Hablando de seguridad… Instalar aplicaciones desde la Snap Store es algo habitual para muchos usuarios de Ubuntu y otras distribuciones. Las ventajas son evidentes, pero ¿y los riesgos? ¿Los hay? La historia nos ha demostrado que sí, y aunque Canonical se esfuerza en evitarlo, la seguridad absoluta no existe.

Así pues,  instalar aplicaciones desde la Snap Store, como sucede al instalar aplicaciones desde los repositorios oficiales de Ubuntu, requiere de confianza. Con un añadido: a pesar de los controles que tiene la plataforma, no solo los empaquetadores del proyecto tienen permitida la publicación de aplicaciones.

¿Qué hay exactamente dentro de cada paquete y cuál es su estado real de seguridad? Con la idea de responder a esa pregunta nace Snapscope, una nueva utilidad diseñada para analizar paquetes Snap y detectar vulnerabilidades conocidas. Se trata de un proycto de Alan Pope, antiguo empleado de Canonical y bien conocido en el ámbito del Software Libre.

La propuesta de Snapscope es simple: introduces el nombre de un paquete Snap y obtienes un informe de seguridad al respecto. Este servicio se basa en Grype, una herramienta de código abierto especializada en el análisis de vulnerabilidades y CVE, clasificadas por nivel de gravedad —críticas, altas, medias y bajas— e indicando también si están siendo explotadas activamente.

El propio autor lo deja claro desde el principio: no hay juicios, solo hechos, recogen en OMG! Ubuntu! El objetivo no es señalar ni alarmar, sino aportar transparencia y facilitar información útil tanto a usuarios como a desarrolladores.

Qué ofrece Snapscope

Más allá de una simple búsqueda, la web incluye varias funciones prácticas:

• Búsqueda por nombre de paquete o por desarrollador u organización.
• Listados de paquetes escaneados recientemente.
• Ránkings de los paquetes con mayor número de vulnerabilidades detectadas.
• Enlaces directos a la información detallada de cada CVE.
• Posibilidad de poner paquetes en cola para volver a escanearlos.

Todo ello se presenta de forma clara y accesible, sin necesidad de registro ni filtrados complejos.

El problema no es Snap, sino las bibliotecas

Uno de los aspectos más importantes que destaca Snapscope es que la mayoría de las vulnerabilidades detectadas no están relacionadas con Snap como formato, sino con las bibliotecas incluidas dentro de los propios paquetes. Al ser aplicaciones autocontenidas, los Snaps suelen incorporar versiones específicas de dependencias que no se actualizan automáticamente desde el sistema.

Esto es una fortaleza y una debilidad a la vez, ya que permite que aplicaciones modernas funcionen en distribuciones antiguas, pero también implica que si una librería incluida tiene una vulnerabilidad, solo el mantenedor del paquete Snap puede corregirla. El problema, por tanto, no es exclusivo de Snap: esas mismas librerías serían vulnerables en cualquier otro formato si se usan en la misma versión.

Cabe aclarar que Canonical intenta mitigar este escenario mediante los llamados base snaps, que reducen la duplicación de componentes clave, pero no eliminan del todo el riesgo.

Seguridad y percepción

Snapscope tampoco demuestra que Snap sea menos seguro que otros formatos. De hecho, el sistema de confinamiento y sandboxing de Snap limita el impacto potencial de una vulnerabilidad, salvo que el usuario haya relajado manualmente esas restricciones. Otra cosa, como hemos mencionado, es que se cuele malware en la tienda: eso no tiene nada que ver..

Lo relevante aquí es la auditabilidad., insiste Pope. Es decir, que exista una herramienta como Snapscope es posible precisamente porque el funcionamiento y la estructura de los Snaps son transparentes. Además, puede servir como incentivo para que los mantenedores revisen y actualicen paquetes que llevan años sin tocarse, muchos de ellos publicados como simples pruebas.

A todo esto, hay que recordar que, a diferencia de Flatpak, Snap abarca mucho más que aplicaciones gráficas de usuario final, por lo que Snapscope supone un recurso interesante más allá del ámbito del escritorio. ¿Usas Snaps en Ubuntu u otras distribución? Snapscope a marcadores, entonces.

La entrada Snapscope: escanea paquetes Snap en busca de vulnerabilidades conocidas es original de MuyLinux