Hast du wohl recht.
Dann läuft die zu installierende Software unter der Kategorie “Spezialsoftware” und man muss halt als AdminstratorIn selber die Software paketieren (als RPM oder DEB-Softwarepaket) und pflegen. Siehe auch:
https://forums.opensuse.org/showthread.php/568520-icedTea-Web-verbindungsproblem?p=3118969#post3118969
Vor der Installation von Spezialsoftware muss sich der/die AdministratorIn auch Gedanken zur Pflege dieser Spezialsoftware machen. Wie erhält der Administrator Kenntnis über bekannte Sicherheitslücken in der installierten Software? Ist der Administrator respektive die Administratorin in der Lage, bei Kenntnis einer bekannten Sicherheitslücke rasch die Sicherheitslücke(n) in allen installierten Softwarepakete der Spezialsoftware auf allen Rechnern zu schliessen? Wenn nein, sollte man aus Sicherheitsgründen von der Installation dieser Spezialsoftware absehen. Oder man trifft die im oben stehenden Link genannten Sicherheitsvorkehrungen für “Gammelsoftware”.
Ist der Administrator in der Lage, einmal jährlich die Spezialsoftware an das neue Minor- oder Major-Update von (Open-)SUSE anzupassen? => Siehe dazu den oben stehenden Link.
Zur Verfolgung von bekannten Sicherheitslücken in den (zahlreichen) installierten Softwarepakete wird ein brauchbarer, öffentlich zugänglicher CVE-Tracker benötigt. Seriöse Linux-Distributionen wie Ubuntu, Debian und Archlinux betreiben einen brauchbaren und öffentlich zugänglicher CVE-Tracker. Hier am Beispiel des Softwarepakets “Unbound”:
https://ubuntu.com/security/cves?q=&package=unbound&priority=&version=focal&status=
https://security-tracker.debian.org/tracker/source-package/unbound
https://security.archlinux.org/package/unbound
Zu (Open-)SUSE habe ich bis heute keinen öffentlich zugänglichen und brauchbaren CVE-Tracker gefunden?! => Unseriöse Linux-Distribution?
Aber die mir bis heute beste und bekannte CVE-Trackerlösung bietet FreeBSD mit der Webseite www.FreshPorts.org an. Man beachte das Totenkopfsymbol auf den Webseiten von FreshPorts.org. Zum Beispiel für das Softwarepaket “Unbound” (Totenkopfsymbol ab Unboud v1.12.0):
https://www.freshports.org/dns/unbound/
Und als Zugabe gibt es unter FreeBSD noch den Kommandozeilenbefehl “pkg audit”. Von so was kann man in der Welt der Linux-Distributionen wohl nur träumen…
https://klarasystems.com/articles/using-freebsds-pkg-audit-to-investigate-known-security-issues/
https://www.freebsd.org/cgi/man.cgi?pkg-audit
Und nach dem Lesen vom Artikel:
https://www.heise.de/hintergrund/Linux-Kernel-Security-Linux-Distributionen-fixen-manche-Kernel-Luecken-nicht-6146364.html
kriegt man höchstens Alpträume vom Linux-Kernel 
Softwarepakete im Format AppImage, Flatpak oder Snap basieren auf dem “Sandbox”-Prinzip (Sandkasten).
https://de.wikipedia.org/wiki/Sandbox
Das Sandbox-Prinzip hat man unter FreeBSD mit den Jails bereits vor zwei Jahrzehnten eingeführt und sicherheitsmässig “perfektioniert”.
https://docs.freebsd.org/de/books/handbook/jails/
Das Sandbox-Prinzip für die Installation von Softwarepaketen bietet den Vorteil, dass man Konflikte bei den zu installierenden Versionen der Programmbibliotheken elegant aus dem Weg geht:
- Programm A benötigt Version 1 der Programmbiblothek C.
- Programm B benötigt Version 2 der Programmbibliothek C.
- Version 1 und Version 2 der Programmbibliothek C können nicht gleichzeitig installiert sein.
Unter Linux gibt es neben den oben genannten Softwarepaketformate “nur” die Möglichkeit mit “chroot” eine Sandbox zu erzeugen. Siehe dazu:
https://forums.opensuse.org/showthread.php/560909-Pendant-zu-debootstrap
!!! Wichtig: Vor dem ersten Einsatz von “chroot” die Sicherheitshinweise in:
man chroot
beachten!
Hier eine Anleitung zur Installation und dem Betrieb einer chroot mit einer minimalen Betriebssystemumgebung unter SUSE Linux Enterprise Desktop 15 SP3. Diese Anleitung sollte auch unter OpenSUSE Leap 15.3 funktionieren:
Installation der chroot-Umgebung (Minimalumgebung)
--------------------------------------------------------------------------------
mkdir /var/mail/jail
rpm --root /var/mail/jail --import /usr/lib/rpm/gnupg/keys/*.asc
zypper --installroot /var/mail/jail/ install patterns-base-minimal_base
Start der chroot-Umgebung
--------------------------------------------------------------------------------
mount --bind /dev /var/mail/jail/dev/
mount --bind /proc /var/mail/jail/proc/
mount --bind /sys /var/mail/jail/sys/
mount -t tmpfs tmpfs -o nosuid,nodev,noexec,noatime,nodiratime /var/mail/jail/tmp/
mount -t tmpfs tmpfs -o nosuid,nodev,noexec,noatime,nodiratime /var/mail/jail/var/tmp/
chroot /var/mail/jail
Verlassen der chroot-Umgebung
--------------------------------------------------------------------------------
exit
Allenfalls muss für OpenSUSE Leap 15.3 der “zypper --installroot”-Befehl angepasst werden. Siehe dazu den oben stehenden Link.
Zwar waren manche Programme nach dem Rücksetzen des Menüs wieder da, aber die Flatpaks fehlten leider immer noch.
Allerdings bin ich mittlerweile auf die Ursache gestoßen, die erstmal abwägig erscheinen mag: Fish als Default-Shell.
Nachdem ich wieder auf Bash umstellte und nun stattdessen Skripte beim Öffnen des Terminals ausführe (u.a. fish),
brauchte ich nur noch ein flatpak update und alles wurde wieder angezeigt!
Da ja einige Leute eine andere Shell benutzen, finde ich es sehr ungünstig, dass sich das so auswirken kann. :sarcastic:
Hoffentlich kommt da noch ein Fix.