Часть сообщества критикует данное решение, опасаясь усложнения разработки новых драйверов для XLibre, но Энрико настаивает на нужности такого подхода. В качестве аргументов упоминается аналогичная модель разработки ядра Linux, фактически не имеющего стабильного ABI, а также «сырое» состояние кодовой базы XLibre, которая всё ещё проходит через полномасштабный рефакторинг. Впрочем, в будущем с ростом зрелости проекта разработчики не исключают стабилизацию ABI. Разработка новых драйверов для X11 вне дерева XLibre возможна, однако синхронизация ABI остаётся на совести разработчика. Для не желающих ставить все драйверы вместе с сервером обещают реализовать флаги сборки.

Также можно отметить появление порта XLibre для FreeBSD и обсуждение перевода XLibre на Rust. Разработчики высказались против переписывания частей XLibre на Rust, аргументируя это длительностью процесса, падением производительности, недостатком преимуществ и сложностью поддержки двуязычной кодовой базы.

1. Главная ссылка к новости
2. OpenNews: Мейнтейнеры NixOS отказались поддерживать XLibre
3. OpenNews: Разработчик KWin объявил альтернативные X-серверы нежелательными в KDE
4. OpenNews: Дистрибутив Artix Linux начал поставку сборок с XLibre, форком X.Org Server
5. OpenNews: Релиз XLibre 25.0, форка X.Org Server
6. OpenNews: Проект X11Libre создал форк X.Org Server, избавленный от влияния корпораций

В настоящее время по умолчанию в Fedora предлагается собственный flatpak-репозиторий, содержимое которого формируется на основе пересборки rpm-пакетов. По умолчанию загрузку пакетов из FlatHub можно включить лишь после установки, активировав в менеджере приложений GNOME опцию "Enable Third-Party Repositories", но даже в этом случае пакеты из репозитория Fedora являются более приоритетными.

По мнению Майкла большинство пользователей предпочло бы установку пакетов из каталога FlatHub, собираемых основными разработчиками приложений, а не сопровождающими Fedora (80% участников дискуссии высказались за использование FlatHub). Предполагается, что разработчики приложений лучше знают нюансы своих проектов и собирают более качественно работающие flatpak-пакеты, тщательнее протестированные сообществом. При этом сопровождающие rpm-пакеты в Fedora не проявляют ожидаемого интереса к поддержанию вариантов пакетов в формате flatpak и не уделяют должного внимания сообщениям об ошибках в таких пакетах, что приводит к тому, что качество flatpak-пакетов от Fedora ниже, чем размещённых во FlatHub пакетах от основных проектов.

Многие пользователи не в курсе, что устанавливая flatpak-пакет через менеджер приложений Fedora, он устанавливается не из FlatHub, как в других дистрибутивах, а из репозитория Fedora, пакеты в котором отличаются от вариантов с FlatHub. Из-за этого проблемы, специфичные для пакетов из репозитория Fedora, воспринимаются как проблемы в официальных пакетах с FlatHub и претензии направляются основным разработчикам, а не сопровождающим Fedora. Например, поставка проблемного flatpak-пакета OBS Studio в Fedora, который являлся более приоритетным, чем пакет из FlatHub, в феврале привела к конфликту с проектом OBS Studio.

Применение собственного Flatpak-репозитория обусловлено необходимостью сборки в заслуживающем доверия окружении. Для пакетов во FlatHub, даже если рассматривать только верифицированные пакеты, за публикацию которых отвечают основные проекты, сборка производится во внешних инфраструктурах, безопасность которых может вызывать сомнение. Из достоинств поддержания собственного репозитория в Fedora упоминаются гарантии, что пакет собран из заявленного исходного кода и содержит только компоненты под открытыми лицензиями, одобренными к использованию Fedora. Пакеты в Fedora-репозитории также могут включать патчи, доступные только для RPM-пакетов в Fedora и пока не принятые в основную кодовую базу проектов.

Предложение Майкла сводится к включению по умолчанию в атомарной редакции Fedora Workstation поддержки установки пакетов из FlatHub, находящихся в категории "свободное ПО". Возможность установки из FlatHub коснётся только пакетов, устанавливаемых пользователями через менеджер приложений GNOME Software. Все предустанавливаемые по умолчанию flatpak-пакеты продолжат загружаться из собственного репозитория Fedora, но для не применяемых по умолчанию пакетов в качестве источника для загрузки предлагается задействовать FlatHub.

Перед переходом на FlatHub предлагается совместно внедрить во FlatHub возможности для сборки пакетов в заслуживающей доверие инфраструктуре и задействовать проверки на базе воспроизводимых сборок. Кроме того, следует решить вопрос с применением в пакетах устаревших версий Flatpak Runtime, в которые уже прекращён перенос исправлений уязвимостей. В настоящее время 994 из 3438 (почти треть) проверенных пакетов из FlatHub используют Runtime, время поддержки которых истекло. Проблемы с безопасностью также возникают из-за устаревших внутренних зависимостей, включаемых в состав пакетов, и применения недостаточных мер sandbox-изоляции (разработчики некоторых пакетов отключают режимы защиты). Проблемы предлагается решить через реализацию автоматизированных проверок устаревших runtime и зависимостей, и форсирование применения полноценной sandbox-изоляции.

Кроме Майкла, с похожим предложением также выступил Тимоти Равье (Timothée Ravier): в Fedora 43 предлагается продолжить поставку предустановленных flatpak-пакетов из репозитория Fedora, но добавить фильтр, допускающий установку из FlatHub избранных проверенных приложений. В качестве достоинств предложенного решения называется снижение путаницы у пользователей и разработчиков основных проектов (разработчикам приходится разбирать сообщения об ошибках, специфичных для Flatpak-пакетов Fedora, отправленных под видом, что они присутствуют в официальном flatpak-пакете). Изменение также снизит нагрузку на сопровождающих и позволит им сфокусироваться на передаче исправлений в основные проекты и тестировании предустанавливаемых по умолчанию Flatpak-пакетов.

1. Главная ссылка к новости
2. OpenNews: Проекту Fedora пригрозили иском из-за поставки сбойного flatpak-пакета с OBS Studio
3. OpenNews: Релиз системы самодостаточных пакетов Flatpak 1.16.0
4. OpenNews: Каталог приложений Flathub достиг отметки в 2 миллиарда загрузок
5. OpenNews: Уязвимость во flatpak, позволяющая обойти sandbox-изоляцию
6. OpenNews: Fedora 38 предложит неограниченную поддержку Flathub

Основные изменения в MySQL 9.4:

• В хранимых процедурах, написанных на языке JavaScript, реализована поддержка типа BIT. Значения с типом BIT меньше или равные JavaScript.MAX_SAFE_INTEGER преобразуются в JavaScript-тип Number, а большие - в JavaScript-тип BigInt.
• В утилиту командной строки mysql добавлена опция "--commands", позволяющая включить поддержку выполнения локальных команд (по умолчанию команды отключены):
  • charset
  • clear
  • connect
  • edit
  • ego
  • exit
  • go
  • help
  • nopager
  • notee
  • nowarning
  • pager
  • print
  • prompt
  • query_attributes
  • quit
  • rehash
  • resetconnection
  • ssl_session_data_print
  • source
  • status
  • system
  • tee
  • \u
  • warnings
• На смену плагину firewall, позволяющему фильтровать SQL-запросы к СУБД на основе заданных шаблонов, предложен компонент MySQL Enterprise Firewall, реализующий идентичную функциональность за исключением поддержки профилей учётных записей (вместо этого поддерживаются профили групп). Плагин firewall объявлен устаревшим и будет удалён в одном из следующих выпусков. MySQL Enterprise Firewall доступен только пользователям коммерческой версии MySQL Enterprise Edition.
• Устранено 30 уязвимостей, из которых одна может быть эксплуатирована удалённо при наличии доступа для отправки запросов к СУБД. Четыре наиболее серьёзных проблемы имеют уровень опасности 6.5 и связаны с уязвимостями в DML и оптимизаторе. Менее опасные уязвимости затрагивают InnoDB, оптимизатор, хранимые процедуры, LDAP Auth и систему репликации.

1. Главная ссылка к новости
2. OpenNews: Уязвимости в Java SE, MySQL, VirtualBox и других продуктах Oracle
3. OpenNews: Выпуск СУБД MySQL 9.3.0
4. OpenNews: Представлен openHalo, инструментарий для миграции с MySQL на PostgreSQL
5. OpenNews: Доступна СУБД MySQL 9.0.0
6. OpenNews: Опубликована новая LTS-ветка СУБД MariaDB 11.8

Основные новшества в Firefox 141:

• Добавлена экспериментальная поддержка автоматической группировки вкладок, основанная на использовании локально выполняемой AI-модели, определяющей вкладки, сходные по тематике. После перетаскивания мышью одной вкладки на другую или открытии контекстного меню с параметрами группы, браузер теперь показывает кнопку "Suggest more of my tabs", после нажатия на которую выводится список похожих вкладок для их быстрого включения в группу. AI также предлагает релевантное имя группы. Функция пока по умолчанию включена не для всех и постепенно будет активироваться для всё большего процента пользователей. Для принудительного включения можно активировать параметр "browser.tabs.groups.smart.enabled" на странице about:config.
• Предоставлена возможность изменения размера области инструментов в нижней части боковой панели вертикальных вкладок. Для разделения места под вкладки и инструменты достаточно переместить мышью горизонтальный разделитель секций. Если все инструменты не вмещаются в выбранную область, то часть из них будет вынесена в дополнительно раскрываемое меню.
• В адресную строку встроен конвертер единиц измерения, поддерживающий преобразование часовых поясов и величин углов, расстояния, температуры, массы и силы. При клике на результат он будет сохранён в буфер обмена.
• В сборках для платформы Linux снижено потребление памяти и убрано требование перезапуска после обновления при помощи пакетного менеджера.
• Для пользователей из Бразилии, Испании и Японии включена функция автозаполнения адресов в web-формах, которая ранее была доступна только для США, Великобритании, Канады, Германии, Франции, Польши, Италии и Австрии.
• По умолчанию в сборках для платформы Windows активирован API WebGPU и язык шейдеров WGSL (WebGPU Shading Language). Для Linux и macOS поддержка WebGPU будет включена в одном из следующих выпусков, до этого WebGPU можно активировать через параметры "dom.webgpu.enabled" и "gfx.webrender.all" на странице about:config. WebGPU предоставляет схожий с Vulkan, Metal и Direct3D 12 программный интерфейс для выполнения операций на стороне GPU. WebGPU даёт возможность приложениям на языке JavaScript контролировать организацию, обработку и передачу команд к GPU, управлять связанными ресурсами, памятью, буферами, объектами текстур и скомпилированными графическими шейдерами.
• При возвращении сервером значения "cache" в HTTP-заголовке "Clear-Site-Data" дополнительно реализована очистка кэша перехода (BFCache - Back-forward cache), обеспечивающего мгновенный переход при использовании кнопок "Назад" и "Вперёд" или при навигации по ранее просмотренным страницам текущего сайта.
• В HTML-элемент <dialog> добавлен атрибут "closedby", позволяющий определить поведение при закрытии диалога. Значение "none" подразумевает, что пользователь не может закрыть диалог; "closerequest" - допускает закрытие нажатием клавиши ESC; "any" приводит к закрытию при клике мышью в области за пределами диалога или при нажатии ESC.
• Возвращена поддержка технологии CHIPS (Cookies Having Independent Partitioned State), позволяющей изолировать Cookie в привязке к домену первого уровня, используя атрибут "Partitioned". Если в обычных условиях сторонний код с сайта "C", встроенный на сайты "A" и "В", может обрабатывать общие для данных сайтов Cookie, то при указании атрибута "Partitioned", выставленные сайтом "C" Cookie, при загрузке кода с сайтов "A" и "В", будут полностью разделены.
• В JavaScript-методы HTMLElement.showPopover() и HTMLElement.togglePopover() добавлен аргумент "options.source", ссылающийся на обработчик открытия всплывающего окна (popover). В метод togglePopover() добавлен аргумент "options.force" для принудительного открытия или закрытия всплывающего окна.
• В интерфейс PointerEvent добавлено свойство persistentDeviceId, а в интерфейс IntersectionObserver свойство scrollMargin.
• Добавлено CSS-свойство "font-variant-emoji" для настройки стиля отображения Emoji. Например, можно выбрать текстовое или графическое представление.
  
  
• В версии для платформы Android переделано меню; реализована автоматическая блокировка приватных вкладок после переключения на другое приложение; обеспечена подсветка домена в адресной строке; добавлена функция для отправки PDF-файлов в другие приложения.

Кроме новшеств и исправления ошибок в Firefox 141 устранено 27 уязвимостей. 13 уязвимостей вызваны проблемами работы с памятью, такими как переполнения буферов и обращение к уже освобождённым областям памяти. Потенциально данные проблемы способны привести к выполнению кода злоумышленника при открытии специально оформленных страниц.

1. Главная ссылка к новости
2. OpenNews: В Firefox и Safari будет включена поддержка WebGPU
3. OpenNews: Релиз Firefox 140
4. OpenNews: Mozilla переходит к поставке Firefox с условиями использования
5. OpenNews: Разработка Firefox перенесена с Mercurial на Git и GitHub
6. OpenNews: Изменение правил в каталоге дополнений к Firefox

В настоящее время в OSS Rebuild реализована поддержка верификации пакетов из репозиториев NPM (JavaScript/TypeScript), PyPI (Python) и Crates.io (Rust). В будущем число поддерживаемых репозиториев планируют расширить. На практике инструментарий позволяет выявлять варианты атаки класса "supply chain", в ходе которых после компрометации учётных записей сопровождающих или диверсии внутри проекта в репозитории публикуется вредоносное обновление. При этом код в исходном репозитории основного проекта остаётся корректным, а вредоносные изменения вносятся только в готовые пакеты.

Система по возможности автоматически формирует сценарий для воспроизводимой сборки выбранного пакета, используя эвристику и подбирая параметры, позволяющие добиться идентичности артефактов, поставляемых в пакете. Если автоматически не удаётся воспроизвести размещённый в репозитории пакет, возможно ручное добавление сборочной спецификации. После того как удалось воспроизвести пакет, инструментарий OSS Rebuild сохраняет описание процесса сборки для последующей проверки новых версий пакета. Дополнительно публикуется информация для верификации с использованием фреймворка SLSA.

После проведения проверки конкретной версии пакета формируются данные аттестации, которые могут использоваться другими для оценки уже верифицированных пакетов. Проверку можно осуществить через запуск утилиты командной строк или сверку хэша, сохранённого в отдельном облачном хранилище. Инфраструктуру для проверки пакетов можно развернуть на собственном сервере. Так же можно воспользоваться информацией о проверках, выполняемых в Google для нескольких тысяч пакетов.

В качестве примеров разных методов атак, от которых мог бы защитить OSS Rebuild, приводится добавление бэкдора в XZ, внедрение вредоносного кода в официальный JavaScript-клиент для криптовалюты Solana и подстановка изменений через Actions-обработчик changed-files:

• В случае с проектом XZ код в репозитории не содержал подозрительных изменений, а образующие бэкдор вредоносные компоненты поставлялись внутри файлов, используемых в тестовом наборе для проверки корректности работы распаковщика XZ. Бэкдор активировался на уровне системы сборки, а сам исходный код XZ совпадал с кодом из репозитория. Активирующие бэкдор m4-макросы для инструментария Automake были включены только в готовый архив с кодом и отсутствовали в репозитории. Для выявления подобных атак в OSS Rebuild применяется динамический анализ поставляемых в пакете артефактов, путей выполнения и подозрительных операций.
• Подстановка вредоносных изменений в библиотеку @solana/web3.js произошла из-за компрометации учётной записи сопровождающего, используя методы социального инжиниринга и фишинга. В репозитории NPM был размещён новый выпуск, включающий вредоносные изменения. В Git-репозитории проекта этот выпуск создан не был и вредоносные изменения присутствовали только в результирующем пакете. Защита в этом случае сводится к выявлению в пакете кода, отсутствующего в основном репозитории.
• Компрометация репозитория обработчика changed-files позволила провести атаку на проекты, использующие changed-files для отслеживания изменения файлов и каталогов в инфраструктуре непрерывной интеграции на базе GitHub Actions. Для защиты от подстановки изменений после компрометации сборочного окружения в OSS Rebuild применяется отслеживание изменений и подозрительной активности в стандартизированных урезанных сборочных окружениях.

1. Главная ссылка к новости
2. OpenNews: В NixOS предложен метод защиты от подстановки бэкдоров, таких как в XZ
3. OpenNews: Google предложил SLSA для защиты от вредоносных изменений в процессе разработки
4. OpenNews: Оценка проблем с сопровождением открытых проектов и использованием старых зависимостей
5. OpenNews: Red Hat и Google представили Sigstore, сервис для криптографической верификации кода
6. OpenNews: Атака на зависимости позволила выполнить код на серверах PayPal, Micrоsoft, Apple, Netflix, Uber и ещё 30 компаний

Формат APV обеспечивают высокую пропускную способность и низкую сложность внутрикадрового кодирования, необходимые монтажным кодекам (среди них Apple ProRes и Avid DNxHD), а также отсутствие видимого снижения качества при повторном кодировании. Поддерживаются разрешения 2K, 4K и 8K, стандарт HDR10/10+ для использования расширенного динамического диапазона в видео, разбивка кадров (tiling) для распараллеливания кодирования/декодирования, различные форматы дискретизации цвета, многоракурсное видео (multi-view), добавление метаданных (глубина, прозрачность, данные для предпросмотра). Для ускорения работы в библиотеке OpenAPV поддерживается многопоточное кодирование и декодирование, а также задействованы оптимизации с использованием расширенных наборов команд NEON (ARM) и SSE/AVX (x86).

В новой версии добавлена поддержка семейств APV (APV family), определяющих типовые конфигурации кодека, отвечающие определённым требованиям к размеру и битрейту. Учтены последние доработки спецификации. Добавлена поддержка профилей 422-12, 444-10, 444-12, 4444-10, 4444-12 и 400-10. Внесены оптимизации для сокращения времени кодирования и декодирования. Реализованы защищённые методы доступа к буферу битового потока (bitstream) и управления метаданными. Расширен API.

1. Главная ссылка к новости
2. OpenNews: Pixar передал проект OpenTimelineIO под покровительство Linux Foundation
3. OpenNews: Инициатива по развитию открытого ПО для киноиндустрии
4. OpenNews: Разработчики кодека AV1 представили формат IAMF для объёмного звука
5. OpenNews: Уязвимость в эталонных реализациях кодеков AV1 и VP8/VP9
6. OpenNews: Опубликован свободный видеокодек Theora 1.2

Отправленное сопровождающим сообщение было стилизовано под типовые уведомления NPM, отправляемые с адреса "[email protected]", но в качестве ссылки для перехода был указан домен "npnjs.com" вместо "npmjs.com" (третья буква "n" вместо "m"). Атакующие воспользовались психологическим эффектом, из-за которого мозг, предвосхищая ожидаемый результат, не замечает незначительные искажения, такие как замена букв на похожие или изменение порядка следования букв в слове. При переходе по ссылке открывалась полная копия сайта npmjs.com (вероятно, был настроен прокси, перехватывающий токен доступа).

В ходе атаки были сформированы новые версии пакетов:

• eslint-config-prettier: 8.10.1, 9.1.1, 10.1.6, 10.1.7.
• eslint-plugin-prettier: 4.2.2, 4.2.3.
• synckit: 0.11.9.
• @pkgr/core: 0.2.8.
• napi-postinstall: 0.3.1.

В сформированные выпуски был добавлен вредоносный код для атаки на пользователей, использующих платформу Windows. Внесённые изменения загружали библиотеку node-gyp.dll, содержащую функциональность для удалённого выполнения команд в системе.

Сопровождающий заметил, что стал жертвой фишинга примерно через час после поступления первой жалобы о публикации подозрительных релизов. Он сразу отозвал токен доступа, поменял пароли и пометил проблемные версии устаревшими для предотвращения загрузки автоматизированными сборочными системами и отправил запрос на удаление проблемных версий из репозитория в службу поддержки NPM.

Не уточняется сколько пользователей успело загрузить вредоносные версии (например, вредоносная версия пакета eslint-plugin-prettier оставалась в репозитории около двух дней). За прошлую неделю пакет eslint-config-prettier насчитывал 30 млн загрузок и использовался в качестве зависимости у 11762 тысячи пакетов, пакет eslint-plugin-prettier - 21 млн загрузок (8468 зависимых пакетов), synckit - 18 млн, @pkgr/core - 16 млн и napi-postinstall - 10 млн.

Дополнение: Выявившие фишинг-атаку исследователи несколько дней назад также обратили внимание на 28 NPM-пакетов, авторами которых было включено изменение категории Protestware. Изменение приводило к воспроизведению украинского гимна и отключению обработки событий от мыши на сайтах в доменных зонах "ru", "su", "by" и "рф", если пользователь ранее уже открывал сайт более трёх дней назад и в его браузере была включена поддержка русского языка. Изначально изменение было реализовано около трёх лет назад в пакете Sweetalert2, насчитывающем 700 тысяч загрузок в неделю и используемого в 2403 других пакетах как зависимость. Наличие протестной активности было отдельно упомянуто на странице проекта. Через какое-то время изменение стало заимствоваться авторами других пакетов, как правило насчитывающие несколько сотен загрузок в неделю.

1. Главная ссылка к новости
2. OpenNews: Злоумышленники смогли внедрить бэкдор в NPM-пакет от разработчиков криптовалюты XRP
3. OpenNews: Утечка пользовательской базы списка рассылки автора сервиса HaveIBeenPwned
4. OpenNews: Из-за опечатки в настройках атакующие могли подменить DNS-сервер MasterCard
5. OpenNews: В NPM-пакет node-ipc внесено вредоносное изменение, удаляющее файлы на системах в России и Беларуси
6. OpenNews: Разработчик внёс деструктивные изменения в NPM-пакеты colors и faker, применяемые в 20 тысячах проектов

DXVK-Sarek продолжает использовать кодовую базу ветки DXVK 1.10.x (последняя ветка серии DXVK 1.x), в которую из новых выпусков DXVK переносятся изменения, связанные с поддержкой игр и исправлением ошибок. Параллельно проектом сопровождается ответвление Proton-Sarek, развивающее вариант пакета для запуска Windows-игр Proton (на базе GE-Proton 10 и Proton 10-beta) для устройств и систем без поддержки Vulkan 1.3.

Кроме того, автор DXVK-Sarek на днях выпустил релиз приложения volt-gui 1.0, предоставляющего графический интерфейс для настройки параметров графических драйверов, Mesa и ядра Linux с целью оптимизации работы игр в Linux. Например, предоставляются опции для выбора режима работы планировщика задач, управления использованием VSync, кэшированием шейдеров, включением различных оптимизаций и подменой выдаваемой информации о версиях OpenGL и Vulkan.

Дополнительно можно отметить принятие в кодовую базу Mesa, на основе которой формируется релиз 25.2, большой порции исправлений для старых GPU AMD Radeon HD 2000/3000/4000, предшествующих GPU HD 5000 семейства Evergreen. Одно из исправлений позволило наладить прохождение примерно 120 тестов из пакета Piglit, нацеленного на выявление регрессий в поддержке OpenGL.

1. Главная ссылка к новости
2. OpenNews: Выпуск DXVK 2.7, реализации Direct3D 8/9/10/11 поверх API Vulkan
3. OpenNews: Опубликован графический стандарт Vulkan 1.3
4. OpenNews: Бета-версия Proton 10.0
5. OpenNews: Компания Valve выпустила Proton 9.0-4, пакет для запуска Windows-игр в Linux
6. OpenNews: Выпуск Wine 10.9, Wine staging 10.9 и GE-Proton 10-4

Среди других изменений в ветке Plasma 6.5:

• Добавлена поддержка изменения размера боковых панелей менеджера приложений (Discover) и интерфейса с информацией о системе (System Monitor). Выбранный размер сохраняется в отдельном файле конфигурации, отражающем параметры состояния окна и не пересекающемся с файлом с общими настройками.
• В виджет "Disks & Devices" добавлена возможность быстрого монтирования диска без проверки ошибок, а также опция для запуска процесса проверки без монтирования.
• В KRunner началась работа над улучшением ранжирования результатов поиска. Из реализованных возможностей отмечено прекращение увеличения приоритета для приложений KDE и элементов из секции "Избранное".
• В виджете с прогнозом погоды реализована загрузка прогноза с внешнего сервера сразу после выхода из спящего режима, если система находилась в нём дольше 30 минут.
• В интерфейсе добавления нового пользователя реализована кнопка "Отмена" для закрытия диалогового окна.

1. Главная ссылка к новости
2. OpenNews: Возобновлена разработка окружения KDE Plasma Bigscreen для телевизоров
3. OpenNews: В KDE улучшена настройка переключения между дневным и ночным оформлением
4. OpenNews: Релиз среды рабочего стола KDE Plasma 6.4
5. OpenNews: Сравнение производительности сеансов KDE Plasma на базе X11 и Wayland
6. OpenNews: Планы KDE по прекращению поддержки сеанса X11

Пользователям Clear Linux рекомендовано перевести свои системы на другие дистрибутивы. При этом отмечается, что Intel продолжит активно поддерживать экосистему Linux и участвовать в разработке различных открытых проектов и Linux-дистрибутивов для добавления поддержки своего оборудования и оптимизации работы с ним. Предполагается, что вовлечённые в разработку Clear Linux сотрудники Intel попадают под массовое сокращение, в ходе которого персонал компании будет уменьшен на 5 тысяч человек.

Напомним, что базовая часть Clear Linux содержит только минимальный набор инструментов для запуска контейнеров и обновляется атомарно через замену рабочих снапшотов Btrfs. Все приложения оформлены в виде пакетов Flatpak или наборов (Bundle), запускаемых в отдельных контейнерах. Внутри контейнеров выполняется специально оптимизированная копия Clear Linux, содержащая необходимые для запуска целевого приложения наборы (bundle).

Версия дистрибутива охватывает состояние версий всех входящих в него компонентов - изменение любой части системы всегда приводит к изменению общей версии всего дистрибутива. Система не сохраняет своё состояние (stateless) и после установки не содержит заранее добавленных настроек в каталоге /etc, а генерирует настройки на лету на основе указанных при запуске шаблонов.

Для изоляции контейнеров задействован инструментарий Kata Containers, применяющий полноценную виртуализацию на базе гипервизора KVM. В Kata Containers удалось минимизировать время запуска изолированного окружения на базе KVM и снизить потребление памяти, приблизив эти показатели к характеристикам обычных контейнеров. Для уменьшения потребления памяти применяется механизм DAX (прямой доступ к ФС в обход страничного кэша без применения уровня блочных устройств), а для дедупликации одинаковых областей памяти применяется технология KSM (Kernel Shared Memory).

1. Главная ссылка к новости
2. OpenNews: Проект Clear Linux смещает акцент при разработке на серверы и облачные системы
3. OpenNews: Intel опубликовал редакцию дистрибутива Clear Linux для разработчиков приложений
4. OpenNews: Intel представил Clear Linux с контейнерами приложений на базе виртуализации
5. OpenNews: Intel представил инструментарий Clear Containers 3.0, переписанный на языке Go
6. OpenNews: Выпуск Kata Containers 3.4 с изоляцией на основе виртуализации

В пакетах в файле PKGBUILD присутствовала ссылка на патчи, загружаемые из внешних репозиториев на GitHub (zenbrowser-patch, youtube-viewbot). Патчи вносили изменение в установочный процесс, приводящее к запуску скрипта на языке Python для установки трояна Chaos. Троян позволял получить удалённый доступ к системе, отправлять на внешний сервер конфиденциальные файлы и выполнять команды, например, для майнинга криптовалюты. Вредоносный исполняемый файл размещался как /usr/local/share/systemd-initd и запускался при помощи сервиса custom-initd.service, копируемого в каталог с systemd. При отсутствии прав root во время установки троян помещался в домашний каталог пользователя (~/.local/share/systemd-initd).

Вредоносные пакеты были размешены в репозитории AUR 16 июля примерно в 23 часа (MSK). Для продвижения вредоносных пакетов 18 июля в 15 часов (MSK) была развёрнута спамерская кампания. Например, для стимулирования установки в примечании к сборке с браузером Zen было отмечено решение критических проблем со стабильностью и отрисовкой, а также устранение утечек памяти.

Пакеты были удалены администраторами репозитория 18 июля в 19 часов (MSK). Почти сразу пользователи репозитория обратили внимание на ещё четыре вредоносных пакета minecraft-cracked, ttf-all-ms-fonts, ttf-ms-fonts-all и vesktop-bin-patched, размещённых под другой учётной записью примерно в 21 час 18 июля (MSK). На момент написания новости данные пакеты уже удалены из репозитория.

1. Главная ссылка к новости
2. OpenNews: Эксперимент по получению контроля над пакетами в репозитории AUR
3. OpenNews: Представлен DUR, аналог пользовательского репозитория AUR для Debian
4. OpenNews: В AUR-репозитории Arch Linux найдено вредоносное ПО
5. OpenNews: В репозитории PyPI выявлено около 5000 оставленных в коде секретов и 8 вредоносных обфускаторов
6. OpenNews: В репозитории Hugging Face выявлены вредоносные AI-модели, выполняющие код

Ключевыми особенностями платформы является низкое потребление ресурсов (может использоваться на плате Raspberry Pi или в дешёвых VPS) и простой процесс установки. Предоставляются типовые возможности работы с проектами, такие как управление задачами, отслеживание проблем (issues), pull-запросы, wiki, средства для координации групп разработчиков, подготовка релизов, автоматизация размещения пакетов в репозиториях, управление правами доступа, сопряжение с платформами непрерывной интеграции, поиск кода, аутентификация через LDAP и OAuth, доступ к репозиторию по протоколам SSH и HTTP/HTTPS, подключение web-хуков для интеграции со Slack, Discord и другими сервисами, поддержка Git-хуков и Git LFS, инструменты для миграции и зеркалирования репозиториев. Отдельно выделяется возможность использования протокола ActivityPub для объединения в федеративную сеть отдельных серверов разработчиков.

Основные изменения:

• Переработана страница с профилем пользователя. Добавлены дополнительные действия в меню профиля.
• Улучшен интерфейс рецензирования pull-запросов на уровне отдельных коммитов (вместо полного списка изменений, охватывающего все коммиты, в данном режиме последовательно рецензируются отдельные коммиты). Для навигации по коммитам при рецензировании добавлены кнопки "вперёд" и "назад". Разрешено использование кнопки завершения рецензирования для отдельных коммитов. На страницах рецензирования оставлен видимым текст пояснения к коммиту.
• Добавлена опция для отправки на email уведомлений о сбоях при выполнении работ по расписанию (Forgejo Actions).
• Оптимизирован процесс проверки конфликтов с открытыми pull-запросами при помещении в целевую ветку новых коммитов. Ранее подобная проверка приводила нагрузке на ввод/вывод, пропорциональной числу открытых pull-запросов из-за применения операции к рабочему дереву. Переход на использование команды "git merge-tree --write-tree" позволил выполнять слияния, не обращаясь к рабочему дереву, что существенно снизило нагрузку в крупных внедрениях.
• Добавлена возможность использования SSH для задач, ранее завязанных на OpenPGP. Для подписи коммитов после редактирования файлов или приёма изменений, вместо ключа GPG теперь может применяться ключ SSH (подпись формируется в TPM через ssh-agent).
• По умолчанию добавлен файл robots.txt для информирования ботов о разделах, которые не следует индексировать.
• Добавлена функция для поддержания форка в состоянии, синхронизированном с основным проектом.
• Добавлена поддержка предпросмотра 3D-моделей в формате glTF.
• В редакторе комментариев реализована возможность расстановки отступов клавишей Tab.
• На базе Alpine 3.22 сформирован готовый образ контейнера для запуска Forgejo 12, использующий Git 2.49.1, GnuPG 2.4.7, SQLite 3.49.2 и OpenSSH 10.0.

1. Главная ссылка к новости
2. OpenNews: Доступна платформа совместной разработки Forgejo 9.0, перешедшая на лицензию GPLv3
3. OpenNews: Fedora на пути к переводу Git-сервисов совместной разработки на платформу Forgejo
4. OpenNews: Уязвимость в платформе совместной разработки Gogs, позволяющая выполнить код на сервере
5. OpenNews: Проект Guix переходит на Git-хостинг Codeberg
6. OpenNews: Платформа совместной разработки Forgejo полностью отделилась от Gitea

В 2016 году, после замечаний о том, что сайт создаёт впечатление причастности Bitvise к разработке PuTTY, на страницу было добавлено примечание, что упомянутые продукты Bitvise никак не связаны с PuTTY и не должны восприниматься как рекомендуемые проектом PuTTY. В 2018 году на сайте появилась страница "FAQ", на которой было сказано, что компания Bitvise не имеет отношения к PuTTY, но развивает свой SSH-сервер, совместимый с PuTTY. В FAQ также было упомянуто, что многие клиенты Bitvise пользуются PuTTY и вынуждены искать страницу загрузки проекта, поэтому компания выкупила домен и создала отдельный сайт.

Со временем сайт putty.org стал восприниматься некоторыми пользователями как основная точка входа для загрузки PuTTY, а при поиске в Google, Yandex, Duckduckgo и Bing по ключевому слову "putty" домен putty.org показывается выше, чем официальная страница проекта www.chiark.greenend.org.uk/~sgtatham/putty. Сайт putty.org также часто упоминают в обсуждениях и рекомендациях, связанных с PuTTY.

13 июля один из блоггеров опубликовал заметку с критикой использования домена putty.org для рекламы продуктов Bitvise и призывом вернуть домен разработчику PuTTY. Утверждается, что компания Bitvise вводит пользователей в заблуждение, извлекает выгоду из возникшей путаницы и злоупотребляет доверием к открытому ПО для рекламы собственного SSH-клиента, конкурирующего с PuTTY.

Денис Бидер из компании Bitvise, владеющий доменом putty.org и никак не связанный с разработкой PuTTY, ответил, что проект PuTTY изначально не владел доменом и разговоры о возвращении домена, которого у проекта PuTTY никогда не было, беспочвенны и вводят окружающих в заблуждение. По словам Дениса, выкупив домен и использовав его для перенаправления на основную страницу загрузки он действовал без корыстных мотивов, а ссылки на своё ПО разместил для компенсации своих затрат.

После переписки с автором заметки Денис Бидер оскорбился, назвал призывы освободить домен происками коммунистов и заменил содержимое сайта, начав использовать его для распространения конспирологических и антивакцинаторских теорий. Ссылка на загрузку PuTTY была оставлена, но перемещена в самый низ страницы. В качестве мотива изменения указано, что так как страница пользуется популярностью, решено использовать её для дела, которое, по мнению владельца домена, послужит общему благу.

1. Главная ссылка к новости
2. OpenNews: Выпуск SSH-клиента PuTTY 0.83
3. OpenNews: Создатель форка Audacity покинул проект после конфликта при выборе нового имени
4. OpenNews: Конфликт, связанный с торговыми марками PostgreSQL, остаётся не урегулирован
5. OpenNews: OBS Studio и Fedora урегулировали конфликт
6. OpenNews: Линус Торвальдс вступил в дискуссию с антипрививочником в списке рассылки ядра Linux

Среди добавленных улучшений:

• В движке рендеринга EEVEE реализована полная поддержка бэкенда для отрисовки c использованием графического API Vulkan. По сравнению с прошлой версией существенно повышена производительность при использовании Vulkan, а уровень функциональности Vulkan-бэкенда доведён до паритета с бэкендом на базе OpenGL (например, добавлена поддержка OpenXR, Subdivision и USD/Hydra). Для корректной работы Vulkan-бэкенда рекомендуется использовать свежие версии графических драйверов и Mesa. По умолчанию пока продолжает использоваться бэкенд OpenGL.
• Более чем в два раза ускорена загрузка текстур (с 5.7 секунд до 2.5 секунд) и заметно сокращено время запуска (с 7.2 секунд до 4 секунд). Включена по умолчанию многопоточная компиляция шейдеров. Добавлена настройка для выбора метода компиляция шейдеров (многопоточный или с выносом в отдельный процесс).
• Добавлено новое свойство "Смещение нормали теневого терминатора" (Shadow Terminator Normal Offset), позволяющее смещать лучи от поверхности для уменьшения артефакта теневого терминатора на низкополигональной геометрии.
• Реализован алгоритм Reverse-Z для сокращения артефактов в буфере глубины.
• Добавлена поддержка выноса операций кусочного построения гладких поверхностей (Subdivision) на сторону GPU.
• Добавлена опция "--profile-gpu" для сохранения в файле profile.json данных профилирования, включающих сведения о нагрузке на CPU и GPU.
• В средства для работы с геометрическими нодами добавлены модули для импорта файлов в форматах CSV, PLY, OpenVDB (.vdb), STL, Wavefront и TXT. Для импорта файла достаточно переместить его мышью в режиме drag&drop в редактор геометрических узлов.
  
  

  В инструментах для работы с нодами добавлена возможность сворачивания панелей. В редактор геометрических нод добавлена поддержка изменения нормалей меша. Для выставления нормали добавлена нода "Set Mesh Normal". Для подстановки значений в строку предложена нода "Format String", а для сопоставления строк - нода Match String.

  
• В системе композитинга (Compositor) реализованы процедурные ноды для создания текстур, а также добавлена поддержка типовых нод, таких как Vector Math, Vector Rotate, Mix Vector, Math и Clamp. Добавлена возможность ускорения операции устранения шумов при помощи GPU.
• Расширены возможности системы двумерного рисования и анимации Grease Pencil, позволяющей создавать эскизы в 2D и затем использовать их в 3D-окружении как трёхмерные объекты (на основе нескольких плоских эскизов в разных ракурсах формируется 3D-модель). Обеспечена интеграция с системой композитинга (Compositor). Добавлен новый проход рендеринга, выводящего видимые штрихи и заливки Grease Pencil в отдельный слой, что может быть полезным для изоляции, усиления или применения эффектов к элементам Grease Pencil во время композитинга. Добавлена возможность отключения рендеринга Grease Pencil для каждого слоя (View Layer) с помощью опции Filter. Реализован новый метод сглаживания (SSAA), делающий линии более гладкими. Добавлена поддержка экспорта анимированных SVG-файлов.

  Добавлены инструменты (Node Tools), позволяющие использовать ноды для создания объектов Grease Pencil. Добавлены новые ноды для заливки цветом, настройки глубины и сглаживания штрихов в Grease Pencil.

• В UV-редакторе предоставлена возможность просмотра UV-развёртки для активного или всех выделенных объектов, независимо от текущего режима, в том числе в редакторе изображений. Видимость и прозрачность UV-разверток можно изменять через всплывающее меню Overlays.
  
  
• Добавлен новый тип объектов "Облако точек" (Point Cloud) для представления большого количества отдельных точек в 3D-пространстве. Каждая точка в облаке точек может хранить дополнительные атрибуты, такие как радиус, положение и цвет. Новый объект значительно производительнее обычных мешей и может применяться для визуализации отсканированных 3D-данных и моделирования частиц.
• Задействована заставка, созданная по мотивам новой игры DOGWALK от Blender Studio. Игра создана в жанре интерактивной истории (ребёнок выгуливает собаку по зимнему лесу и украшает снеговика спрятанными предметами) и развивалась для оттачивания инструментов для использования Blender в качестве платформы для разработки ассетов и игровых уровней для движка Godot.
• В режимах скульптурного моделирования, текстурирования и рисования по вершинам появилась возможность рандомизации оттенка, насыщенности и значения цвета, как для всего штриха, так и для отдельных мазков кистью.
  
  
• В режиме скульптурного моделирования для инструмента "Обрезать" (Trim) реализован новый решатель Manifold, применяемый только с развёртываемыми мешами. Manifold работает быстрее режима Fast, который теперь переименован во Float. Новый решатель основан на одноимённой библиотеке, уже применяемой в модификаторе Boolean и геометрических нодах.
  
  
• Продолжена модернизация интерфейса пользователя. В редакторах нод упрощено добавление нод к кадрам (теперь достаточно просто нажать клавишу F после выделения узлов).
  
  
• В редакторе свойств предоставлена возможность скрытия неиспользуемых вкладок для уменьшения нагромождения в интерфейсе (например, в рабочем окружении для видеомонтажа можно скрыть вкладки Object и Shading).
  
  
• В браузерах ассетов и файлов реализован режим просмотра содержимого в форме горизонтального списка, позволяющего разместить больше содержимого на экране. Обеспечено разделение длинных меток на две строки c приоритетным показом начала и конца метки (чтобы оставалось видно расширение файла).
  
  
• В браузере ассетов реализован режим Screenshot Capture для быстрого предпросмотра редактируемых ассетов, не требующий перехода к рендерингу (для предпросмотра достаточно выделить область на экране).
  
  
• В нелинейном видеоредакторе (Video Sequencer) улучшено кэширование контента. В области предпросмотра реализована поддержка HDR.
• В табличном редакторе добавлена возможность произвольного изменения порядка следования столбцов и изменения их ширины.
• Обеспечена возможность импорта разом нескольких файлов SVG.
• Добавлена возможность настройки цвета сообщений об ошибках, предупреждений и информационных сообщений.
• Для Linux-систем добавлены большие курсоры для мониторов с высокой плотностью пикселей.
• Обеспечена совместимость со спецификацией CY2025, определяющей утилиты и библиотеки эталонной платформы VFX.
• В каталоге дополнений предложено 497 бесплатных расширений и 128 тем оформления.

1. Главная ссылка к новости
2. OpenNews: Созданный в Blender мультфильм Поток получил премию Оскар
3. OpenNews: Выпуск свободной системы 3D-моделирования Blender 4.3
4. OpenNews: Выпуск свободной системы 3D-моделирования Blender 4.0

В качестве базового стека технологий используется Talos Linux и Flux CD. Образы с системой, ядром и необходимыми модулями формируются заранее, и обновляются атомарно, что позволяет обойтись без таких компонентов как dkms и пакетный менеджер, и гарантировать стабильную работу. Предоставляется простой метод установки в пустом дата-центре с помощью PXE и debian-подобного установщика talos-bootstrap. В рамках платформы можно по клику разворачивать Kafka, FerretDB, PostgreSQL, Cilium, Grafana, Victoria Metrics и другие сервисы.

Платформа включает свободную реализацию сетевой инфраструктуры (fabric) на базе Kube-OVN, и использует Cilium для организации сервисной сети, MetalLB для анонса сервисов наружу. Хранилище реализовано на LINSTOR, где предлагается использование ZFS в качестве базового слоя для хранилища и DRBD для репликации. Имеется преднастроенный стек мониторинга на базе VictoriaMetrics и Grafana. Для запуска виртуальных машин используется технология KubeVirt, которая позволяет запускать классические виртуальные машины прямо в контейнерах Kubernetes и уже имеет все необходимые интеграции с Cluster API для запуска управляемых Kubernetes-кластеров внутри "железного" Kubernetes-кластера.

За последние полтора месяца команда проекта выпустила новые версии 0.31, 0.32 и 0.33. Среди изменений в данных выпусках:

• Унифицировано управление выделением ресурсов CPU и памяти. Добавлены единые переменные конфигурации cpu-allocation-ratio и memory-allocation-ratio для ограничения ресурсов CPU и потребления памяти в виртуальных машинах под управлением KubeVirt. Переменные применяются ко всем управляемым приложениям и квотам ресурсов tenant-ов. Предустановки также учитывают коэффициенты выделения ресурсов и ведут себя так же, как явные определения ресурсов. При обновлении с более ранних версий Cozystack конфигурация ресурсов в управляемых приложениях автоматически конвертируется в новый формат.
• Добавлена функция резервного копирования PVC в tenant-ных Kubernetes-кластерах, позволяющая администраторам как всей платформы, так и отдельных tenant-ов, создавать резервные копии и восстанавливать данные запущенных в кластерах сервисов. Для резервного копирования задействован проект Velero, а сама система требует внешнего S3-совместимого хранилища.
• Реализована поддержка использования общих NFS-хранилищ с новым опциональным системным модулем.
• Добавлена возможность настройки доступных CPU-сокетов для виртуальных машин через параметр resources.cpu.sockets, что позволяет назначать виртуальным машинам конкретные сокеты.
• Добавлена поддержка использования предзагруженных golden-образов для виртуальных машин, ускоряющая подготовку за счёт ссылок на существующие образы вместо загрузки по HTTP.
• Реализована опция exposeMethod для Ingress-NGINX в tenant-ных кластерах, которая позволяет выбирать Proxied и LoadBalancer.
• Улучшенная поддержка Java-приложений: параметры "heap" теперь рассчитываются на основе запросов и лимитов памяти.
• Заменён стандартный менеджер пакетов — вместо Helm теперь используется новая утилита cozypkg (обёртка вокруг Helm и Flux для локальной разработки).
• Добавлен синхронизатор HelmRelease для системных компонентов, обеспечивающий автоматический контроль ключевых изменений конфигурации для своевременного обновления системных приложений.
• Добавлена поддержка registry mirror в tenant-ных Kubernetes-кластерах, настраивающего containerd для tenant-ных кластеров.
• Реализована единая маркировка дочерних объектов приложений для мониторинга через WorkloadMonitors.
• Добавлена опция cluster-domain для переопределения домена cozy.local.
• Добавлены правила RBAC для проброса портов в KubeVirt (SSH через virtctl).
• Включён сбор событий и аудит-логов.
• Реализовано резервное копирование/восстановление PostgreSQL.
• Добавлен новый инструмент cozyreport и обеспечен сбор отчетов в CI. Теперь вся диагностическая информация сохраняется в виде сборочных артефактов.
• Обновлены компоненты: cozykpg v1.1.0, flux-operator 0.23.0, Flux 2.6.x, Talos Linux v1.10.3, Cilium 1.17.4, MetalLB 0.15.2, Kube-OVN 1.13.13, cozy-proxy 0.2.0, Kafka Operator 0.45.1-rc1.
• Предоставлена возможность установки Talos в Air Gap-окружениях.
• Добавлена поддержка GPU для tenant-ных Kubernetes-кластеров. Пользователи платформы могут запускать GPU-ворклоады как в виртуальных машинах, так и в Kubernetes-кластерах.
• Обеспечена бета-поддержка архитектуры ARM (кросс-архитектурная сборка). Система сборки переработана для поддержки мультиархитектурных бинарных файлов и контейнерных образов.
• Расширен VerticalPodAutoscaler (VPA), который включён для большего количества компонентов Cozystack и позволяет проводить автоматическую настройку ресурсов. В частности, VPA был добавлен для control plane tenant-ных кластеров, панели управления Cozystack и etcd-operator. Все компоненты Cozystack с включенным VPA могут автоматически корректировать свои запросы CPU и памяти на основе их использования, что повышает стабильность.
• Добавлена поддержка Gateway API в Cilium, позволяющая использовать расширенные функции маршрутизации L4/L7 через Kubernetes Gateway API.
• Предоставлена возможность добавления собственных параметров в конфигурации Cilium для tenent-ных кластеров.
• В контроллере Tenant HelmRelease Reconcile обеспечено распространение изменений конфигурации на рабочие нагрузки tenant-ов (гарантирует, что любой HelmRelease, определённый в tenant-е, синхронизирован с обновлениями платформы).
• Добавлена возможность настройки коэффициента выделения CPU в KubeVirt (то, как виртуальные CPU соотносятся с физическими) через значение cpu-allocation-ratio в configmap. Администраторы могут настраивать overcommit CPU для виртуальных машин, соблюдая необходимый баланс между производительностью и плотностью.
• Реализован экспорт виртуальных машин KubeVirt. Функция работает через VirtualMachineExport в KubeVirt и позволяет пользователям создавать снапшоты или резервные копии образов виртуальных машин.
• Обеспечена поддержка различных классов хранилищ (storage classes) для виртуальных машин. Приложение virtual-machine позволяет выбирать любой StorageClass для системного диска виртуальной машины вместо использования жёстко заданного PVC (cм. значения systemDisk.storage и systemDisk.storageClass в конфигурации приложения).

1. Главная ссылка к новости
2. OpenNews: Проект Cozystack принят в организацию CNCF
3. OpenNews: Проект Cozystack выпустил Talm, менеджер конфигураций для Talos Linux
4. OpenNews: Опубликован код COSI-драйвера для SeaweedFS
5. OpenNews: Выпуск Cozystack 0.30, открытой PaaS-платформы на базе Kubernetes