando hablamos de Linux, su papel en la distribución de software ha ido ganando peso con cada versión.
Qué es Flatpak y por qué sigue importando
Para entender el alcance de esta actualización, conviene recordar qué hace exactamente Flatpak. Se trata de un sistema para empaquetar y distribuir aplicaciones en Linux de forma independiente a la distribución que estés usando. La idea central es que una misma aplicación empaquetada con Flatpak funcione en Fedora, Ubuntu, openSUSE o Arch sin que el desarrollador tenga que adaptarla a cada una. Para conseguirlo, cada aplicación se ejecuta dentro de un entorno aislado, el sandbox, que limita lo que esa app puede hacer en tu sistema. Este enfoque resuelve uno de los problemas históricos de Linux: la fragmentación de dependencias. Cada distribución tiene sus propias versiones de bibliotecas, y lo que funciona en una puede no hacerlo en otra. Flatpak lleva años trabajando para eliminar esa fricción, y la versión 1.18 da un paso más en esa dirección al acercarse al estándar OCI, que es el mismo que usan tecnologías de contenedores como Docker o Podman.
Integración con el estándar OCI: más flexibilidad para instalar aplicaciones
Uno de los cambios más destacados de Flatpak 1.18 es la integración con el estándar Open Container Initiative. Hasta ahora, instalar una aplicación en Flatpak requería un repositorio propio del formato Flatpak, como Flathub. Con esta versión, es posible instalar aplicaciones directamente desde imágenes OCI, el mismo formato que se usa en contenedores. Esto abre la puerta a flujos de trabajo más versátiles, especialmente en entornos donde las aplicaciones se distribuyen internamente o en redes sin acceso a internet. También se añade soporte para la instalación y el sideloading desde repositorios y archivos OCI, lo que significa que puedes usar un archivo local con formato OCI para instalar una aplicación sin pasar por ningún repositorio externo. Para quienes trabajan en entornos de desarrollo o en organizaciones que gestionan sus propias herramientas internas, esto simplifica bastante el proceso. Además, Flatpak 1.18 incorpora IDs de colección para remotos OCI y soporte para construir paquetes OCI con capas comprimidas mediante Zstd. Esta compresión reduce el tamaño de los paquetes y el ancho de banda necesario para distribuirlos, algo que se agradece especialmente cuando hay que desplegar actualizaciones en múltiples máquinas.
Control de permisos más granular y mejoras de seguridad
El modelo de seguridad de Flatpak se basa en definir exactamente qué recursos del sistema puede usar cada aplicación. En versiones anteriores, conceder acceso a dispositivos USB era un asunto bastante binario: o le dabas acceso a todo o no le dabas nada. Con Flatpak 1.18 llegan los condicionales de permisos has-usb-device y has-usb-portal, que permiten que una aplicación declare qué tipo específico de dispositivo USB necesita, sin tener que solicitar acceso amplio a todo el subsistema USB del sistema. Esto reduce la superficie de ataque. Si una aplicación solo necesita acceder a un tipo concreto de dispositivo, no tiene sentido que tenga permiso para interactuar con cualquier otro. Es un cambio que va en la línea de lo que lleva tiempo promoviendo el modelo de seguridad de Flatpak: el principio del mínimo privilegio. Para quienes usan hardware AMD, hay una mejora relevante: Flatpak 1.18 añade soporte para el dispositivo /dev/kfd a través del permiso DRI. Este nodo de dispositivo es el que permite a aplicaciones como las de inteligencia artificial o procesamiento de imágenes acceder directamente a la GPU AMD para tareas de cómputo. Que este acceso quede gestionado dentro del sandbox de Flatpak, en lugar de requerir permisos globales en el sistema, es una mejora tanto en seguridad como en claridad de qué tiene acceso a qué. Otro añadido útil es la opción --clear-env para el comando flatpak run. Al ejecutar una aplicación con esta opción, se limpia el entorno del sistema anfitrión antes de lanzarla, evitando que variables de entorno del host puedan influir en el comportamiento de la app dentro del sandbox.
Rendimiento, experiencia de uso y detalles que se notan
Más allá de los cambios estructurales, Flatpak 1.18 incluye mejoras en el rendimiento y en la experiencia de uso que, aunque más discretas, acaban siendo las que percibes en el uso cotidiano. Una de ellas es la activación de la extensión VA-API para GPUs Intel Xe, lo que mejora el rendimiento en tareas de codificación y decodificación de vídeo para quienes usan ese hardware. También se añade soporte de cancelación para descargas mediante curl. Hasta ahora, interrumpir una descarga en curso podía resultar en un estado inconsistente o en que la operación tardara más de lo esperado en detenerse. Con este cambio, la cancelación es más limpia y predecible. La salida del comando flatpak update también recibe atención: la información que muestra sobre el progreso y los cambios pendientes es ahora más clara, lo que facilita saber qué está pasando exactamente cuando actualizas varias aplicaciones a la vez. Por último, se mejora el tiempo de inicio de la integración con el shell Fish y se corrigen detalles en el manejo de errores para flatpak-coredumpctl. Y se añade soporte para el seguimiento automático de ramas en extensiones, garantizando que las extensiones marcadas como no-autodownload sigan funcionando correctamente cuando una actualización requiere cambiar de rama.
Flatpak ha ido construyendo, versión a versión, una capa de confianza entre las aplicaciones y el sistema operativo. La versión 1.18 no reinventa nada, pero afina los mecanismos que ya funcionaban y añade capacidades que responden a necesidades reales de quienes usan Linux tanto en el escritorio como en entornos más exigentes. Quizás la pregunta más interesante no es qué cambia en esta versión, sino hasta dónde puede llegar este modelo de distribución cuando el ecosistema OCI y el sandboxing terminen de converger del todo.
Fuente: NK sistemas
Añadir comentario
Comentarios