Sehr spannend wie hier Administratoren und reine Anwender aufeinander knallen. Natürlich will der reine Anwender nur die Anwendung nutzen und ihm ist es egal wie es funktioniert, Hauptsache es funktioniert und die Version mit dem Feature welches er braucht.
Und wie es halt so ist: Um Sicherheit macht sich der Anwender keine Gedanken. Die meisten Linux-Nutzer werden gar nicht wissen was hinter einem Paket-Repository steckt und welche Verantwortung Maintainer haben. Nein, da werden nicht einfach nur Dinge "irgendwie" kompiliert und zusammengepackt. Beim Kompilieren kann man schon durch falsche Flags Fehler machen und oftmals führen die Pakete auch Skripte aus (User-/Verzeichniserstellung, Rechteanpassung...). Und ganz wichtig: Die Deinstallationsroutine sorgt dafür, dass alles wieder rückstandslos entfernt werden kann. Eine doch recht wichtige Funktion die viele Leute so bewusst gar nicht wahrnehmen.
Zu glauben, dass jetzt jedes Projekt in der Lage ist entsprechend qualitative Pakete zu bauen ist einfach lächerlich und entbehrt jeglichen Grundlagen. Aber es interessiert den gemeinen Anwender nicht.
Ja, wer heute Debian Jessie installiert kann von Haus aus kein HTTP2. Unglaublich, ist aber so. Man kann nicht einmal einfach die entsprechenden Pakete selber bauen, weil die größte Abhängigkeit, OpenSSL, zu alt ist. OpenSSL ist nun aber nichts, was man mal eben aktualisiert (hier muss man aufpassen, sonst brechen alle Pakete die gegen die Debian-Version linken). Wenn jetzt nginx oder Apache-Pakete mit gebündelten oder statischen OpenSSL-Pakete daher kommen führt das wozu? Genau: Bei der nächsten Lücken wird man evtl. die System-Lib per Update-Mechanismus des Betriebssystem schnell aktualisiert bekommen aber woran keiner denken wird sind die ganzen 3rd-Party Pakete die gebündelte/statisch gelinkte -- nun veraltete und verwundbare -- Bibliotheken mitbringen. Wer hier wirklich glaubt, dass jedes Upstream-Projekt zeitnah Updates bereitstellt..
Bei größeren Libs wie OpenSSL mögen sich Lücken auch noch herumsprechen. Aber manche Lib gegen die ein Projekt wegen einer einzigen Funktion linkt, was selbst nicht einmal allen Core-Devs eines Projekts bekannt ist, die werden in Vergessenheit geraten bis es plötzlich knallt.
Bzgl. Einheitspakete: Klingt ja toll... Universalpakete für Linux. Manch kommerziellen Hersteller wird es freuen, denn aktuell werden eben nur kommerzielle Distributionen unterstützt die auch beim Kunden eingesetzt werden (für alles andere wäre der Testaufwand vermutlich zu hoch). Doch wozu braucht man dann noch verschiedene Distributionen wenn alles gleich ist?
Evtl. stellt man sich einmal die Frage weswegen man CentOS, Fedora, Debian, Ubuntu etc. einsetzt.
Und wenn ich höre, dass irgendein Display-Server nun sicherer sei, weil das Paket an sich ja in einer Sandbox läuft und von dort aus dann fremde Libs/Programme nicht angesprochen werden können... man man man.
