Sind Flatpak's eurer Meinung nach die Zukunft im Linux-Bereich?

[andy_m4]

Entwickler:innen wollen offensichtlich flatpak, wenn ich mir die Gesamtzahl an Apps auf flathub.org anschaue, genauso wie User. Oder auch Maintainer bei Distributionen.

Weiß nicht.
Container wie Flatpak machen es halt sehr viel einfacher das Programm zu deployen, weil man dann nicht für jede Distribution ein Paket schnüren muss.
Häufig machen das Pakete bauen die Entwickler gar nicht selbst, sondern der entsprechende Paket-Maintainer der jeweiligen Distribution.
Durch Flatpak und Co wird einfach die Hemmschwelle kleiner mal eben ein Paket mit der neusten Version zur Verfügung zu stellen.

Zu dem Rest weiß ich nicht, was Du mir damit eigentlich sagen wolltest oder ob Du nur ergänzt hast oder was auch immer. :-)

 

[sedot]

Häufig machen das Pakete bauen die Entwickler gar nicht selbst, sondern der entsprechende Paket-Maintainer der jeweiligen Distribution.

Ja, ist unterschiedlich meinem Eindruck nach. Manche Distributionen haben keinen Maintainer Überschuss und viel Last liegt auf wenigen Schultern, was dazu führen kann, dass Software-Auswahl anderswo größer ist oder eben Container-Lösungen wie flatpak oder distrobox einen gewissen Reiz haben.

Zu dem Rest weiß ich nicht, was Du mir damit eigentlich sagen wolltest oder ob Du nur ergänzt hast oder was auch immer. :-)

Ergänzendes schwafeln, oder so. :^)

 

[andy_m4]

Manche Distributionen haben keinen Maintainer Überschuss und viel Last liegt auf wenigen Schultern

Man muss halt auch gucken, wo Distributionen historisch her kommen.

Der ursprüngliche Sinn war ja, vorhandene (freie) Software einzusammeln und daraus ein funktionierendes Gesamtsystem zu schnüren und viel zur Verfügung zu stellen. Teilweise auch mit eigenen Patches und so. Und damit nix auseinander böselt nehmen die halt noch Releasezyklen. Debian ist da ein klassischer Vertreter von.
ubuntu und CO machen sich da die Arbeit etwas einfacher, in dem sie nur ein reduziertes Paketset zur Verfügung stellen und sich dabei auch noch aus dem Fundus Anderer bedienen.

Arch hat dagegen den Ansatz die Software einfach "vanilla" zu übernehmen und auch immer die neuste Version. Das funktioniert heutzutage auch ganz gut, da die einzelnen Softwareprojekte jetzt auch viel mehr aufeinander achten als früher und man dann gar nicht mehr so viel Integrationsarbeit hat. Außerdem haben in der Entwicklung doch recht weitgehend automatisierte Tests usw. Einzug gefunden. Das macht es deutlich leichter. Sowas wie Arch wäre in den 90er Jahren in der Zuverlässigkeit sicher noch nicht möglich gewesen. Kann sein, das doch mal was hakt. Aber in der Regel hat man selten was wirklich Dramatisches.

Und ja. Eine weitere Möglichkeit den Maintain-Aufwand zu reduzieren ist halt der Flatpak-Kram. Dann braucht man nur noch ein Basis-System pflegen welches die grundlegenden Dinge zur Verfügung zu stellt und die Software selbst kommt von Flathub (oder was auch immer).

Alles hat so seine spezifischen Vor- und Nachteile.

Ergänzendes schwafeln, oder so

Das hab ich jetzt auch mal geschafft. :-)

 

[schwimmcoder]

Flatpacks laufen in ner Sandbox, genauso wie Snaps. Da gehen dann manche Sachen einfach nicht, wie z.B. die Download Manager Integration mit dem Desktop Client, selbiges beim Passwort Manager. Und da ich nicht zwei "Systeme" pflegen will, wird alles übers Repo gemacht.

Snaps/Flatpacks nutze ich, wenn ich mal ne Software nur kurz brauche oder ich diese ausprobieren will, wie letztens Chromium, den installiert und gemerkt, ich bleibe bei Firefox. Da ist das Deinstallieren dann einfacher und alles verschwindetvon der Platte. Für die dauerhafte Nutzung hätte ich den dann übers Repo installiert.

 

[Snakeeater]

@sedot
Ich zitiere mich mal selber


Aber wenn doch zwingend ein schlechter Grund gewünscht ist: Mein System läuft und ich wüsste nicht, warum ich mir da eine weitere, nicht benötigte Komponente reinholen sollte.

@B3rry dann hier noch für dich Threadbezogen: Ich denke nicht, dass Flatpaks die Zukunft sein werden, weil es nach persönlichem Empfinden zu viele mit meiner Meinung gibt.

Was ist den "deine Meinung"? Aus deinen bisherigen Posts geht nur hervor das du es nicht "brauchst".

Mir gehen die Flatpaks ein bisserl am nerv. Ich genieße es, dass System mit einem Befehl zu aktualisieren. Jetzt darf ich nicht vergessen, das auch noch zu machen. Ich hoffe daher es setzt sich nicht durch.

abbr -a dup 'doas nala upgrade && fisher update && flatpak update'

In fishshell. Ansonsten Variable selbst anlegen.

 

[Krakadil]

So wie ich deine Kategorisierung verstehe, wäre Firefox für dich eine System-App einfach weil bei den meisten Distributionen in der Installation enthalten.

Im Grunde schon, da von Werk aus der standard Browser

Ich würde Firefox nie als System-App sehen und bezweifle, dass es eine verbreitete Ansicht wäre dies zu tun.

Aber so wie du wäre das in dem Fall krine Systemapp in meinen Augen.

Ihr wisst ja selbst, wie das gemeint war.

Zu dem ganzen Thema kommt dazu, dass für die Masse der Programme für Linux die Entwickler gar keine fertigen Pakete zur Verfügung stellen. Pakete werden in der Regel von den Maintainenern der Repositorien für eben diese aus dem Sourcecode kompiliert.

Dass ist das große Problem unter Linux, zumindest so, wie ich es verstanden habe.

Wenn der Entwickler alles selbst einpacken kann, dann wird die App so laufen, wie er es vorgesehen hat?

Einige davon wurden angesprochen und von dir quasi einfach abgelehnt. Ich habe jetzt eine Zeit auf Antworten/Reaktionen verzichtet, da mir schnell klar wurde, das ich sehr weit ausholen müsste, und Romane schreiben müsste um dich von deinem Standpunkt abzuholen.

Spar dir die Zeit, ich würde das dann am Ende wohl noch nicht einmal verstehen. Einfach ein paar Eckpunkte, dann kann ich bei Google selbst suchen und bei Bedarf hier nachfragen.

Habe ich hier keine Lust darauf, sehe ich auch nicht als meine Aufgabe, aber wenn du die gebrachten Argumente besser verstehen willst, versuche mal über deine Position als Enduser hinaus zu verstehen wie Programme für Linux entwickelt werden und wie das Zusammenspiel der Entwickler, der Frameworks/Communitys und der Verbreitung durch die Maintainer dazu beiträgt, dass das komplexe Zusammenspiel von Programmen erlaubt und wie durch die Konstellationen das Vertrauen in Software gefördert wird ohne jedem einzelnen Entwickler vertrauen zu müssen.

Wir leben quasi in zwei unterschiedlichen Welten und kommem nicht auf einen Punkt.

Das Beispiel mit Spotify ist in dem Fall perfekt.

• benötigt so gut wie keine Rechte
• es der breiten Masse zur verfügung stellen

Als Entwickler ganz klar als Flatpak anbieten. Bietet man nur eine deb an, dann fliegen alles raus, welche nicht Debian als Basis haben.

Gegenbeispiel was dann passieren könnte: Simplenotes
https://flathub.org/apps/com.simplenote.Simplenote
3 Jahre alt
https://github.com/Automattic/simplenote-electron/releases/tag/v2.22.1
2 Wochen alt

Ich hoffe dir wird mit dem Wissen welches du hast jetzt klar, was ich damit meine. Eine Note App benötigt im Grunde nichts und Flatpak wäre, zumindest in meinen Augen, die erste Wahl. Warum bietet der Entwickler diese nicht an und macht sich die Arbeit?

Und nochmal, es geht dabei nicht darum Flatpak schlecht zu machen. Für viele Pakete die hier genannt wurden, insbesondere solche die ohnehin prätertiäre Bestandteile haben (wie eben Spotify oder Discord oder dutzende nur semi-freie Dienste) ist Flatpak eine sehr gute Lösung.

Eben...

Aber eben nicht für jede Art von Programm-Paket gleichermaßen und teilweise liegt es eben nicht mal an den technischen Eigenschaften von Flatpak sondern den unterschiedlichen Wegen der Softwareverbreitung die für Flatpak konzipiert wurde.

Aber das ist doch die klare Minderheit?!

EDIT:
Vielleicht noch kurz ergänzend, bedenke auch, das wahrscheinlich rund 90% der Programme für Linux nicht als GUI Anwendungen für den Desktop entwickelt werden.
Ein sehr großer Teil der Software für Linux ist nicht primär für den Denktopuser, mit GUI mit Terrabyte großer SSD und dicker CPU und dedizierter GPU.
Ganz viel davon läuft auf kleinen Chips mit sehr wenig speicher. Viel Davon läuft auf groen Servern die ihre teure Hardware aber haben um ein bestimmtes Programm zu betreiben und möglichst wenig dafür für den Betriebssystem-Unterbau bereitstellen wollen.
Die Masse davon wird von hochbezahlten Technikern administriert die ihre Jobs besser mit zentralen Konfigurationen über automatisierbare Schnittstellen erledigen, statt einem Flatseal per App Konfigurator mit sehr limitierten Optionen.

Du spielst hier in einer ganz anderen Liga und deine Sichtweise ist eine ganz andere... Ich denke.deshalb verstehen wir uns nicht.

Der Witz ist, dass ich das dennoch tue. Du ziehst nur überall, wo es grad passt, die Weißichnich-Karte. Das Spielchen spiele ich nicht mehr mit. Dafür sind mir Zeit, Geduld und Nerven zu schade.

Nein, ich fühle mich durch die mehr als bestätigt. Im Grunde bist du nur Spam hier, welche 0 Argumente hat, wenn ich das mal so offen sagen darf.

Weder habe ic Vorteile noch Nachteile, ob nun Flatpak sich durchsetzen wird oder eben nicht.

Es ist doch ganz einfach. Es gibt Leute, die mögen Flatpak und andere halt nicht.

Darum geht es aber nicht.

Flatpaks wird es nebenbei geben, aber durchsetzen impliziert, dass es die hauptsächlich genutzte Quelle wird und das wird nicht der Fall sein. Seitenlange Pro und Kontra Argumentation wird an diesen Dingen nichts ändern. Fertig. 🙂

Kontra sehe ich 2 Argumente, welche aber kaum eine Rolle spielen.

Und es ist ja auch nicht in Stein gemeißelt, dass deine jetzige Ansicht so bleibt. Das kann sich mit zunehmender Erfahrung ändern. Am Anfang hätten mir Flatpaks vielleicht noch den Umstieg erleichtert. Kann ich mir durchaus vorstellen. Jetzt kenne ich mich mit dem System aus und es würde sich eher wie ein Rückschritt anfühlen. Für mich persönlich. Sehen andere vielleicht auch wieder anders und das ist auch völlig in Ordnung. Es gibt halt nicht nur die eine Ansicht und das muss man dann auch einfach mal akzeptieren.

Siehst du, damit bestätigst du es. Es geht nicht um dich, nicht um mich und auch nicht darum, das Flatpaks alles ersetzen sollen. Das Beispiel mit Spotify oder wie oben jetzt mit Simplenote beschreibt das eigentliche Problem.

Wenn du jetzt Arch nutzt und nur eine Debian Datei angeboten wird, dann musst du basteln oder zu AUR greifen. Das bedeutet ein random dude hat das für dich bereit gestellt. Warum stellt Spotify jetzt nicht einfach eine Flatpak on und jeder kann diese nutzen?

Linus hat 2014 die Situation gut zusammengefasst, flatpak kann eine Lösung sein.

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

Ich schau mir das später an, danke!

Was ich ganz witzig finde, Valve trägt (inzwischen) tatsächlich massiv zur Verbreitung bei. Was auch immer deren Motivation ist, das Konzept erreicht mehr non-technical User als alles davor. Ein Baustein sind flatpaks.

Genau das ist es...
Valve setzt drauf, Linux spricht sich dafür aus und hier lese ich "du hast keine Ahnung" oder "ich nutze es nicht, weil darum"

Sehr gutes Beispiel, Windows und macOS eine Datei – Linux fünf Optionen. Völlig schräg und kaum vermittelbar ohne ausschweifende Erläuterungen gegenüber potenziell interessierten Usern.

Und so hätte wir unsere .exe, welche jeder nutzen kann, egal ob Arch, Debian, Red...

 

[WhiteHelix]

Und so hätte wir unsere .exe, welche jeder nutzen kann, egal ob Arch, Debian, Red...

Das kannst du aber auch wieder fast mit Appimage vergleichen. Braucht n Windows Tool externe Abhängigkeiten müssen die da sein, mit nem AppImage das gleiche. Das einzige was mich da wirklich stört, ist der Update Prozess

 

[andy_m4]

Dass ist das große Problem unter Linux, zumindest so, wie ich es verstanden habe.

Das ist kein Problem. Es sei denn, man macht es zu Einem. :-)
Der eine Aspekt ist ja das schreiben eines Programms. Das andere ist halt die Art und Weise, wie man es verwendet und zur Verfügung stellt. Das kann bei einer Person liegen. Muss es aber nicht notwendigerweise.

Warum bietet der Entwickler diese nicht an und macht sich die Arbeit?

Das musst Du den Entwickler fragen. Wie gesagt, der sieht es vielleicht gar nicht als seine Aufgabe sein Programm zu "publishen". Der baut vielleicht deshalb ein Debian-Paket, weil er selbst Debian verwendet. Und sagt sich dann: "Wenn ich das eh baue, dann kann ich es auch zum Download anbieten, falls das jemand haben will".

 

[Kuristina]

Wenn du jetzt Arch nutzt und nur eine Debian Datei angeboten wird, dann musst du basteln oder zu AUR greifen.

Wer stellt denn nur eine Debian "Datei" zur Verfügung? 🙂 Musst du mir mal zeigen. Und zum AUR greifen ist kein Basteln. Mit yay oder paru ist das total simpel.

Warum stellt Spotify jetzt nicht einfach eine Flatpak on und jeder kann diese nutzen?

Da musst du Spotify fragen. Aber selbst wenn es da ein Flatpak gäbe, würde ich es nicht nutzen. Ich habs ja schon als App auf dem Desktop. Läuft gerade im Hintergrund. ^^

 

[ropf]

Warum bietet der Entwickler diese nicht an und macht sich die Arbeit?

Der Entwickler liefert den Quelltext - das ist eine VIEL breitere Kompatibilitätsbasis als jedes Flatpak, appImage, oder was auch immer - und entspringt dem Gedanken freier Software.

Proprietärer Dreck wie Spotify kommt mir nicht ins System.

 

[sedot]

Arch hat dagegen den Ansatz die Software einfach "vanilla" zu übernehmen und auch immer die neuste Version.

Ja, so wie andere Distributionen auch – im Fall von Tumbleweed findet ein (weitgehend automatisiertes, afaik) Testing einzelner Pakete vor Release statt. Führt mitunter zu Situationen in denen Pakete „schon“ mit Arch verfügbar sind, allerdings noch Fehler im Open Build Service produzieren und deshalb noch nicht für Tumbleweed „default“ verfügbar sind.

Alles hat so seine spezifischen Vor- und Nachteile.

Was ich ja nicht grundsätzlich in Abrede stellen will.

Braucht n Windows Tool externe Abhängigkeiten müssen die da sein, mit nem AppImage das gleiche.

Yup, Appimages können Funktionalität einbüßen oder nicht mehr funktionieren wenn das OS sich ändert. Finde ich persönlich nervig, auch wenn ich Appimage eigentlich ganz nett finde.

Und zum AUR greifen ist kein Basteln. Mit yay oder paru ist das total simpel.

Nicht jede:r will Arch nutzen, der Verweis aufs AUR bringt keinen Mehrwert.

Proprietärer Dreck wie Spotify kommt mir nicht ins System.

Oh, du hast verwendest ausschließlich open source Hardware, toll, erzähl mal was genau du nutzt. Davon ab, keine Ahnung warum Dinge die dir nicht gefallen als Dreck betitelt werden müssen. Ein bisschen Mäßigung in der Sprache wäre nett.

 

[andy_m4]

Proprietärer Dreck wie Spotify kommt mir nicht ins System.

Für Spotify gibts auch die librespot, mit der man sich seinen eigenen Spotify-Client basteln kann. bzw. man nimmt einen, den es schon gibt. Da gibt es auch sehr leichtgewichtige Sachen wie ncspot.

 

[Kuristina]

Nicht jede:r will Arch nutzen, der Verweis aufs AUR bringt keinen Mehrwert.

Hä? Der Verweis kam vorher. Ich habe diesen Verweis zitiert und darauf reagiert. 🙂

Wer Arch nicht nutzen will, kann dann halt zu Flatpak greifen. Ist doch völlig egal. Jeder wie er will. Aber deswegen muss es nicht jeder hier als die beste Möglichkeit abnicken. Das ist es pauschal einfach nicht.

 

[Kaito Kariheddo]

Um auf die Anfangsfrage des Threads zu kommen: Sehe bei Flatpak zwei wesentliche Probleme. Zum einen ist das quasi wilder Westen, kaum moderiert, da kann man sich sonst was einfangen. Zum anderen Sorgen die für unnötiges Updatevolumen. Ist zwar schön wenn Abhängigkeiten als Pakete zwischen verschiedenen Anwendungen geteilt werden, aber meinem rein subjektiven Eindruck bei dem was ich bislang getestet hab, gibt es zuviele Anwendungen die spezielle Versionen bei Abhängigkeiten abrufen, sodass alles wieder fragmentiert.

 

[andy_m4]

Zum einen ist das quasi wilder Westen, kaum moderiert

Wobei das bei Flatpak ja auch Teil des Konzeptes ist. Man will halt kein "Monopol-Store" haben.
Snappy macht es ja anders. Da gibts im Wesentlichen ein zentrales Repository.

da kann man sich sonst was einfangen.

Das Problem hast Du aber auch bei Nicht-Containerized-Programmen. Die Distributionsrepositories sind wahrscheinlich noch relativ gut gepflegt - sprich: Da hat der jeweilige Maintainer ein Auge drauf. Aber spätestens bei User-Paketen (sowas wie PPA oder AUR bei Arch) hast Du eine ähnliche Problematik. Und da hast Du nicht mal mehr eine Sandbox zwischen wie bei Flatpak.

, gibt es zuviele Anwendungen die spezielle Versionen bei Abhängigkeiten abrufen, sodass alles wieder fragmentiert.

Das ist ein Problem. Aber auch das ist ja zum Teil gewollt und Teil des Konzeptes. Denn Du willst ja mit einem Containerized-Program ja möglichst unabhängig sein von was anderem.

Jede Herangehensweise hat ihre eigenen Vor- und Nachteile.

Zum anderen Sorgen die für unnötiges Updatevolumen.

Ja. Wobei wir ja zum Glück nicht mehr mit Analog-Modem unterwegs sind und auch vom Speicherplatz her i.d.R. mehr als genügend haben.

 

[Grimba]

Im Grunde bist du nur Spam hier

Hm, dafür, dass du dich etwas früher dafür bedankst, dass ich mir die Mühe mache, dir was zu erklären, bist du jetzt aber auf einem ganz anderen Pfad. Welchen Inhalt bzw. Gehalt hast du denn bisher geliefert? Auf Umfrage erstellen klicken kann schließlich jeder. Auf zitieren auch, und naja, vielleicht googlest du den Begriff Spam nochmal. Ist schon dünn bei dir. Knöpfchen drücken ist halt was wenig.

 

[Krakadil]

Das musst Du den Entwickler fragen. Wie gesagt, der sieht es vielleicht gar nicht als seine Aufgabe sein Programm zu "publishen". Der baut vielleicht deshalb ein Debian-Paket, weil er selbst Debian verwendet. Und sagt sich dann: "Wenn ich das eh baue, dann kann ich es auch zum Download anbieten, falls das jemand haben will".

Es muss ja nen guten Grund geben. Das letzte Beispiel mit Simplenotes, die stellen alles zur verfügung außer die Flatpak.

Wer stellt denn nur eine Debian "Datei" zur Verfügung? 🙂 Musst du mir mal zeigen. Und zum AUR greifen ist kein Basteln. Mit yay oder paru ist das total simpel.

Du verstehst wohl weiterhin nicht, was ich dir sagen will. Die, die es in AUR bereit stellen, sind random Leute, nicht der Entwickler selbst. Einen Befehl in das Terminal kopieren bekommt auch der nicht Arch User problemlos hin.

Da musst du Spotify fragen. Aber selbst wenn es da ein Flatpak gäbe, würde ich es nicht nutzen. Ich habs ja schon als App auf dem Desktop. Läuft gerade im Hintergrund. ^^

Das glaube ich dir sogar.

Um auf die Anfangsfrage des Threads zu kommen: Sehe bei Flatpak zwei wesentliche Probleme. Zum einen ist das quasi wilder Westen, kaum moderiert, da kann man sich sonst was einfangen.

Was? Es ist doch wegen den Rechten deutlich sicherer und es kann zertifiziert sein, also vom Entwickler selbst.

Zum anderen Sorgen die für unnötiges Updatevolumen.

Hätte ich nicht geschaut, wie groß die Pakete bei Flatpak sind, dann hätte ich auf ein paar MB getippt. Weder beim Speicher noch beim Download. 200 MB bei Spotify sind es. Simplenotes wären 100 MB und die deb hätte 30 MB mehr :/

Hm, dafür, dass du dich etwas früher dafür bedankst, dass ich mir die Mühe mache, dir was zu erklären, bist du jetzt aber auf einem ganz anderen Pfad.

Natürlich, so gehört sich das, du wolltest helfen und bist dann nur auf mich los...

Welchen Inhalt bzw. Gehalt hast du denn bisher geliefert?

Ich suche hier Hilfe bzw. nach Antworten. Wie hast du dir das vorgestellt? Eine Frage stellen und diese selbst beantworten? 🤣

Auf Umfrage erstellen klicken kann schließlich jeder.

Jetzt bist du sogar mad.

Auf zitieren auch, und naja, vielleicht googlest du den Begriff Spam nochmal. Ist schon dünn bei dir. Knöpfchen drücken ist halt was wenig.

Wie gesagt, wenn du fragen beantworten kannst oder Beispiele bennen kannst, dann ist das doch in Ordnung. So bestätigst du mich nur weiter...

 

[Grimba]

Ok, das hier hat mit dir keinen Zweck. Es langt. Auf der Ebene ist keine Konversation möglich. Du suchst keine Hilfe. Nee, du tönst und drehst dich um dich selber wie ein Brummkreisel. Und baust hier erneut den nächsten Strohmann mit deinem Rumgereite auf Beispielen von wegen OpenSSH, dabei ging es darum, dass auch Container unsichere Verbindungen aufbauen. Klassischer Strohmann. Total alberne Nummer.

Was du nicht hören willst, erstickst du, oder es wird als belanglos tituliert, oder landet auf deinem riesigen „verstehe ich nicht, also existiert es nicht“-Haufen. Und dafür geht es hier um zu wenig, um die wilde Fahrt noch länger mitzumachen. Mir egal, ob das irgendwas bei dir bestätigt, oder nicht.

Unterm Strich bleibt die Empfehlung: Informier dich. Das Thema ist komplexer, als du vermutet hast und jenseits von Schwarz und Weiß. Was du daraus machst, bleibt dir überlassen.

 

[Kuristina]

@Krakadil Gut, wenn du da so viel Angst hast, dann ist das nichts für dich. Muss ja auch nicht. Du entscheidest dich bewusst für Flatpak, andere entscheiden sich bewusst gegen Flatpak und beide Seiten sind glücklich.

 

[sedot]

Zum einen ist das quasi wilder Westen, kaum moderiert, da kann man sich sonst was einfangen.

Ich kenne jetzt die Richtlinien von z.B. flathub nicht im Detail, mein Eindruck ist, die Betreiber bemühen sich. Erkennbar am zum Beispiel „verifiziert“ Logo bei Apps. Dafür spricht auch, flathub ist Bestandteil des Plasma und Gnome Stores bei einigen Distributionen. Da haben also schon einige Augen draufgeschaut.
Der xz Fall hat gezeigt, potenzielle Angreifer können sich auch Zugang zu mehr vertrauenswürdigen Repos verschaffen. Ich glaube nur Debian war kein Thema, auch wegen deren slow moving releases.

Wilder Westen ist eher sowas wie AUR, OBS home repos oder direkt git(irgendwas) als Bezugsquelle. Flatpak Apps und Rechteverwaltung ist relativ einfach bei Misstrauen, mach ich so wenn ich skeptisch bin, davon abgesehen läuft auch eine Firewall die (zu) zuverlässig blockt.

Schreib doch mal einen Artikel zu Details mit Vor und Nachteilen, treibt ja einige Nutzer:innen (hier) um. 😉

Zum anderen Sorgen die für unnötiges Updatevolumen.

Updates halten sich gefühlt in Grenzen dahingehend, gefühlt. Pro Woche lädt Tumbleweed wesentlich mehr als die Flatpaks im zweistelligen Bereich die ich momentan installiert habe. Am nächsten Wochende könnte ich mal eine Stichprobe machen, geschätzt landet das OS (mit zusätzlichen Repos) bei niedrigen einstelligen GBs und Flatpaks im mittleren MB Bereich. Meine System-SSD ist ungefähr bei 90 bis 120 GB belegtem Speicherplatz seit Installation, natürlich mit reichlich temporären persönlichen Daten die nur zeitweilig in /home liegen.