Manjaro no Manjaro si! La non recensione

Manjaro no Manjaro si! La non recensione con Marvin Pascale mette a confronto l'affidabilità segnalata dagli affezionati utenti del sistema operativo Manjaro Linux con una serie di passi falsi del suo team di sviluppo che contribuiscono ad un'immagine positiva. Vediamo chi la spunta.

Marvin Pascale del blog e canale YouTube inMarvinWeTrust: "Io sono Marvin, oggi parleremo con Dario di Rolling Release. Ho una domanda per lui che secondo me gli ha fatto già qualcun altro. Dario, perché non parli mai delle Rolling Release e soprattutto non parli mai delle derivate di Arch?

Dario: Ciao Marvin, non sei l'unico che mi domanda come mai io abbia parlato raramente di Arch (mai) e derivate. Quanto a Manjaro, molti suoi utenti si dicono soddisfattissimi e mi parlano di grande affidabilità. Ma io sono al corrente di questioni sul suo team che non restituiscono una immagine altrettanto positiva. Confrontiamo le due facce della medaglia e vediamo cosa succede. Chiarendo che parliamo si di Manjaro ma che non è una vera e propria recensione del sistema operativo.

Introduzione a Manjaro

La mia esperienza fugace con Manjaro

Dario: Ora ti devo dire caro Marvin che mi sono cimentato una sola volta con Manjaro per una recensione. Anche a causa di tempi stretti che avevo per testare differenti distro per realizzare un video, la mia conoscenza è superficiale. Ma mi ha fatto letteralmente dannare! Sia nell'esecuzione Live da USB, sia in una macchina virtuale VirtualBox, sia con installazione sul mio portatile.

In quest'ultimo ho dovuto ripetere l'installazione perché al termine il sistema entrava in loop di login. Quando poi sono riuscito non mi funzionava il touchpad. Ho applicato aggiornamenti ed il loop è ricominciato. Quando ho risolto, cercavo di installare un programma per poter registrare il desktop e poterlo documentare nel video della mia recensione di Manjaro e mi ha messo a dura prova. Problemi che devo ammettere di non aver incontrato con i miei test con Garuda Linux e Endeavour OS.

Io so che molti di quelli che mi seguono assiduamente sono felicissimi utenti di Manjaro e come te, mi dicono di non aver mai incontrato alcun problema né alcuna rottura (compromissione irreversibile) del sistema in tanti anni di utilizzo. E mi sfotteranno giustamente. Perciò, come è naturale che qualcuno mi riferisca di aver incontrato problemi con Linux Mint, vuol dire che sono stato particolarmente sfortunato o imbranato mentre preparavo la mia recensione di Manjaro.

Marvin: Direi entrambe!

Retroscena e vicissitudini

Dario: Di certo successivamente non hanno migliorato la mia opinione alcune notizie.

Politiche di sicurezza e certificati SSL

Dario: La prima o meglio le prime riguardano il certificato SSL del sito web. Riassumendo per il mio lettore/spettatore, si tratta del meccanismo che permette una connessione sicura, indicata da un lucchetto, ad un server. Che garantisce che ti trovi effettivamente nel sito che ti auguri che sia. E se il certificato è scaduto o non valido, non puoi avere la certezza di trovarti nel sito in cui ti trovi realmente. Dico bene?

Marvin: Sì esatto è proprio così: una garanzia ulteriore di validità appunto del fornitore in questo caso.

Dario: Diciamo che stai per scaricare un sistema operativo che vuoi installare nel tuo computer... immagino vorrai avere la certezza che il file che stai scaricando provenga effettivamente dagli autori che vuoi che siano e di non ritrovarti in pagine web copiate ad arte per farti installare chissà cosa. Ebbene, il team di Manjaro ha dimenticato di rinnovare in tempo il certificato SSL del sito web, lasciandolo scadere.

Perdonabile? Certo, se non fosse che dal 2015 è accaduto 5 volte! È un'operazione rapida e semplice. E anche se così non fosse, ti metti una nota nell'agenda vista la rilevanza della questione.

Non finisce qui! Perché il team di Manjaro, invece di rinnovare in 5 minuti il certificato SSL, ha pubblicato un paio di soluzioni per gli utenti. Una consisteva nel portare indietro di qualche giorno l'orologio di sistema per illuderlo che il certificato fosse ancora valido! Un'altra nell'aggiungere una eccezione al browser per connettersi ai loro server con il certificato scaduto!

Marvin: Soprattutto nel mondo in cui viviamo, dove la sicurezza informatica sta raggiungendo diciamo degli obiettivi molto molto alti in corso in corso di questi anni e essere attendibile e affidabile nel web è chiaramente una cosa molto importante.
Speriamo insomma, che il team presti attenzione anche a questi aspetti che possono sembrare di contorno ma che poi, tutto sommato, di contorno non sono perché rischiano di allontanare degli utenti validi.

Supporto Apple Silicon troppo precoce

Dario: Si dice in rete che il team di Manjaro abbia l'abitudine di introdurre novità che non sono ancora pronte. È anche per questi aspetti, che cozzano con l'esperienza positiva di molto suoi utenti, che mi riferisco alle due facce della medaglia con Manjaro no Manjaro si! La non recensione. È balzato all'onore delle cronache nel 2022 l'introduzione di un supporto un po' troppo precoce per architetture Apple Silicon rilasciato con un kernel che gli sviluppatori del progetto Asahi Linux sapevano essere difettoso.

Manjaro ha preso pacchetti di sviluppo di Asahi Linux e ci ha messo sopra un kernel più nuovo, decidendo in autonomia e senza prendere preventivamente contatto con il team Asahi. Il quale team postò su X il messaggio "ManjaroLinux sta rilasciando una versione instabile di kernel più recente di quella che noi prevediamo per gli utenti finali, ma è difettosa su alcune piattaforme. Non siamo stati contattati da loro a proposito di questa release per Apple Silicon".

Insomma se quelli di Manjaro avessero contattato il tema Asahi, avrebbero saputo del problema e magari non avrebbero distribuito ai propri utenti un software in grado di compromettere irreversibilmente il sistema. Hanno pure creato un danno di immagine ad Asahi, lasciando credere che si trattasse di un lavoro fatto male o difettoso mentre era effettivamente ritenuto ancora non pronto e non stabile.

Marvin: Beh soprattutto perché quella di Asahi con l'introduzione di Linux su questi SOC Apple Silicon sarebbe stata una bella vetrina. Questi aneddoti mi fanno un po' pensare a un adolescente che ha voglia di dimostrare qualcosa, che ha voglia di fare. Si vede che il team ha voglia di scrivere un qualcosa di importante all'interno del mondo dell'open source. Magari alcune volte hanno peccato forse di essere un po' acerbi. Gestendo meglio queste due situazioni che mi hai detto, sicuramente avremmo avuto una fotografia totalmente diversa.

Don't ship it

Quasi contemporaneamente è sorta l'iniziativa Don't ship it, non rilasciarlo. Si tratta di una lettera aperta, un manifesto realizzato da una serie di team di sviluppo impegnati nella comunità open-source. Che prega di non rilasciare progetti non ancora ufficialmente rilasciati e in corso di sviluppo e verifica. Con la richiesta di contattare preventivamente gli sviluppatori di un progetto prima di rilasciarne versioni non etichettate da loro come stabili. Sarà un riferimento al team Manjaro la frase "Se siete una distribuzione che integra modifiche non ancora rilasciate dal suo sviluppatore, per favore riconsiderate la decisione"?

Spero sia sempre più chiaro se ho deciso di intitolare l'articolo Manjaro no Manjaro si! La non recensione. È successo quando hanno integrato nella versione stabile del sistema il client di messaggistica Chatty con pacchetti software difettosi, che persino il suo autore non aveva ancora verificato e nemmeno era sicuro se sarebbero stati effettivamente rilasciati.

Persino il nostro connazionale Mirko Brombin, cui si deve l'ingegnoso meccanismo di containerizzazione dei software eseguiti in Linux tramite Wine, firma una lettera aperta nel sito del progetto Bottles che va in questa direzione.

Rilasciare software che è noto sia difettoso, non stabile, non verificato danneggia l'immagine del programma stesso e non del sistema operativo. E genera una enorme quantità di richieste di supporto ai rispettivi poveri e spesso inconsapevoli sviluppatori del programma, per colpe che non hanno perché non hanno mai voluto rilasciare i propri software in quello stato.

Marvin: Tra l'altro questa politica va proprio contro i principi di Manjaro che vogliono trattenere i pacchetti un po' di più rispetto ad Arch, ad Arch pura, proprio per evitare che l'utente si trovi davanti a software non testato, magari anche in questo caso difettoso o pericoloso.
Per cui si sono un po' contraddetti tra di loro con queste prese di posizione.

Rilascio ritardato dei pacchetti Arch e integrazione AUR

Dario: Adesso però, sempre a proposito di Manjaro no Manjaro si! La non recensione, vorrei che tu spiegassi il modello di rilascio posticipato dei pacchetti Arch adottato da Manjaro, cosa sono i repository AUR e perché abilitarlo ed integrarne pacchetti in Manjaro è una delle minacce più serie alla stabilità del sistema operativo.

Marvin: Certo, volentieri. Come tutti sappiamo le distribuzioni GNU/Linux si basano su dei repository. I repository normalmente sono ufficialmente manutenuti e testati, controllati dalle rispettive distribuzioni, dai team che lavorano all'interno della distribuzione.

Capita ogni tanto, ma questo su tutte le distribuzioni, che alcuni produttori per farti avere la versione più recente del software o magari software che non sono ancora stati ufficialmente integrati all'interno dei repository della propria distribuzione, ti chiedono di aggiungere un repository. Manjaro non è la prima Arch, non è la prima distribuzione che lo fa. Esistevano già ai tempi di Debian. Ubuntu ha creato un ecosistema intero con i PPA famosissimi dove potevi installare dei software sul repository manutenuti magari anche direttamente dai fornitori, dai produttori di software.

E AUR, che sta per Arch User Repository, è un po' l'unione di questo, chiamiamola l'anarchia, se così possiamo dire. Sono dei repository interamente manutenuti dalla comunità, dove una persona può aprire un progetto come fosse un GitHub, inserire il proprio codice e sperare che qualcuno lo scarichi.

Chiaramente dove non c'è controllo sappiamo che possono risiedere delle insidie e l'insidia di scaricare e lanciare software non verificato sappiamo tutti a cosa porta. Per quanto riguarda invece i temi di rilascio Manjaro si rifà un po' a quella che è la politica, chiamiamola, del downstream come fece CentOS con Red Hat.

I repository ed il meccanismo di rilascio aggiornamenti

Marvin: Abbiamo Arch Linux che alimenta tutti i giorni i propri repository. Questi repository vengono letti e fatti propri da Manjaro che avvia un canale come faceva proprio Debian, chiamato Unstable. Quindi il giorno stesso che viene rilasciato un software, nella tua versione, se hai aderito al programma Unstable, te lo trovi con i rischi e le gioie connesse.

A questo punto c'è una biforcazione. Ci sono degli aggiornamenti di sicurezza importanti e vengono fatti diciamo meno test proprio per agevolare il rilascio di questo chiamato Fast Tracking, cioè andiamo velocemente in produzione sostanzialmente. Quello che in gergo tecnico viene chiamato Q&A.

Invece se il test, il software è un software diciamo normale, tra virgolette, quindi può seguire i normali test di sviluppo, viene appunto inserito in un repository ulteriore che si chiama Testing. Rimane lì qualche giorno, normalmente si parla di una settimana a dieci giorni se non vengono evidenziati problemi gravi, finisce poi effettivamente nel repository stable della release. Quindi a fronte di un po' di ritardo dal rilascio dell'ultima versione nuova fiammante del software hai un po di stabilità in più o perlomeno questo sarebbe l'obiettivo.

L'involontario DDoS ai repository AUR

Dario: Ok, chiaro, grazie. Ma allora si deve anche citare un altro fatto. In passato il meccanismo che suggeriva agli utenti di Manjaro di integrare pacchetti AUR nel sistema durante le ricerche, aveva un bug. Questo ha generato una pioggia di richieste ai server AUR trasformatasi in un involontario attacco DDoS, che mira a rendere impossibile l'erogazione del servizio attaccato. La cosa ha mandato in tilt i server AUR che sono stati offline per ore e indisponibili non solo per gli utenti di Manjaro, ma anche per tutti quelli di altre distribuzioni che ad AUR si appoggiano.

Errare è umano, d'accordo. Ma una cosa del genere non dovrebbe accadere due volte, come invece è successo! Pochi test la prima volta. Perdonabile. Ma dopo aver causato un problema così grave alla comunità Linux, non si prevedono cautele per impedire che succeda di nuovo? Che rispetto si dimostra nei confronti del lavoro di altri? Ecco perché il titolo Manjaro no Manjaro si! La non recensione.

Marvin: Si, questo è vero e si rifà un po' a quello che abbiamo detto prima. Sembra questa eccessiva foga che chiaramente viene poi pagata con, in questo caso, un disservizio causato un po' a tutti. Spero che, come abbiamo detto prima, siano delle lezioni importanti, anche perché,
l'abbiamo detto in apertura, Manjaro ha sviluppato proprio un suo sistema di gestione di pacchetti che integra in maniera più o meno trasparente, diciamo facile, da utilizzare sia i repository ufficiali appunto di Manjaro, sia i repository di terze parti, tra cui anche AUR.

È innegabile che AUR sia una fonte inestinguibile di software di pacchetti, sia utilizzatissima da tutti i fan di Arch e le derivate, per cui ci aspettiamo che venga integrato chiaramente, deve essere debitamente segnalato, come Manjaro fa, è una delle cose secondo me importanti di PAMAC, che poi è il software, diamogli il nome, e che fa capire molto bene all'utente quando sta scaricando software da repository ufficiali e quando sta scaricando software da repository di terze parti, compreso AUR. Quindi il progetto è validissimo, spero che lo portino avanti e che chiaramente dedichino un po' più di attenzione anche a fare i test prima di rilasciarlo su tutte le Manjaro che ci sono in giro.

Affidabilità di Manjaro

Dario: Certo, tra l'altro, per proseguire sul tema Manjaro no Manjaro si! La non recensione, tu in privato mi hai detto da quanti anni è che è un'installazione che non ha alcun difetto di Manjaro Linux?

Marvin: Io sono passato dai rilasci diciamo cadenzati di Debian alle rolling release nel 2020. Ho fatto questo salto e dal 2020 non ho mai dovuto formattare, cancellare, revisionare il mio computer. Lo continuo a dire. Aggiorno tutti i giorni, anzi i giorni in cui non escono aggiornamenti sono molto triste e vado avanti così. Lo uso come distribuzione principale per il mio lavoro e sappiamo insomma quanto il computer sia importante nel mio lavoro quindi ho acceso h24, sette giorni su sette dal 2020.

Dario: Quindi, ecco, vorresti certamente incoraggiare non solo me, ma altri utenti a mettere alla prova Manjaro. Vuoi lasciare un messaggio in questo senso a conclusione del nostro incontro?

Marvin: Assolutamente sì, la mia esperienza è più che positiva, so che ci sono state, come tu mi hai detto esperienze meno positive per non dire negative, ma da che io uso Linux ed è passato tanto tempo, tutte le distribuzioni GNU/Linux hanno avuto dei momenti diciamo così oscillatori. Per cui, chi magari ha avuto una brutta esperienza, con Manjaro come qualsiasi altra distribuzione, se la persona è curiosa e ha voglia è giusto che sperimenti. Magari a distanza di poco tempo succedono delle cose, delle innovazioni, delle modifiche che possono ribaltare completamente l'esperienza utente.

Dario: Tu sostieni che un conto sia parlare di svarioni o delle leggerezze nella gestione del team, un altro conto avere a che fare con Manjaro Linux da tanto tempo e trovarla quindi comunque un sistema affidabile.

Marvin: Sì, per me rimane un importante strumento di lavoro che non mi ha, fino ad ora, mai deluso in anni di onorato servizio.

Qual'è la tua opinione su Manjaro?

Dario: Insomma con Marvin, in questa Manjaro no Manjaro si! La non recensione, ci siamo divertiti in un confronto di Manjaro Linux con due approcci opposti. Da un lato l'esperienza d'uso soddisfacente e senza intoppi che molti suoi entusiasti utenti riferiscono, dall'altro alcune leggerezze del suo team di sviluppo che non contribuiscono al bene dell'immagine generale del progetto.

Tu da che parte stai? Raccontaci il tuo parere ed eventualmente la tua esperienza perché ne siamo molto curiosi.

Links

Ecco tutti i riferimenti di Manjaro no Manjaro si, La non recensione

• Manjaro Devs Fix Embarrassing Expired SSL Certificate Problem
• Software.manjaro.org expired certificate (again) - Feedback / Software Center - Manjaro Linux Forum
• Manjaro let their SSL cert expire. Again. : r/linux
• Expired SSL certificate (update) – Manjaro Linux – Enjoy the simplicity
• Did Manjaro just forget to renew the SSL certificate? : r/linuxquestions
• Expired SSL certificate – Manjaro Linux – Enjoy the simplicity
• Manjarno

• Chatty crashes on launch due to invalid symbol - ARM / Phosh - Manjaro Linux Forum
• Chatty - issue with Matrix - ARM / Phosh - Manjaro Linux Forum
• Asahi Linux (@AsahiLinux@treehouse.systems) su X: "Note: @ManjaroLinux are shipping an unstable kernel build newer than what we ship to end users, which is broken on some platforms. We have not been contacted by them regarding this Apple Silicon release." / X
• Do not ship work in progress
• caleb ×: "lmao @ManjaroLinux really can'…" - Fosstodon
• Please don't unofficially ship Bottles in distribution repositories ⋅ Bottles

• New Pamac search suggestion floods AUR search (#1135) · Issues · Applications / pamac · GitLab
• I want to use pamac - Support / AUR - Manjaro Linux Forum
• How to (fully) get rid of AUR again? : r/ManjaroLinux
• Pamac AUR packages to update does not match with yay - Support / AUR - Manjaro Linux Forum
• Pamac and the AUR - Lounge / EndeavourOS pub - EndeavourOS
• Pamac AUR update - One fail, have to restart all - Support / AUR - Manjaro Linux Forum
• Pamac runs for 12+ hours for a simple AUR package - Support / AUR - Manjaro Linux Forum
• Pamac stopped working for AUR - Support - Manjaro Linux Forum