Long-term support alleen voor een deel van de software
Voor Ubuntu-experts is het gesneden koek, maar beginners zal het snel ontgaan: Canonical belooft alleen security-updates voor de Main-repository, waarvan de inhoud op dit moment uit meer dan 2300 bronpakketten bestaat. Dat is slechts een fractie van het software-aanbod dat standaard via apt te installeren is. Daarom activeren de voor desktop-pc's en notebooks bedoelde Ubuntu-varianten standaard ook Universe en Multiverse.
Het aantal bronpakketten in die repository's is respectievelijk meer dan 26.000 en 500. Sommige daarvan worden door de Ubuntu-community onderhouden, waarvan de deelnemers vaak goed werk verrichten. Maar slechts een klein deel van die pakketten wordt meer dan vijf jaar onderhouden. Voor een iets groter, maar nog steeds klein deel van de aangeboden pakketten is dat altijd nog drie jaar. Bij de meeste houdt het al veel eerder op. Voor sommige na negen maanden, maar een aantal wordt zelfs meteen na de release al niet meer bijgewerkt.
Ook bij een LTS-versie loop je naarmate de tijd verstrijkt dan ook het risico dat je met software werkt waar security-lekken inzitten. Erger nog: bij het uitkomen van 18.04 zitten er al meer dan een handvol pakketten in de repository's die sinds weken of maanden bekende security-lekken bevatten waar CVE-registraties voor zijn. Dat kun je zien met de CVE Tracker van Universe (zie de link onderaan dit artikel). Daar kun je ook zien dat in de repository's voor 16.04 en 14.04 honderden pakketten zitten die al langere tijd lekken bevatten. Daarvan gelden er 25 inmiddels als kritisch. Sommige daarvan zitten in exotische software, maar andere zitten in bekende serverdiensten als phpMyAdmin en Zabbix. Daarnaast zijn er honderden pakketten met middelzware kwetsbaarheden.
Sommige daarvan betreffen software voor het afspelen van gangbare audio- en videoformaten – bijvoorbeeld de vaak gebruikte plug-in Gstreamer, de populaire videoplayer VLC en zijn afhankelijkheden. Dergelijke audio- en videosoftware heeft ervoor gezorgd dat er de laatste tijd veel aanvallen op Android geweest zijn. Dat Ubuntu Desktop niet hetzelfde lot beschoren is geweest, lijkt voornamelijk te danken aan de mindere populariteit die de distributie heeft in vergelijking met Windows en Android.
In tegenstelling tot Debian ziet Ubuntu er met zijn support wat armzalig uit: daar krijgen alle pakketten van de standaard geactiveerde repository's in de regel drie jaar ondersteuning, en vaak zelfs vijf. Daarbij werkt de pakketbeheerder van Debian ook wat plichtsgetrouwer, want bekende lekken worden daar normaal gesproken snel gedicht. En dat terwijl het aantal in Debian beschikbare pakketten nog wat groter is dan bij Ubuntu.
Ter vergelijking: bij de gratis Red Hat Entrprise-kloon CentOS is het software-aanbod net zo overzichtelijk als bij de Main-repository van Ubuntu, maar die software wordt zelfs tien jaar bijgehouden in plaats van vijf. Dat geldt ook voor sommige add-on-repository's van de community, waar je meer software kunt krijgen.
Om te controleren hoe lang de op jouw systeem geïnstalleerde software onderhouden wordt, raadt het Ubuntuproject het volgende programma aan:
ubuntu-support-status Dat laat zien of en door wie de pakketten onderhouden worden. Als je daar
--show-unsupported achter zet, krijg je alleen de pakketten te zien waarvan bekend is dat ze door niemand meer bijgewerkt worden. Dan krijg je zelfs op een nieuwe installatie van Ubuntu Desktop 18.10 een tiental pakketten te zien als je met de standaard geïnstalleerde mediaplayer een H.264-video opent en de daarbij voorgestelde plugin van Gstreamer installeert. Er is echter geen commando om potentiële of bekende kwetsbaarheden bij geïnstalleerde Ubuntu-pakketten te laten zien. Daarvoor moet je je handmatig door de CVE Tracker heenwurmen.
Bij de via de Snap Store verspreidde programma's geldt dat allemaal niet, want daar is geen algemene onderhoudsstrategie voor. Iedere beheerder van een snap bepaalt zelf op welke manier en hoe lang hij de software onderhoudt. Veel beheerders houden hun snaps echter goed bij en leveren daar jarenlang correcties voor securitylekken voor. Maar ook in de Snap Store staan er talrijke programma's die in meerdere of mindere mate achter de tijd aanlopen.