cnt2ex

@cooltechbs 我个人的体验来说几乎没有什么缺少的。结合 rpm-ostree+flatpak+distrobox ，能覆盖大部分所需要的软件。

rpm-ostree 主要安装各种系统类服务类的工具，比如 ddclient 这种需要通过 systemd 控制的服务。
flatpak 主要安装各种 GUI 程序，比如 vscodium/ungoogled chromium/thunderbird 我都是通过 flatpak 安装的。
distrobox 的容器里安装 npm 的包，这些需要修改/usr 目录的工具全放在容器里。

我所有的需求都被以上 3 种方案覆盖到了。

这时候体现出了 immutable os 的优点了。可以直接 reset/rollback ，而避免重装整个系统

>在安装和卸载 docker 的时候会执行这个
semodule 是安装/卸载脚本里调用的吧。

除非你去修改对应安装包的安装/卸载脚本，否则该调用的时候都会调用的。就算删除 semodule 也顶多让脚本多一个错误而已。

比如 docker-ce 依赖于 container-selinux ，而 container-selinux 的安装脚本就有调用 semodule 的地方。

我觉得如果 semodule 卡但不报错的话，单纯就让他卡会好了，除非卡的时间太长或者报错。

由于各种灵活性（动态类型、方法参数等）带来的方便，从而让程序员更加专注于完成解决任务本身而花更少的时间在对抗编程语言的问题上。虽然这也会导致各种 bug ，但写起来就是方便。

用 opencv 实现同样的功能，用 python 实现起来就是比 c++实现起来方便。不需要花时间考虑设计输入输出参数的类型、个数，错误处理什么的遇到了再说。很快就能实现一个原型。

@dragondove 很难说 linux 下情况会比 win 好。

光看这个楼的话，其实很多人都没有用 flatpak 版（带沙箱支持）。除了 flatpak 版之外，我只知道 aur 里的 wechat 有沙箱功能（ bwrap ）。

而即使是带沙箱的 wechat 版，也只是无法直接读取硬盘而已。很难说微信不会通过一些隐蔽的 dbus 方法来读取硬盘。

这也是我为什么说 linux 上的沙箱机制不如安卓的原因，因为有太多 dbus 方法可以悄悄用来干一些坏事了。

这其实不是什么好消息。

linux 的安全性比起安卓差多了，即使是有 flatpak 版打包，有时候可以故意搞一个不给权限就不启动的做法恶心人。况且 flatpak 的沙箱机制比不上安卓。

linux 版如果受欢迎，迟早变成毒瘤应用。而如果 linux 版没有什么受众，估计也不会有什么更新。