@cnt2ex #80 @adoal #81
我不知道哪条回复让你们得出“所有 security critical 的程序都必须要一直升级”的含义。
我说的是浏览器必须要一直升级，因为：
1. 浏览器是 security critical 的。
2. 浏览器的攻击面巨大（ jit 需要违背 w^x ）。
3. 浏览器的复杂度非常高。
4. 大部分安全漏洞不会收到 cve ，也不会被 backport 。
5. 基于以上原因，无论浏览器开发商还是 os 厂商都没有办法长期可靠的 backport 所有安全更新并维护旧版本，尤其是 10 年起步的 lts 更是几乎不可能。
因此，浏览器必须要一直升级，独立于 lts 的仓库以外，无法像其他程序（内核/sshd ）一样收到 lts 的支持。
现在知道我说的什么意思了吗？

最近看到了个新语言 gleam ，有现代的类型系统，运行在 erlang vm 上，适合高并发服务，感觉很适合替代 go 的很多场景。

@shijingshijing #73 snap 不是为了解决这个问题，浏览器不能被包含到主 repo 里，也可以通过其他 repo 安装，并且打包所有不兼容的依赖库，只是 ubuntu （作为一个 preconfigured 发行版）希望你使用 snap 的方式来安装而已。
snap 客户端是开源的，协议是开放的，也支持 sideload ，没有第三方源只是没人有兴趣部署。
snap 不是容器，你看到的这些缺点不是因为 canonical 技术垃圾，而是因为它的 trade off 不不同。
snap 当然是出于商业目的设计的，docker/podman/flatpak/flathub 这些也一样。
对于不了解也不关心系统是怎么运行的用户，ubuntu/snap 这一套代替他们喜欢的一键脚本和宝塔面板，提供的用户体验是独有的。当你不再是 ubuntu 的目标用户后而习惯使然接着使用 ubuntu ，自然会感觉哪哪都不好用。

@cnt2ex #66 backport 是指把上游更新的代码中部分（需要的功能、bug 修复、安全漏洞修复）移植到旧版而不破坏兼容性。给旧版系统提供新版的包，只是其中一种。
大部分漏洞并不是严重的安全漏洞，甚至没有被认作为安全漏洞就被当作一般的 bug 修了，这些漏洞是不会收到 cve 的。

不知道你要强调的是什么，上面说的很清楚了，浏览器作为足够复杂和足够大攻击面的应用，os 厂商既没有能力也没有意愿为你提供 long term 的安全更新。所以你要安全更新，就只能一直升级到新版，并且不应该被包含在 lts 的 repo 里。
@shijingshijing #65 你说的是两个不同的问题。浏览器不适合包含在 lts 源里，但 ubuntu 推荐你用什么方式去安装最新版的浏览器就是另一回事了。还是那句话，如果你发现你不喜欢 snap ，那你真的确实不适合用 ubuntu ，snap 是给特定的目标群体设计的，ubuntu 这个发行版也是只适合这个群体。snap 不是容器，它的设计有它的 trade off ，比如 snap 可以一键安装 k3s ，并非 linux 用户但工作中需要操作 linux 服务器的开发和运维人员非常喜欢这种功能。

@cnt2ex #58 你要知道大部分的安全漏洞根本没有 CVE ，也不会被 backport 。一个普通用户能提权到 root 的内核，危险性跟一个需要 jit （违反 w^x ）执行任意代码的浏览器根本不是一个量级的。同理 sshd 这些 network facing 的应用同样也是 security critical 。
不同于内核，浏览器的复杂度和攻击面摆在那里，你的 lts 厂商没有不能长期的为其维护 backport 和安全补丁，自然就不应该包含在 lts 的仓库中。

debian 系不适合做桌面，你这种情况不想折腾驱动问题直接上 opensuse 。

@cnt2ex #18 浏览器是 security critical 的，你不会想运行没有安全更新的浏览器访问一个网站直接被 RCE 。
同时浏览器的复杂度厂商也没有办法一直给你 backport 和安全补丁，除非你让 chromium 自己提供 esr 这种通道。
用 LTS 的目的就是不升级，所以原则上 LTS 源不打包浏览器合情合理，进了源他就有义务不能升级一直维护 backport 和安全更新。

@yyzh #8 @Narcissu5 #9 @cnt2ex #10
你说对了，LTS 就是为了能够长时间不升级，ubuntu 的稳定版其实也只是不那么长的 lts 。
所以官方仓库里自然不应该打包 chromium ，因为浏览器是必须要一直升级的程序，无论你通过 snap/第三方仓库等方式安装。
snap 是专为 ubuntu 的目标用户设计的，如果你发现你很讨厌它，说明你已经不再是 ubuntu 的目标用户了，继续使用 ubuntu 确实是习惯使然。

你不要 snap 那你干嘛用 ubuntu ？
还是 LTS 通道，LTS 的更新本来就只有安全更新/bugfix 和 backport ，显然不该包括浏览器这种需要一直更新的程序。
你真的知道 LTS 是干什么的，自己为什么要用 LTS 吗？

pve 其实没什么必要，你只是需要一个管理虚拟机的 gui 而已，直接用 virt-manager 或者 cockpit 就够了。

@NessajCN 就算你 review 所有 diff ，看到这样的 commit message 你会怀疑吗？
https://github.com/tukaani-project/xz/commit/6e636819e8f070330d835fce46289a3ff72a7b89

关于二进制安全，你忽视了 bootstrap 和 reproducible ，如果你的平台没有从源码 bootstrap ，可能你的编译器就已经有后门了，编译出来新的编译器及再编译出来的所有二进制都是污染的。或者你下载到的源码包存在专为你准备的后门？

用 rye ， 相当于 rustup for python

gnome46 自带的就是现有的 wayland 最先进的远程方案了，要是还不能满足你的需求别的更不行。

@cmdOptionKana #63 为什么要扣“扣帽子”的帽子？
我们都知道任何语言都有优缺点，但如果它的缺陷在你感觉而言也成了优势，这种现象将之描述为皈依者狂热。

@kuanat 其实只有一个原因，就是 simplicity 。go 是一个 dsl ，它只是为特定场景设计的，不适合其他场景很正常。你非要把 go 在这些场景的缺陷（如缺乏 sum type/null safety/checked initialization ）解释称 “the go way”更好，其实是一种皈依者狂热。

clash/机场不是设计为让你能够访问 xx 不让你访问的内容，而是为了让你能够访问你“可以”访问，但因为技术限制被“误屏蔽”的内容。因而它们在设计上就没有向任何人隐藏你的任何活动，也没有考虑“安全性”的需求。
如果你考虑“安全性”，你就并不是这些东西的目标用户。

@ysc3839 #15 你搞错了，lxd 可不是 lxc 的升级版，它俩完全是两套对容器在不同层面的封装。
另外 lxc 命令实际上是 lxd 的 client ，lxc-*才是真的 lxc 。只能说 ubuntu 整的东西不适合除了它的目标群体以外的人。

你重置就行了，现在的 android 不允许第三方应用访问硬件 id ，所有其他不变的 id 都是和用户绑定的。
iOS 不了解，不清楚有没有能够重置后仍然持久化的 id 。