<div dir="ltr"><div><br></div><div>Is there any particular missing feature you're blocked on today?  Can you please provide a bit more detail about that particular case?</div><div><br></div><div>We'd be happy to work through that with you and make sure you're not blocked.</div><div><br></div><div><br></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Feb 1, 2017 at 6:29 PM, Howard Cochran <span dir="ltr"><<a href="mailto:howard@badger-technologies.com" target="_blank">howard@badger-technologies.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Wed, Feb 1, 2017 at 2:02 PM, Gustavo Niemeyer <<a href="mailto:gustavo@niemeyer.net">gustavo@niemeyer.net</a>> wrote:<br>
><br>
> Such embedded devices are still computers on the network. We'll all be much<br>
> better off if they are running their applications confined and secured.<br>
><br>
> That said, we understand that it takes some time and effort until most<br>
> software is properly confined, which is why we support snaps with classic<br>
> and devmode confinement.<br>
><br>
> Even there, though, we're keen to ensure that the general model supports a<br>
> comfortable migration towards proper confinement, as that's where we'll all<br>
> want to be in the end, so we shouldn't just go loose and implement features<br>
> that we know will break confinement unnecessarily.<br>
<br>
</span>Those are all very good points, and I agree with them. It appears, to<br>
me, though, that systemd has many features that can enhance<br>
confinement and/or tailor it in very targeted ways. It would be nice<br>
to be able to leverage those features. And many of its directives<br>
don't break confinement (especially some very common ones like<br>
Condition* and ExecStartPre/Post, Before, After, PartOf, Wants,<br>
Conflicts, RuntimeDirectory, and others.  Perhaps snapcraft could have<br>
a whitelist of allowed directives when confinement mode is strict?<br>
<br>
Thanks,<br>
<div class="HOEnZb"><div class="h5">Howard<br>
<br>
--<br>
Snapcraft mailing list<br>
<a href="mailto:Snapcraft@lists.snapcraft.io">Snapcraft@lists.snapcraft.io</a><br>
Modify settings or unsubscribe at: <a href="https://lists.ubuntu.com/mailman/listinfo/snapcraft" rel="noreferrer" target="_blank">https://lists.ubuntu.com/<wbr>mailman/listinfo/snapcraft</a><br>
</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><br>gustavo @ <a href="http://niemeyer.net" target="_blank">http://niemeyer.net</a></div>
</div></div>