Определены следующие ключевые принципы для AI:

• Перед созданием изменений необходимо прочитать документацию и следовать изложенным в ней требованиям.
• Следует выполнять требования по стилю и оформлению кода для ядра.
• Перед отправкой изменения его нужно тщательно протестировать.
• К коду нужно приложить понятное и исчерпывающее сообщение с описанием изменения.
• Изменения не должны нарушать работу компонентов в пространстве пользователя.
• В качестве соавтора изменения должен быть отмечен AI, не ограничиваясь только упоминанием разработчика, использовавшего AI-ассистент.

Для выделения изменений, подготовленных с использованием AI, к коммиту предписывается прикреплять тег "Co-developed-by: $AI_NAME $AI_MODEL $AI_VERSION". Например: "Co-developed-by: Claude claude-3-opus-20240229", "Co-developed-by: GitHub-Copilot GPT-4 v1.0.0" и "Co-developed-by: Cursor gpt-4-turbo-2024-04-09". При этом AI-ассистент не должен добавлять себя в тег "Signed-off-by". Данный тег должен добавляться только человеком для юридически значимого подтверждения права на передачу кода под открытой лицензией.

Документация, которую должен учитывать AI-ассистент:

• Руководство, как стать разработчиком ядра.
• Информация о процессе разработки ядра.
• Руководство по передаче своего кода в ядро.
• Чек-лист проверок перед отправкой кода в ядро.
• Требования к стилю и оформлению кода (использование табуляции для выравнивания, не больше 80 символов в строке, отдельные правила форматирования функций и условных выражений).
• Требования к языкам программирования и стандартам.
• Запрет использования устаревших программных интерфейсов и возможностей.
• Правила отправки патчей для включения в ядро.
• Настройки почтового клиента для отправки патчей.
• Правила приёма патчей.
• Правила лицензирования кода для ядра (лицензия GPL-2.0 c исключениями для системных вызовов, наличие SPDX-идентификаторов лицензии в каждом файле).
• Инструкция по добавлению нового системного вызова.
• Правила для отправки патчей к стабильным веткам ядра.
• Обработка проблем с безопасностью.
• Действия при выявлении регрессий.
• Руководство по взаимодействию с сопровождающими.
• Руководства, специфичные для подсистем.

1. Главная ссылка к новости
2. OpenNews: Удалённая уязвимость в модуле ksmbd ядра Linux, выявленная при помощи AI
3. OpenNews: Компания SUSE открыла AI-модель для анализа лицензионной чистоты кода
4. OpenNews: Оценка эффективности применения AI-инструментов выявила замедление, а не ускорение разработки
5. OpenNews: Проект Gentoo запретил принятие изменений, подготовленных при помощи AI-инструментов
6. OpenNews: В NetBSD введён запрет на использование кода, сгенерированного AI-системами

• Экспериментальная поддержка больших фолиантов страниц памяти (large folios). Ожидается, что изменение позволит снизить накладные расходы и повысить производительность ряда операций. В данный момент возможность технически готова к широкому использованию, но не получила достаточно тестирования для объявления её стабильной.
• Кэширование запросов к битовым картам распределения свободного места. В тестах с созданием пустых файлов производительность операций выросла на 20%. Также отмечены иные улучшения производительности в сценариях с высокой нагрузкой по части метаданных.
• Улучшена работа упреждающего чтения в системах, применяющих сжатие данных.
• Обеспечено более плотное размещение ключей в структуре XArray, что повышает компактность хранению узлов дерева экстентов и позволяет сократить число конечных узлов на 50-70%.

Дополнительно отмечаются изменения в ioctl дефрагментации и активация ранее разработанного механизма предотвращения разрушения файловых систем, ограничивающего запись в блочное устройство с примонтированной ФС.

1. Главная ссылка к новости
2. OpenNews: Релиз утилит Btrfs-Progs 6.13
3. OpenNews: Заметки Теодора Тс'о о ядре Linux, кодексе поведения, ext4, btrfs и ZFS
4. OpenNews: Для Btrfs представлены патчи с балансировкой чтения RAID1 по алгоритму Round-robin
5. OpenNews: Инициативы Fedora по созданию сборки с рабочим столом COSMIC и продвижению Btrfs
6. OpenNews: Продемонстрирована возможность загрузки Windows из раздела с Btrfs

В новой версии реализована возможность использования сетевых мостов на базе транспорта WebTunnel для подключения к сети Tor. WebTunnel имитирует типовой web-трафик и может применяться там, где не работает транспорт obfs4. Обновлены Tor Browser 14.5.5 и Thunderbird 128.12.0.

1. Главная ссылка к новости
2. OpenNews: Выпуск дистрибутива Tails 6.17
3. OpenNews: Выпуск Tor Browser 14.5
4. OpenNews: Проект Tor представил Oniux, утилиту для сетевой изоляции приложений

Напомним, что на прошлой неделе в PyPI было заблокировано использование почтовых адресов @inbox.ru при создании новых проектов из-за регистрации более 1500 проектов, которые предположительно могли использоваться для атак на пользователей, следующих рекомендациям чат-ботов или ошибающихся при написании названий пакетов. В проектах использовались имена несуществующих библиотек, ошибочно рекомендуемых большими языковыми моделями (слопсквоттинг) или похожих на названия популярных проектов.

1. Главная ссылка к новости
2. OpenNews: Каталог PyPI заблокировал регистрацию с email-адресов inbox.ru из-за спама
3. OpenNews: Инциденты с безопасностью в репозиториях PyPI и crates.io
4. OpenNews: В каталоге PyPI реализована возможность перевода проектов в архив
5. OpenNews: Каталог PyPI внедрил новую систему проверки подлинности пакетов
6. OpenNews: Атакующие получили доступ к 174 учётным записям в каталоге PyPI

Суть Maintenance Fee в ведении ежемесячного платежа для пользователей и компаний, которые получают коммерческую выгоду и прямо или косвенно зарабатывают на использовании открытого проекта. Стимулирование оплаты производится через добавление сопровождающим пользовательского соглашения (EULA), регламентирующего доступ к инфраструктуре, бинарным сборкам и готовым пакетам. Для перечисления платы предлагается использовать систему GitHub Sponsorship.

В соответствии с EULA, загружать бинарные сборки релизов, участвовать в обсуждениях и отправлять заявки по решению проблем могут лишь платные подписчики, а также пользователи, не получающие коммерческую выгоду от применения проекта. Доступ к исходным текстам остаётся без изменений и производится в соответствии с применяемыми проектами открытыми лицензиями. Если компания, получающая выгоду от проекта, не желает перечислять ежемесячную плату, то она может использовать код из репозитория и самостоятельно формировать для себя сборки, но не имеет права пользоваться готовыми сборками релизов, предоставляемыми основным проектом (среди прочего запрещается использовать официальные сборки пакетов в числе зависимостей, подключаемых через пакетные менеджеры, такие как NPM и NuGet).

Отмечается, что сопровождающие выполняют большую работу, но часто ничего не получают взамен и рассматриваются многими компаниями как бесплатная рабочая сила. Подобное отношение приводит к выгоранию и потере интереса к развиваемым проектам. Зарабатывание денег на поддерживаемом другими людьми открытом коде, ничего не возвращая взамен, воспринимается как паразитирование. Перечисление сопровождающим небольшой доли от получаемого дохода рассматривается как справедливое и взаимовыгодное решение, при котором компании напрямую финансируют сопровождающих проектов, от которых зависят их продукты.

Предполагается, что плата за сопровождение повысит устойчивость открытых проектов и даст возможность уделять больше внимание разбору сообщений об ошибках, ответам на вопросы пользователей, поддержанию сборочной инфраструктуры, обновлению зависимостей, отслеживанию уязвимостей и выполнению рутинных действий, таких как модерирование дискуссий и обновление сертификатов для цифровых подписей.

1. Главная ссылка к новости
2. OpenNews: Мэйнтейнер Dash to Panel сложил полномочия после критики манеры сбора пожертвований
3. OpenNews: В NPM добавлены инструменты для финансирования разработчиков
4. OpenNews: Open WebUI перешёл на ограничивающую лицензию, запрещающую удаление бренда
5. OpenNews: Проект Linux Foundation по финансированию разработки СПО
6. OpenNews: Сокращение срока поддержки LTS-ядер Linux и проблема с выгоранием сопровождающих

Для запуска графического окружения в приложение Linux Terminal добавлена кнопка "Display", включающая перенаправление графики через компоненты в основном окружении Android. После активации кнопки "Display" в терминале можно запустить композитный сервер Weston, предоставляющий минималистичный оконный сеанс, а затем использовать его для запуска любых графических приложений, например, продемонстрирован запуск текстового редактора Gedit.

Разработка приложения Linux Terminal ведётся в репозитории AOSP (Android Open Source Project) в основном составе платформы Android. Функциональность виртуальной машины c Linux развивается в рамках проекта Ferrochrome. В гостевом окружении запускается Debian GNU/Linux 12. Для виртуализации используется фреймворк AVF (Android Virtualization Framework), реализованный на базе гипервизора KVM и инструментария crosvm. Графическое окружение использует протокол Wayland и основано на композитном сервере Weston. Запуск приложений, собранных для X11, производится при помощи DDX-компонента XWayland.

В создаваемом окружении реализована возможность задействования аппаратного ускорения графики, что позволяет запускать ресурсоёмкие графические приложения, такие как игры. Для ускорения графики задействован VirGL - виртуальный GPU Virgil3D для QEMU/KVM. По умолчанию аппаратное ускорение отключено и для его активации необходимо в каталоге /sdcard/linux создать пустой файл с именем "virglrenderer", после чего проследить за появлением сообщения "VirGL enabled" при открытии терминала.

1. Главная ссылка к новости
2. OpenNews: В обновлении Android 15 для устройств Google Pixel добавлен Linux-терминал
3. OpenNews: Google развивает в Android 16 возможность запуска графических Linux-приложений
4. OpenNews: Google экспериментирует с возможностью запуска Linux-приложений в Android
5. OpenNews: Google прекратил публикацию кода для поддержки устройств Pixel в репозитории с кодом Android
6. OpenNews: Подтверждены планы по слиянию Chrome OS и Android в одну платформу

Среди новых возможностей, реализованных после прошлого анонса:

• В Plugins Manager добавлен плагин AI Local, который использует Ollama для локального использования больших языковых моделей.
• Реализованы новые лексеры:
  • C3
  • languageONE
  • Cangjie
  • Bazelrc
  • Blueprint
  • Intel ISPC
  • Typst
  • MoonBit
  • P4
• В просмотрщике обеспечено определение кодировки UTF-8.
• Добавлена опция "line_space_top".

1. Главная ссылка к новости
2. OpenNews: Обновление редактора кода CudaText 1.220.6
3. OpenNews: Facebook открыл код Lexical, библиотеки для создания редакторов текста
4. OpenNews: Первый выпуск проекта Pulsar, подхватившего разработку редактора кода Atom
5. OpenNews: Microsoft открыл код текстового редактора Edit
6. OpenNews: В многопользовательском редакторе кода Zed обеспечена поддержка Linux

Проект создан разработчиками дистрибутива Alpine для упрощения ухода от поставки классического X.org Server и развивается в инфраструктуре freedesktop.org. В дистрибутиве Alpine намерены оставить только компоненты, необходимые для Wayland и Xwayland, и реализовать запуск сред рабочего стола X11 поверх них, что позволит исключить из репозиториев обособленный X-сервер и снизить затраты на сопровождение X11-приложений.

Код Wayback основан на tinywl, эталонном композитном сервере от разработчиков библиотеки wlroots, функциональность которого урезана до минимума, достаточного для обособленного запуска Xwayland. Предполагается, что в будущем Wayback сможет использоваться в качестве полной замены исполняемого файла Xorg (/usr/bin/X).

Первый выпуск Wayback преподносится как альфа-версия, позволяющая ознакомиться с реализуемой проектом концепцией. На данном этапе пока отсутствует поддержка таких возможностей, как многомониторные конфигурации, гашение экрана через DPMS, захват указателя мыши (запрет перемещения за определённую область на экране), многие опции Xorg. Пакеты для тестирования Wayback собраны для Alpine Linux, Nix, T2, Arch Linux, ALT Linux и Fedora.

Из изменений по сравнению с первым анонсом отмечается разделение Wayback на отдельные компоненты: композитный сервер wayback-compositor; интерфейс командной строки Xwayback, совместимый с Xorg и предназначенный для запуска Xwayland и wayback-compositor; менеджер сеансов wayback-session, предоставляющий интерфейс запуска сеанса в стиле startx. Кроме того, в Wayback реализован более централизованный механизм ведения логов и новый парсер опций, напоминающий getopt.

1. Главная ссылка к новости
2. OpenNews: Опубликован Wayback, композитный сервер Wayland для запуска рабочих столов на базе X11
3. OpenNews: Выпуск miracle-wm 0.6, композитного менеджера на базе Wayland и Mir
4. OpenNews: Сравнение производительности сеансов KDE Plasma на базе X11 и Wayland
5. OpenNews: Доступен Wayland 1.24
6. OpenNews: Выпуск композитного сервера Hyprland 0.50

Начинка дистрибутива основывается на коде FreeBSD. Среди возможностей OPNsense: полностью открытый сборочный инструментарий, поддержка установки в форме пакетов поверх обычного FreeBSD, средства балансировки нагрузки, web-интерфейс для организации подключения пользователей к сети (Captive portal), наличие механизмов отслеживания состояний соединений (stateful firewall на основе pf), система ограничения пропускной способности, фильтрация трафика, создание VPN на базе IPsec, OpenVPN и PPTP, интеграция с LDAP и RADIUS, поддержка DDNS (Dynamic DNS), система наглядных отчётов и графиков.

На базе дистрибутива могут создаваться отказоустойчивые конфигурации, основанные на использовании протокола CARP и позволяющие запустить помимо основного межсетевого экрана запасной узел, который будет автоматически синхронизирован на уровне конфигурации и примет на себя нагрузку в случае сбоя первичного узла. Для администратора предлагается web-интерфейс для настройки межсетевого экрана, построенный с использованием web-фреймворка Bootstrap и Phalcon MVC.

Среди изменений:

• Осуществлён переход на кодовую базу FreeBSD 14.3 (ранее использовался код FreeBSD 14.2).
• Мастер настройки переведён на использование MVC-фреймворка и теперь дополнительно доступен через Web API для автоматизации управления сетевой конфигурацией.
• В качестве реализации DHCP по умолчанию вместо ISC DHCP задействован Dnsmasq. Добавлена опциональная возможность применения DHCP-сервера Kea для DHCPv6.
• Поведена работа по разделению привилегий при работе web-интерфейса. Добавлена экспериментальная возможность запуска web-интерфейса под отдельным пользователем "wwwonly" вместо "root".
• В межсетевой экран добавлена опция "expire" для автоматической очистки таблиц через cron. Задействована новая модель кэширования alias-ов.
• В Captive portal добавлены дополнительные профили аутентификации.
• По умолчанию отключён репозиторий FreeBSD-kmods и скрыты сторонние плагины, развиваемые сообществом (на странице с плагинами добавлена кнопка для показа подобных плагинов).
• В инструментарий для обнаружения вторжений добавлена поддержка метода формирования отпечатков трафика JA4.
• Улучшен пользовательский интерфейс для автоматизации операций с межсетевым экраном.
• Добавлен плагин для сохранения резервных копий через SFTP.
• В интерфейсе пользователя для табличной компоновки содержимого задействована JavaScript-библиотека Tabulator вместо Bootgrid.
• Обновлены плагины: os-acme-client 4.10, os-bind 1.34, os-crowdsec 1.0.11, os-frr 1.45, os-gdrive-backup 1.0, os-grid_example 1.1, os-openvpn-legacy 1.0 , os-puppet-agent 1.2 и os-strongswan-legacy 1.0.

1. Главная ссылка к новости
2. OpenNews: Выпуск дистрибутива для создания межсетевых экранов OPNsense 25.1
3. OpenNews: Релиз дистрибутива для создания межсетевых экранов IPFire 2.27 Core 182
4. OpenNews: Релиз дистрибутива для создания межсетевых экранов NethSecurity 8.3
5. OpenNews: В рамках проекта OPNsense основан форк дистрибутива для создания межсетевых экранов pfSense
6. OpenNews: Релиз дистрибутива для создания межсетевых экранов pfSense CE 2.8.0

Проблема вызвана некорректным изменением в прошлом выпуске и проявляется только в версии Apache httpd 2.4.64. В версии 2.4.64 для определения результата проверки было добавлено перечисление cond_return_type, которое могло принимать значения COND_RC_NOMATCH, COND_RC_MATCH и COND_RC_STATUS_SET. При этом в коде выставлялось только значение COND_RC_MATCH, вне зависимости от результата обработки регулярного выражения (проверялось только отрицательное значение с кодом ошибки, но не учитывалось нулевое значение, выдаваемое при несовпадении).

1. Главная ссылка к новости
2. OpenNews: Релиз http-сервера Apache 2.4.64 с устранением 8 уязвимостей
3. OpenNews: Для systemd развивается возможность загрузки системных образов по HTTP
4. OpenNews: Компания Cloudflare открыла код h3i, утилиты для тестирования HTTP/3
5. OpenNews: Выпуск HTTPS-анализатора Mitmproxy 11 с поддержкой HTTP/3
6. OpenNews: Новая версия nginx 1.29.0

Часть сообщества критикует данное решение, опасаясь усложнения разработки новых драйверов для XLibre, но Энрико настаивает на нужности такого подхода. В качестве аргументов упоминается аналогичная модель разработки ядра Linux, фактически не имеющего стабильного ABI, а также «сырое» состояние кодовой базы XLibre, которая всё ещё проходит через полномасштабный рефакторинг. Впрочем, в будущем с ростом зрелости проекта разработчики не исключают стабилизацию ABI. Разработка новых драйверов для X11 вне дерева XLibre возможна, однако синхронизация ABI остаётся на совести разработчика. Для не желающих ставить все драйверы вместе с сервером обещают реализовать флаги сборки.

Также можно отметить появление порта XLibre для FreeBSD и обсуждение перевода XLibre на Rust. Разработчики высказались против переписывания частей XLibre на Rust, аргументируя это длительностью процесса, падением производительности, недостатком преимуществ и сложностью поддержки двуязычной кодовой базы.

1. Главная ссылка к новости
2. OpenNews: Мейнтейнеры NixOS отказались поддерживать XLibre
3. OpenNews: Разработчик KWin объявил альтернативные X-серверы нежелательными в KDE
4. OpenNews: Дистрибутив Artix Linux начал поставку сборок с XLibre, форком X.Org Server
5. OpenNews: Релиз XLibre 25.0, форка X.Org Server
6. OpenNews: Проект X11Libre создал форк X.Org Server, избавленный от влияния корпораций

В настоящее время по умолчанию в Fedora предлагается собственный flatpak-репозиторий, содержимое которого формируется на основе пересборки rpm-пакетов. По умолчанию загрузку пакетов из FlatHub можно включить лишь после установки, активировав в менеджере приложений GNOME опцию "Enable Third-Party Repositories", но даже в этом случае пакеты из репозитория Fedora являются более приоритетными.

По мнению Майкла большинство пользователей предпочло бы установку пакетов из каталога FlatHub, собираемых основными разработчиками приложений, а не сопровождающими Fedora (80% участников дискуссии высказались за использование FlatHub). Предполагается, что разработчики приложений лучше знают нюансы своих проектов и собирают более качественно работающие flatpak-пакеты, тщательнее протестированные сообществом. При этом сопровождающие rpm-пакеты в Fedora не проявляют ожидаемого интереса к поддержанию вариантов пакетов в формате flatpak и не уделяют должного внимания сообщениям об ошибках в таких пакетах, что приводит к тому, что качество flatpak-пакетов от Fedora ниже, чем размещённых во FlatHub пакетах от основных проектов.

Многие пользователи не в курсе, что, устанавливая flatpak-пакет через менеджер приложений Fedora, он устанавливается не из FlatHub, как в других дистрибутивах, а из репозитория Fedora, пакеты в котором отличаются от вариантов с FlatHub. Из-за этого проблемы, специфичные для пакетов из репозитория Fedora, воспринимаются как проблемы в официальных пакетах с FlatHub и претензии направляются основным разработчикам, а не сопровождающим Fedora. Например, поставка проблемного flatpak-пакета OBS Studio в Fedora, который являлся более приоритетным, чем пакет из FlatHub, в феврале привела к конфликту с проектом OBS Studio.

Применение собственного Flatpak-репозитория обусловлено необходимостью сборки в заслуживающем доверия окружении. Для пакетов во FlatHub, даже если рассматривать только верифицированные пакеты, за публикацию которых отвечают основные проекты, сборка производится во внешних инфраструктурах, безопасность которых может вызывать сомнение. Из достоинств поддержания собственного репозитория в Fedora упоминаются гарантии, что пакет собран из заявленного исходного кода и содержит только компоненты под открытыми лицензиями, одобренными к использованию Fedora. Пакеты в Fedora-репозитории также могут включать патчи, доступные только для RPM-пакетов в Fedora и пока не принятые в основную кодовую базу проектов.

Предложение Майкла сводится к включению по умолчанию в атомарной редакции Fedora Workstation поддержки установки пакетов из FlatHub, находящихся в категории "свободное ПО". Возможность установки из FlatHub коснётся только пакетов, устанавливаемых пользователями через менеджер приложений GNOME Software. Все предустанавливаемые по умолчанию flatpak-пакеты продолжат загружаться из собственного репозитория Fedora, но для не применяемых по умолчанию пакетов в качестве источника для загрузки предлагается задействовать FlatHub.

Перед переходом на FlatHub предлагается совместно внедрить во FlatHub возможности для сборки пакетов в заслуживающей доверие инфраструктуре и задействовать проверки на базе воспроизводимых сборок. Кроме того, следует решить вопрос с применением в пакетах устаревших версий Flatpak Runtime, в которые уже прекращён перенос исправлений уязвимостей. В настоящее время 994 из 3438 (почти треть) проверенных пакетов из FlatHub используют Runtime, время поддержки которых истекло. Проблемы с безопасностью также возникают из-за устаревших внутренних зависимостей, включаемых в состав пакетов, и применения недостаточных мер sandbox-изоляции (разработчики некоторых пакетов отключают режимы защиты). Проблемы предлагается решить через реализацию автоматизированных проверок устаревших runtime и зависимостей, и форсирование применения полноценной sandbox-изоляции.

Кроме Майкла, с похожим предложением также выступил Тимоти Равье (Timothée Ravier): в Fedora 43 предлагается продолжить поставку предустановленных flatpak-пакетов из репозитория Fedora, но добавить фильтр, допускающий установку из FlatHub избранных проверенных приложений. В качестве достоинств предложенного решения называется снижение путаницы у пользователей и разработчиков основных проектов (разработчикам приходится разбирать сообщения об ошибках, специфичных для Flatpak-пакетов Fedora, отправленных под видом, что они присутствуют в официальном flatpak-пакете). Изменение также снизит нагрузку на сопровождающих и позволит им сфокусироваться на передаче исправлений в основные проекты и тестировании предустанавливаемых по умолчанию Flatpak-пакетов.

1. Главная ссылка к новости
2. OpenNews: Проекту Fedora пригрозили иском из-за поставки сбойного flatpak-пакета с OBS Studio
3. OpenNews: Релиз системы самодостаточных пакетов Flatpak 1.16.0
4. OpenNews: Каталог приложений Flathub достиг отметки в 2 миллиарда загрузок
5. OpenNews: Уязвимость во flatpak, позволяющая обойти sandbox-изоляцию
6. OpenNews: Fedora 38 предложит неограниченную поддержку Flathub

Основные изменения в MySQL 9.4:

• В хранимых процедурах, написанных на языке JavaScript, реализована поддержка типа BIT. Значения с типом BIT меньше или равные JavaScript.MAX_SAFE_INTEGER преобразуются в JavaScript-тип Number, а большие - в JavaScript-тип BigInt.
• В утилиту командной строки mysql добавлена опция "--commands", позволяющая включить поддержку выполнения локальных команд (по умолчанию команды отключены):
  • charset
  • clear
  • connect
  • edit
  • ego
  • exit
  • go
  • help
  • nopager
  • notee
  • nowarning
  • pager
  • print
  • prompt
  • query_attributes
  • quit
  • rehash
  • resetconnection
  • ssl_session_data_print
  • source
  • status
  • system
  • tee
  • \u
  • warnings
• На смену плагину firewall, позволяющему фильтровать SQL-запросы к СУБД на основе заданных шаблонов, предложен компонент MySQL Enterprise Firewall, реализующий идентичную функциональность за исключением поддержки профилей учётных записей (вместо этого поддерживаются профили групп). Плагин firewall объявлен устаревшим и будет удалён в одном из следующих выпусков. MySQL Enterprise Firewall доступен только пользователям коммерческой версии MySQL Enterprise Edition.
• Устранено 30 уязвимостей, из которых одна может быть эксплуатирована удалённо при наличии доступа для отправки запросов к СУБД. Четыре наиболее серьёзных проблемы имеют уровень опасности 6.5 и связаны с уязвимостями в DML и оптимизаторе. Менее опасные уязвимости затрагивают InnoDB, оптимизатор, хранимые процедуры, LDAP Auth и систему репликации.

1. Главная ссылка к новости
2. OpenNews: Уязвимости в Java SE, MySQL, VirtualBox и других продуктах Oracle
3. OpenNews: Выпуск СУБД MySQL 9.3.0
4. OpenNews: Представлен openHalo, инструментарий для миграции с MySQL на PostgreSQL
5. OpenNews: Доступна СУБД MySQL 9.0.0
6. OpenNews: Опубликована новая LTS-ветка СУБД MariaDB 11.8

Основные новшества в Firefox 141:

• Добавлена экспериментальная поддержка автоматической группировки вкладок, основанная на использовании локально выполняемой AI-модели, определяющей вкладки, сходные по тематике. После перетаскивания мышью одной вкладки на другую или открытии контекстного меню с параметрами группы, браузер теперь показывает кнопку "Suggest more of my tabs", после нажатия на которую выводится список похожих вкладок для их быстрого включения в группу. AI также предлагает релевантное имя группы. Функция пока по умолчанию включена не для всех и постепенно будет активироваться для всё большего процента пользователей. Для принудительного включения можно активировать параметр "browser.tabs.groups.smart.enabled" на странице about:config.
• Предоставлена возможность изменения размера области инструментов в нижней части боковой панели вертикальных вкладок. Для разделения места под вкладки и инструменты достаточно переместить мышью горизонтальный разделитель секций. Если все инструменты не вмещаются в выбранную область, то часть из них будет вынесена в дополнительно раскрываемое меню.
• В адресную строку встроен конвертер единиц измерения, поддерживающий преобразование часовых поясов и величин углов, расстояния, температуры, массы и силы. При клике на результат он будет сохранён в буфер обмена.
• В сборках для платформы Linux снижено потребление памяти и убрано требование перезапуска после обновления при помощи пакетного менеджера.
• Для пользователей из Бразилии, Испании и Японии включена функция автозаполнения адресов в web-формах, которая ранее была доступна только для США, Великобритании, Канады, Германии, Франции, Польши, Италии и Австрии.
• По умолчанию в сборках для платформы Windows активирован API WebGPU и язык шейдеров WGSL (WebGPU Shading Language). Для Linux и macOS поддержка WebGPU будет включена в одном из следующих выпусков, до этого WebGPU можно активировать через параметры "dom.webgpu.enabled" и "gfx.webrender.all" на странице about:config. WebGPU предоставляет схожий с Vulkan, Metal и Direct3D 12 программный интерфейс для выполнения операций на стороне GPU. WebGPU даёт возможность приложениям на языке JavaScript контролировать организацию, обработку и передачу команд к GPU, управлять связанными ресурсами, памятью, буферами, объектами текстур и скомпилированными графическими шейдерами.
• При возвращении сервером значения "cache" в HTTP-заголовке "Clear-Site-Data" дополнительно реализована очистка кэша перехода (BFCache - Back-forward cache), обеспечивающего мгновенный переход при использовании кнопок "Назад" и "Вперёд" или при навигации по ранее просмотренным страницам текущего сайта.
• В HTML-элемент <dialog> добавлен атрибут "closedby", позволяющий определить поведение при закрытии диалога. Значение "none" подразумевает, что пользователь не может закрыть диалог; "closerequest" - допускает закрытие нажатием клавиши ESC; "any" приводит к закрытию при клике мышью в области за пределами диалога или при нажатии ESC.
• Возвращена поддержка технологии CHIPS (Cookies Having Independent Partitioned State), позволяющей изолировать Cookie в привязке к домену первого уровня, используя атрибут "Partitioned". Если в обычных условиях сторонний код с сайта "C", встроенный на сайты "A" и "В", может обрабатывать общие для данных сайтов Cookie, то при указании атрибута "Partitioned", выставленные сайтом "C" Cookie, при загрузке кода с сайтов "A" и "В", будут полностью разделены.
• В JavaScript-методы HTMLElement.showPopover() и HTMLElement.togglePopover() добавлен аргумент "options.source", ссылающийся на обработчик открытия всплывающего окна (popover). В метод togglePopover() добавлен аргумент "options.force" для принудительного открытия или закрытия всплывающего окна.
• В интерфейс PointerEvent добавлено свойство persistentDeviceId, а в интерфейс IntersectionObserver свойство scrollMargin.
• Добавлено CSS-свойство "font-variant-emoji" для настройки стиля отображения Emoji. Например, можно выбрать текстовое или графическое представление.
  
  
• В версии для платформы Android переделано меню; реализована автоматическая блокировка приватных вкладок после переключения на другое приложение; обеспечена подсветка домена в адресной строке; добавлена функция для отправки PDF-файлов в другие приложения.

Кроме новшеств и исправления ошибок в Firefox 141 устранено 27 уязвимостей. 13 уязвимостей вызваны проблемами работы с памятью, такими как переполнения буферов и обращение к уже освобождённым областям памяти. Потенциально данные проблемы способны привести к выполнению кода злоумышленника при открытии специально оформленных страниц.

1. Главная ссылка к новости
2. OpenNews: В Firefox и Safari будет включена поддержка WebGPU
3. OpenNews: Релиз Firefox 140
4. OpenNews: Mozilla переходит к поставке Firefox с условиями использования
5. OpenNews: Разработка Firefox перенесена с Mercurial на Git и GitHub
6. OpenNews: Изменение правил в каталоге дополнений к Firefox

В настоящее время в OSS Rebuild реализована поддержка верификации пакетов из репозиториев NPM (JavaScript/TypeScript), PyPI (Python) и Crates.io (Rust). В будущем число поддерживаемых репозиториев планируют расширить. На практике инструментарий позволяет выявлять варианты атаки класса "supply chain", в ходе которых после компрометации учётных записей сопровождающих или диверсии внутри проекта в репозитории публикуется вредоносное обновление. При этом код в исходном репозитории основного проекта остаётся корректным, а вредоносные изменения вносятся только в готовые пакеты.

Система по возможности автоматически формирует сценарий для воспроизводимой сборки выбранного пакета, используя эвристику и подбирая параметры, позволяющие добиться идентичности артефактов, поставляемых в пакете. Если автоматически не удаётся воспроизвести размещённый в репозитории пакет, возможно ручное добавление сборочной спецификации. После того как удалось воспроизвести пакет, инструментарий OSS Rebuild сохраняет описание процесса сборки для последующей проверки новых версий пакета. Дополнительно публикуется информация для верификации с использованием фреймворка SLSA.

После проведения проверки конкретной версии пакета формируются данные аттестации, которые могут использоваться другими для оценки уже верифицированных пакетов. Проверку можно осуществить через запуск утилиты командной строк или сверку хэша, сохранённого в отдельном облачном хранилище. Инфраструктуру для проверки пакетов можно развернуть на собственном сервере. Так же можно воспользоваться информацией о проверках, выполняемых в Google для нескольких тысяч пакетов.

В качестве примеров разных методов атак, от которых мог бы защитить OSS Rebuild, приводится добавление бэкдора в XZ, внедрение вредоносного кода в официальный JavaScript-клиент для криптовалюты Solana и подстановка изменений через Actions-обработчик changed-files:

• В случае с проектом XZ код в репозитории не содержал подозрительных изменений, а образующие бэкдор вредоносные компоненты поставлялись внутри файлов, используемых в тестовом наборе для проверки корректности работы распаковщика XZ. Бэкдор активировался на уровне системы сборки, а сам исходный код XZ совпадал с кодом из репозитория. Активирующие бэкдор m4-макросы для инструментария Automake были включены только в готовый архив с кодом и отсутствовали в репозитории. Для выявления подобных атак в OSS Rebuild применяется динамический анализ поставляемых в пакете артефактов, путей выполнения и подозрительных операций.
• Подстановка вредоносных изменений в библиотеку @solana/web3.js произошла из-за компрометации учётной записи сопровождающего, используя методы социального инжиниринга и фишинга. В репозитории NPM был размещён новый выпуск, включающий вредоносные изменения. В Git-репозитории проекта этот выпуск создан не был и вредоносные изменения присутствовали только в результирующем пакете. Защита в этом случае сводится к выявлению в пакете кода, отсутствующего в основном репозитории.
• Компрометация репозитория обработчика changed-files позволила провести атаку на проекты, использующие changed-files для отслеживания изменения файлов и каталогов в инфраструктуре непрерывной интеграции на базе GitHub Actions. Для защиты от подстановки изменений после компрометации сборочного окружения в OSS Rebuild применяется отслеживание изменений и подозрительной активности в стандартизированных урезанных сборочных окружениях.

1. Главная ссылка к новости
2. OpenNews: В NixOS предложен метод защиты от подстановки бэкдоров, таких как в XZ
3. OpenNews: Google предложил SLSA для защиты от вредоносных изменений в процессе разработки
4. OpenNews: Оценка проблем с сопровождением открытых проектов и использованием старых зависимостей
5. OpenNews: Red Hat и Google представили Sigstore, сервис для криптографической верификации кода
6. OpenNews: Атака на зависимости позволила выполнить код на серверах PayPal, Micrоsoft, Apple, Netflix, Uber и ещё 30 компаний