Суть Maintenance Fee в ведении ежемесячного платежа для пользователей и компаний, которые получают коммерческую выгоду и прямо или косвенно зарабатывают на использовании открытого проекта. Стимулирование оплаты производится через добавление сопровождающим пользовательского соглашения (EULA), регламентирующего доступ к инфраструктуре, бинарным сборкам и готовым пакетам. Для перечисления платы предлагается использовать систему GitHub Sponsorship.

В соответствии с EULA, загружать бинарные сборки релизов, участвовать в обсуждениях и отправлять заявки по решению проблем могут лишь платные подписчики, а также пользователи, не получающие коммерческую выгоду от применения проекта. Доступ к исходным текстам остаётся без изменений и производится в соответствии с применяемыми проектами открытыми лицензиями. Если компания, получающая выгоду от проекта, не желает перечислять ежемесячную плату, то она может использовать код из репозитория и самостоятельно формировать для себя сборки, но не имеет права пользоваться готовыми сборками релизов, предоставляемыми основным проектом (среди прочего запрещается использовать официальные сборки пакетов в числе зависимостей, подключаемых через пакетные менеджеры, такие как NPM и NuGet).

Отмечается, что сопровождающие выполняют большую работу, но часто ничего не получают взамен и рассматриваются многими компаниями как бесплатная рабочая сила. Подобное отношение приводит к выгоранию и потере интереса к развиваемым проектам. Зарабатывание денег на поддерживаемом другими людьми открытом коде, ничего не возвращая взамен, воспринимается как паразитирование. Перечисление сопровождающим небольшой доли от получаемого дохода рассматривается как справедливое и взаимовыгодное решение, при котором компании напрямую финансируют сопровождающих проектов, от которых зависят их продукты.

Предполагается, что плата за сопровождение повысит устойчивость открытых проектов и даст возможность уделять больше внимание разбору сообщений об ошибках, ответам на вопросы пользователей, поддержанию сборочной инфраструктуры, обновлению зависимостей, отслеживанию уязвимостей и выполнению рутинных действий, таких как модерирование дискуссий и обновление сертификатов для цифровых подписей.

1. OpenNews: Мэйнтейнер Dash to Panel сложил полномочия после критики манеры сбора пожертвований
2. OpenNews: В NPM добавлены инструменты для финансирования разработчиков
3. OpenNews: Open WebUI перешёл на ограничивающую лицензию, запрещающую удаление бренда
4. OpenNews: Проект Linux Foundation по финансированию разработки СПО
5. OpenNews: Сокращение срока поддержки LTS-ядер Linux и проблема с выгоранием сопровождающих

Для запуска графического окружения в приложение Linux Terminal добавлена кнопка "Display", включающая перенаправление графики через компоненты в основном окружении Android. После активации кнопки "Display" в терминале можно запустить композитный сервер Weston, предоставляющий минималистичный оконный сеанс, а затем использовать его для запуска любых графических приложений, например, продемонстрирован запуск текстового редактора Gedit.

Разработка приложения Linux Terminal ведётся в репозитории AOSP (Android Open Source Project) в основном составе платформы Android. Функциональность виртуальной машины c Linux развивается в рамках проекта Ferrochrome. В гостевом окружении запускается Debian GNU/Linux 12. Для виртуализации используется фреймворк AVF (Android Virtualization Framework), реализованный на базе гипервизора KVM и инструментария crosvm. Графическое окружение использует протокол Wayland и основано на композитном сервере Weston. Запуск приложений, собранных для X11, производится при помощи DDX-компонента XWayland.

В создаваемом окружении реализована возможность задействования аппаратного ускорения графики, что позволяет запускать ресурсоёмкие графические приложения, такие как игры. Для ускорения графики задействован VirGL - виртуальный GPU Virgil3D для QEMU/KVM. По умолчанию аппаратное ускорение отключено и для его активации необходимо в каталоге /sdcard/linux создать пустой файл с именем "virglrenderer", после чего проследить за появлением сообщения "VirGL enabled" при открытии терминала.

1. OpenNews: В обновлении Android 15 для устройств Google Pixel добавлен Linux-терминал
2. OpenNews: Google развивает в Android 16 возможность запуска графических Linux-приложений
3. OpenNews: Google экспериментирует с возможностью запуска Linux-приложений в Android
4. OpenNews: Google прекратил публикацию кода для поддержки устройств Pixel в репозитории с кодом Android
5. OpenNews: Подтверждены планы по слиянию Chrome OS и Android в одну платформу

Проект создан разработчиками дистрибутива Alpine для упрощения ухода от поставки классического X.org Server и развивается в инфраструктуре freedesktop.org. В дистрибутиве Alpine намерены оставить только компоненты, необходимые для Wayland и Xwayland, и реализовать запуск сред рабочего стола X11 поверх них, что позволит исключить из репозиториев обособленный X-сервер и снизить затраты на сопровождение X11-приложений.

Код Wayback основан на tinywl, эталонном композитном сервере от разработчиков библиотеки wlroots, функциональность которого урезана до минимума, достаточного для обособленного запуска Xwayland. Предполагается, что в будущем Wayback сможет использоваться в качестве полной замены исполняемого файла Xorg (/usr/bin/X).

Первый выпуск Wayback преподносится как альфа-версия, позволяющая ознакомиться с реализуемой проектом концепцией. На данном этапе пока отсутствует поддержка таких возможностей, как многомониторные конфигурации, гашение экрана через DPMS, захват указателя мыши (запрет перемещения за определённую область на экране), многие опции Xorg. Пакеты для тестирования Wayback собраны для Alpine Linux, Nix, T2, Arch Linux, ALT Linux и Fedora.

Из изменений по сравнению с первым анонсом отмечается разделение Wayback на отдельные компоненты: композитный сервер wayback-compositor; интерфейс командной строки Xwayback, совместимый с Xorg и предназначенный для запуска Xwayland и wayback-compositor; менеджер сеансов wayback-session, предоставляющий интерфейс запуска сеанса в стиле startx. Кроме того, в Wayback реализован более централизованный механизм ведения логов и новый парсер опций, напоминающий getopt.

1. OpenNews: Опубликован Wayback, композитный сервер Wayland для запуска рабочих столов на базе X11
2. OpenNews: Выпуск miracle-wm 0.6, композитного менеджера на базе Wayland и Mir
3. OpenNews: Сравнение производительности сеансов KDE Plasma на базе X11 и Wayland
4. OpenNews: Доступен Wayland 1.24
5. OpenNews: Выпуск композитного сервера Hyprland 0.50

В настоящее время по умолчанию в Fedora предлагается собственный flatpak-репозиторий, содержимое которого формируется на основе пересборки rpm-пакетов. По умолчанию загрузку пакетов из FlatHub можно включить лишь после установки, активировав в менеджере приложений GNOME опцию "Enable Third-Party Repositories", но даже в этом случае пакеты из репозитория Fedora являются более приоритетными.

По мнению Майкла большинство пользователей предпочло бы установку пакетов из каталога FlatHub, собираемых основными разработчиками приложений, а не сопровождающими Fedora (80% участников дискуссии высказались за использование FlatHub). Предполагается, что разработчики приложений лучше знают нюансы своих проектов и собирают более качественно работающие flatpak-пакеты, тщательнее протестированные сообществом. При этом сопровождающие rpm-пакеты в Fedora не проявляют ожидаемого интереса к поддержанию вариантов пакетов в формате flatpak и не уделяют должного внимания сообщениям об ошибках в таких пакетах, что приводит к тому, что качество flatpak-пакетов от Fedora ниже, чем размещённых во FlatHub пакетах от основных проектов.

Многие пользователи не в курсе, что устанавливая flatpak-пакет через менеджер приложений Fedora, он устанавливается не из FlatHub, как в других дистрибутивах, а из репозитория Fedora, пакеты в котором отличаются от вариантов с FlatHub. Из-за этого проблемы, специфичные для пакетов из репозитория Fedora, воспринимаются как проблемы в официальных пакетах с FlatHub и претензии направляются основным разработчикам, а не сопровождающим Fedora. Например, поставка проблемного flatpak-пакета OBS Studio в Fedora, который являлся более приоритетным, чем пакет из FlatHub, в феврале привела к конфликту с проектом OBS Studio.

Применение собственного Flatpak-репозитория обусловлено необходимостью сборки в заслуживающем доверия окружении. Для пакетов во FlatHub, даже если рассматривать только верифицированные пакеты, за публикацию которых отвечают основные проекты, сборка производится во внешних инфраструктурах, безопасность которых может вызывать сомнение. Из достоинств поддержания собственного репозитория в Fedora упоминаются гарантии, что пакет собран из заявленного исходного кода и содержит только компоненты под открытыми лицензиями, одобренными к использованию Fedora. Пакеты в Fedora-репозитории также могут включать патчи, доступные только для RPM-пакетов в Fedora и пока не принятые в основную кодовую базу проектов.

Предложение Майкла сводится к включению по умолчанию в атомарной редакции Fedora Workstation поддержки установки пакетов из FlatHub, находящихся в категории "свободное ПО". Возможность установки из FlatHub коснётся только пакетов, устанавливаемых пользователями через менеджер приложений GNOME Software. Все предустанавливаемые по умолчанию flatpak-пакеты продолжат загружаться из собственного репозитория Fedora, но для не применяемых по умолчанию пакетов в качестве источника для загрузки предлагается задействовать FlatHub.

Перед переходом на FlatHub предлагается совместно внедрить во FlatHub возможности для сборки пакетов в заслуживающей доверие инфраструктуре и задействовать проверки на базе воспроизводимых сборок. Кроме того, следует решить вопрос с применением в пакетах устаревших версий Flatpak Runtime, в которые уже прекращён перенос исправлений уязвимостей. В настоящее время 994 из 3438 (почти треть) проверенных пакетов из FlatHub используют Runtime, время поддержки которых истекло. Проблемы с безопасностью также возникают из-за устаревших внутренних зависимостей, включаемых в состав пакетов, и применения недостаточных мер sandbox-изоляции (разработчики некоторых пакетов отключают режимы защиты). Проблемы предлагается решить через реализацию автоматизированных проверок устаревших runtime и зависимостей, и форсирование применения полноценной sandbox-изоляции.

Кроме Майкла, с похожим предложением также выступил Тимоти Равье (Timothée Ravier): в Fedora 43 предлагается продолжить поставку предустановленных flatpak-пакетов из репозитория Fedora, но добавить фильтр, допускающий установку из FlatHub избранных проверенных приложений. В качестве достоинств предложенного решения называется снижение путаницы у пользователей и разработчиков основных проектов (разработчикам приходится разбирать сообщения об ошибках, специфичных для Flatpak-пакетов Fedora, отправленных под видом, что они присутствуют в официальном flatpak-пакете). Изменение также снизит нагрузку на сопровождающих и позволит им сфокусироваться на передаче исправлений в основные проекты и тестировании предустанавливаемых по умолчанию Flatpak-пакетов.

1. OpenNews: Проекту Fedora пригрозили иском из-за поставки сбойного flatpak-пакета с OBS Studio
2. OpenNews: Релиз системы самодостаточных пакетов Flatpak 1.16.0
3. OpenNews: Каталог приложений Flathub достиг отметки в 2 миллиарда загрузок
4. OpenNews: Уязвимость во flatpak, позволяющая обойти sandbox-изоляцию
5. OpenNews: Fedora 38 предложит неограниченную поддержку Flathub

Основные новшества в Firefox 141:

• Добавлена экспериментальная поддержка автоматической группировки вкладок, основанная на использовании локально выполняемой AI-модели, определяющей вкладки, сходные по тематике. После перетаскивания мышью одной вкладки на другую или открытии контекстного меню с параметрами группы, браузер теперь показывает кнопку "Suggest more of my tabs", после нажатия на которую выводится список похожих вкладок для их быстрого включения в группу. AI также предлагает релевантное имя группы. Функция пока по умолчанию включена не для всех и постепенно будет активироваться для всё большего процента пользователей. Для принудительного включения можно активировать параметр "browser.tabs.groups.smart.enabled" на странице about:config.
• Предоставлена возможность изменения размера области инструментов в нижней части боковой панели вертикальных вкладок. Для разделения места под вкладки и инструменты достаточно переместить мышью горизонтальный разделитель секций. Если все инструменты не вмещаются в выбранную область, то часть из них будет вынесена в дополнительно раскрываемое меню.
• В адресную строку встроен конвертер единиц измерения, поддерживающий преобразование часовых поясов и величин углов, расстояния, температуры, массы и силы. При клике на результат он будет сохранён в буфер обмена.
• В сборках для платформы Linux снижено потребление памяти и убрано требование перезапуска после обновления при помощи пакетного менеджера.
• Для пользователей из Бразилии, Испании и Японии включена функция автозаполнения адресов в web-формах, которая ранее была доступна только для США, Великобритании, Канады, Германии, Франции, Польши, Италии и Австрии.
• По умолчанию в сборках для платформы Windows активирован API WebGPU и язык шейдеров WGSL (WebGPU Shading Language). Для Linux и macOS поддержка WebGPU будет включена в одном из следующих выпусков, до этого WebGPU можно активировать через параметры "dom.webgpu.enabled" и "gfx.webrender.all" на странице about:config. WebGPU предоставляет схожий с Vulkan, Metal и Direct3D 12 программный интерфейс для выполнения операций на стороне GPU. WebGPU даёт возможность приложениям на языке JavaScript контролировать организацию, обработку и передачу команд к GPU, управлять связанными ресурсами, памятью, буферами, объектами текстур и скомпилированными графическими шейдерами.
• При возвращении сервером значения "cache" в HTTP-заголовке "Clear-Site-Data" дополнительно реализована очистка кэша перехода (BFCache - Back-forward cache), обеспечивающего мгновенный переход при использовании кнопок "Назад" и "Вперёд" или при навигации по ранее просмотренным страницам текущего сайта.
• В HTML-элемент <dialog> добавлен атрибут "closedby", позволяющий определить поведение при закрытии диалога. Значение "none" подразумевает, что пользователь не может закрыть диалог; "closerequest" - допускает закрытие нажатием клавиши ESC; "any" приводит к закрытию при клике мышью в области за пределами диалога или при нажатии ESC.
• Возвращена поддержка технологии CHIPS (Cookies Having Independent Partitioned State), позволяющей изолировать Cookie в привязке к домену первого уровня, используя атрибут "Partitioned". Если в обычных условиях сторонний код с сайта "C", встроенный на сайты "A" и "В", может обрабатывать общие для данных сайтов Cookie, то при указании атрибута "Partitioned", выставленные сайтом "C" Cookie, при загрузке кода с сайтов "A" и "В", будут полностью разделены.
• В JavaScript-методы HTMLElement.showPopover() и HTMLElement.togglePopover() добавлен аргумент "options.source", ссылающийся на обработчик открытия всплывающего окна (popover). В метод togglePopover() добавлен аргумент "options.force" для принудительного открытия или закрытия всплывающего окна.
• В интерфейс PointerEvent добавлено свойство persistentDeviceId, а в интерфейс IntersectionObserver свойство scrollMargin.
• Добавлено CSS-свойство "font-variant-emoji" для настройки стиля отображения Emoji. Например, можно выбрать текстовое или графическое представление.
  
  
• В версии для платформы Android переделано меню; реализована автоматическая блокировка приватных вкладок после переключения на другое приложение; обеспечена подсветка домена в адресной строке; добавлена функция для отправки PDF-файлов в другие приложения.

Кроме новшеств и исправления ошибок в Firefox 141 устранено 27 уязвимостей. 13 уязвимостей вызваны проблемами работы с памятью, такими как переполнения буферов и обращение к уже освобождённым областям памяти. Потенциально данные проблемы способны привести к выполнению кода злоумышленника при открытии специально оформленных страниц.

1. OpenNews: В Firefox и Safari будет включена поддержка WebGPU
2. OpenNews: Релиз Firefox 140
3. OpenNews: Mozilla переходит к поставке Firefox с условиями использования
4. OpenNews: Разработка Firefox перенесена с Mercurial на Git и GitHub
5. OpenNews: Изменение правил в каталоге дополнений к Firefox

В настоящее время в OSS Rebuild реализована поддержка верификации пакетов из репозиториев NPM (JavaScript/TypeScript), PyPI (Python) и Crates.io (Rust). В будущем число поддерживаемых репозиториев планируют расширить. На практике инструментарий позволяет выявлять варианты атаки класса "supply chain", в ходе которых после компрометации учётных записей сопровождающих или диверсии внутри проекта в репозитории публикуется вредоносное обновление. При этом код в исходном репозитории основного проекта остаётся корректным, а вредоносные изменения вносятся только в готовые пакеты.

Система по возможности автоматически формирует сценарий для воспроизводимой сборки выбранного пакета, используя эвристику и подбирая параметры, позволяющие добиться идентичности артефактов, поставляемых в пакете. Если автоматически не удаётся воспроизвести размещённый в репозитории пакет, возможно ручное добавление сборочной спецификации. После того как удалось воспроизвести пакет, инструментарий OSS Rebuild сохраняет описание процесса сборки для последующей проверки новых версий пакета. Дополнительно публикуется информация для верификации с использованием фреймворка SLSA.

После проведения проверки конкретной версии пакета формируются данные аттестации, которые могут использоваться другими для оценки уже верифицированных пакетов. Проверку можно осуществить через запуск утилиты командной строк или сверку хэша, сохранённого в отдельном облачном хранилище. Инфраструктуру для проверки пакетов можно развернуть на собственном сервере. Так же можно воспользоваться информацией о проверках, выполняемых в Google для нескольких тысяч пакетов.

В качестве примеров разных методов атак, от которых мог бы защитить OSS Rebuild, приводится добавление бэкдора в XZ, внедрение вредоносного кода в официальный JavaScript-клиент для криптовалюты Solana и подстановка изменений через Actions-обработчик changed-files:

• В случае с проектом XZ код в репозитории не содержал подозрительных изменений, а образующие бэкдор вредоносные компоненты поставлялись внутри файлов, используемых в тестовом наборе для проверки корректности работы распаковщика XZ. Бэкдор активировался на уровне системы сборки, а сам исходный код XZ совпадал с кодом из репозитория. Активирующие бэкдор m4-макросы для инструментария Automake были включены только в готовый архив с кодом и отсутствовали в репозитории. Для выявления подобных атак в OSS Rebuild применяется динамический анализ поставляемых в пакете артефактов, путей выполнения и подозрительных операций.
• Подстановка вредоносных изменений в библиотеку @solana/web3.js произошла из-за компрометации учётной записи сопровождающего, используя методы социального инжиниринга и фишинга. В репозитории NPM был размещён новый выпуск, включающий вредоносные изменения. В Git-репозитории проекта этот выпуск создан не был и вредоносные изменения присутствовали только в результирующем пакете. Защита в этом случае сводится к выявлению в пакете кода, отсутствующего в основном репозитории.
• Компрометация репозитория обработчика changed-files позволила провести атаку на проекты, использующие changed-files для отслеживания изменения файлов и каталогов в инфраструктуре непрерывной интеграции на базе GitHub Actions. Для защиты от подстановки изменений после компрометации сборочного окружения в OSS Rebuild применяется отслеживание изменений и подозрительной активности в стандартизированных урезанных сборочных окружениях.

1. OpenNews: В NixOS предложен метод защиты от подстановки бэкдоров, таких как в XZ
2. OpenNews: Google предложил SLSA для защиты от вредоносных изменений в процессе разработки
3. OpenNews: Оценка проблем с сопровождением открытых проектов и использованием старых зависимостей
4. OpenNews: Red Hat и Google представили Sigstore, сервис для криптографической верификации кода
5. OpenNews: Атака на зависимости позволила выполнить код на серверах PayPal, Micrоsoft, Apple, Netflix, Uber и ещё 30 компаний

Формат APV обеспечивают высокую пропускную способность и низкую сложность внутрикадрового кодирования, необходимые монтажным кодекам (среди них Apple ProRes и Avid DNxHD), а также отсутствие видимого снижения качества при повторном кодировании. Поддерживаются разрешения 2K, 4K и 8K, стандарт HDR10/10+ для использования расширенного динамического диапазона в видео, разбивка кадров (tiling) для распараллеливания кодирования/декодирования, различные форматы дискретизации цвета, многоракурсное видео (multi-view), добавление метаданных (глубина, прозрачность, данные для предпросмотра). Для ускорения работы в библиотеке OpenAPV поддерживается многопоточное кодирование и декодирование, а также задействованы оптимизации с использованием расширенных наборов команд NEON (ARM) и SSE/AVX (x86).

В новой версии добавлена поддержка семейств APV (APV family), определяющих типовые конфигурации кодека, отвечающие определённым требованиям к размеру и битрейту. Учтены последние доработки спецификации. Добавлена поддержка профилей 422-12, 444-10, 444-12, 4444-10, 4444-12 и 400-10. Внесены оптимизации для сокращения времени кодирования и декодирования. Реализованы защищённые методы доступа к буферу битового потока (bitstream) и управления метаданными. Расширен API.

1. OpenNews: Pixar передал проект OpenTimelineIO под покровительство Linux Foundation
2. OpenNews: Инициатива по развитию открытого ПО для киноиндустрии
3. OpenNews: Разработчики кодека AV1 представили формат IAMF для объёмного звука
4. OpenNews: Уязвимость в эталонных реализациях кодеков AV1 и VP8/VP9
5. OpenNews: Опубликован свободный видеокодек Theora 1.2

Отправленное сопровождающим сообщение было стилизовано под типовые уведомления NPM, отправляемые с адреса "[email protected]", но в качестве ссылки для перехода был указан домен "npnjs.com" вместо "npmjs.com" (третья буква "n" вместо "m"). Атакующие воспользовались психологическим эффектом, из-за которого мозг, предвосхищая ожидаемый результат, не замечает незначительные искажения, такие как замена букв на похожие или изменение порядка следования букв в слове. При переходе по ссылке открывалась полная копия сайта npmjs.com (вероятно, был настроен прокси, перехватывающий токен доступа).

В ходе атаки были сформированы новые версии пакетов:

• eslint-config-prettier: 8.10.1, 9.1.1, 10.1.6, 10.1.7.
• eslint-plugin-prettier: 4.2.2, 4.2.3.
• synckit: 0.11.9.
• @pkgr/core: 0.2.8.
• napi-postinstall: 0.3.1.

В сформированные выпуски был добавлен вредоносный код для атаки на пользователей, использующих платформу Windows. Внесённые изменения загружали библиотеку node-gyp.dll, содержащую функциональность для удалённого выполнения команд в системе.

Сопровождающий заметил, что стал жертвой фишинга примерно через час после поступления первой жалобы о публикации подозрительных релизов. Он сразу отозвал токен доступа, поменял пароли и пометил проблемные версии устаревшими для предотвращения загрузки автоматизированными сборочными системами и отправил запрос на удаление проблемных версий из репозитория в службу поддержки NPM.

Не уточняется сколько пользователей успело загрузить вредоносные версии (например, вредоносная версия пакета eslint-plugin-prettier оставалась в репозитории около двух дней). За прошлую неделю пакет eslint-config-prettier насчитывал 30 млн загрузок и использовался в качестве зависимости у 11762 тысячи пакетов, пакет eslint-plugin-prettier - 21 млн загрузок (8468 зависимых пакетов), synckit - 18 млн, @pkgr/core - 16 млн и napi-postinstall - 10 млн.

Дополнение: Выявившие фишинг-атаку исследователи несколько дней назад также обратили внимание на 28 NPM-пакетов, авторами которых было включено изменение категории Protestware. Изменение приводило к воспроизведению украинского гимна и отключению обработки событий от мыши на сайтах в доменных зонах "ru", "su", "by" и "рф", если пользователь ранее уже открывал сайт более трёх дней назад и в его браузере была включена поддержка русского языка. Изначально изменение было реализовано около трёх лет назад в пакете Sweetalert2, насчитывающем 700 тысяч загрузок в неделю и используемого в 2403 других пакетах как зависимость. Наличие протестной активности было отдельно упомянуто на странице проекта. Через какое-то время изменение стало заимствоваться авторами других пакетов, как правило насчитывающие несколько сотен загрузок в неделю.

1. OpenNews: Злоумышленники смогли внедрить бэкдор в NPM-пакет от разработчиков криптовалюты XRP
2. OpenNews: Утечка пользовательской базы списка рассылки автора сервиса HaveIBeenPwned
3. OpenNews: Из-за опечатки в настройках атакующие могли подменить DNS-сервер MasterCard
4. OpenNews: В NPM-пакет node-ipc внесено вредоносное изменение, удаляющее файлы на системах в России и Беларуси
5. OpenNews: Разработчик внёс деструктивные изменения в NPM-пакеты colors и faker, применяемые в 20 тысячах проектов

Пользователям Clear Linux рекомендовано перевести свои системы на другие дистрибутивы. При этом отмечается, что Intel продолжит активно поддерживать экосистему Linux и участвовать в разработке различных открытых проектов и Linux-дистрибутивов для добавления поддержки своего оборудования и оптимизации работы с ним. Предполагается, что вовлечённые в разработку Clear Linux сотрудники Intel попадают под массовое сокращение, в ходе которого персонал компании будет уменьшен на 5 тысяч человек.

Напомним, что базовая часть Clear Linux содержит только минимальный набор инструментов для запуска контейнеров и обновляется атомарно через замену рабочих снапшотов Btrfs. Все приложения оформлены в виде пакетов Flatpak или наборов (Bundle), запускаемых в отдельных контейнерах. Внутри контейнеров выполняется специально оптимизированная копия Clear Linux, содержащая необходимые для запуска целевого приложения наборы (bundle).

Версия дистрибутива охватывает состояние версий всех входящих в него компонентов - изменение любой части системы всегда приводит к изменению общей версии всего дистрибутива. Система не сохраняет своё состояние (stateless) и после установки не содержит заранее добавленных настроек в каталоге /etc, а генерирует настройки на лету на основе указанных при запуске шаблонов.

Для изоляции контейнеров задействован инструментарий Kata Containers, применяющий полноценную виртуализацию на базе гипервизора KVM. В Kata Containers удалось минимизировать время запуска изолированного окружения на базе KVM и снизить потребление памяти, приблизив эти показатели к характеристикам обычных контейнеров. Для уменьшения потребления памяти применяется механизм DAX (прямой доступ к ФС в обход страничного кэша без применения уровня блочных устройств), а для дедупликации одинаковых областей памяти применяется технология KSM (Kernel Shared Memory).

1. OpenNews: Проект Clear Linux смещает акцент при разработке на серверы и облачные системы
2. OpenNews: Intel опубликовал редакцию дистрибутива Clear Linux для разработчиков приложений
3. OpenNews: Intel представил Clear Linux с контейнерами приложений на базе виртуализации
4. OpenNews: Intel представил инструментарий Clear Containers 3.0, переписанный на языке Go
5. OpenNews: Выпуск Kata Containers 3.4 с изоляцией на основе виртуализации

В пакетах в файле PKGBUILD присутствовала ссылка на патчи, загружаемые из внешних репозиториев на GitHub (zenbrowser-patch, youtube-viewbot). Патчи вносили изменение в установочный процесс, приводящее к запуску скрипта на языке Python для установки трояна Chaos. Троян позволял получить удалённый доступ к системе, отправлять на внешний сервер конфиденциальные файлы и выполнять команды, например, для майнинга криптовалюты. Вредоносный исполняемый файл размещался как /usr/local/share/systemd-initd и запускался при помощи сервиса custom-initd.service, копируемого в каталог с systemd. При отсутствии прав root во время установки троян помещался в домашний каталог пользователя (~/.local/share/systemd-initd).

Вредоносные пакеты были размешены в репозитории AUR 16 июля примерно в 23 часа (MSK). Для продвижения вредоносных пакетов 18 июля в 15 часов (MSK) была развёрнута спамерская кампания. Например, для стимулирования установки в примечании к сборке с браузером Zen было отмечено решение критических проблем со стабильностью и отрисовкой, а также устранение утечек памяти.

Пакеты были удалены администраторами репозитория 18 июля в 19 часов (MSK). Почти сразу пользователи репозитория обратили внимание на ещё четыре вредоносных пакета minecraft-cracked, ttf-all-ms-fonts, ttf-ms-fonts-all и vesktop-bin-patched, размещённых под другой учётной записью примерно в 21 час 18 июля (MSK). На момент написания новости данные пакеты уже удалены из репозитория.

1. OpenNews: Эксперимент по получению контроля над пакетами в репозитории AUR
2. OpenNews: Представлен DUR, аналог пользовательского репозитория AUR для Debian
3. OpenNews: В AUR-репозитории Arch Linux найдено вредоносное ПО
4. OpenNews: В репозитории PyPI выявлено около 5000 оставленных в коде секретов и 8 вредоносных обфускаторов
5. OpenNews: В репозитории Hugging Face выявлены вредоносные AI-модели, выполняющие код

Ключевыми особенностями платформы является низкое потребление ресурсов (может использоваться на плате Raspberry Pi или в дешёвых VPS) и простой процесс установки. Предоставляются типовые возможности работы с проектами, такие как управление задачами, отслеживание проблем (issues), pull-запросы, wiki, средства для координации групп разработчиков, подготовка релизов, автоматизация размещения пакетов в репозиториях, управление правами доступа, сопряжение с платформами непрерывной интеграции, поиск кода, аутентификация через LDAP и OAuth, доступ к репозиторию по протоколам SSH и HTTP/HTTPS, подключение web-хуков для интеграции со Slack, Discord и другими сервисами, поддержка Git-хуков и Git LFS, инструменты для миграции и зеркалирования репозиториев. Отдельно выделяется возможность использования протокола ActivityPub для объединения в федеративную сеть отдельных серверов разработчиков.

Основные изменения:

• Переработана страница с профилем пользователя. Добавлены дополнительные действия в меню профиля.
• Улучшен интерфейс рецензирования pull-запросов на уровне отдельных коммитов (вместо полного списка изменений, охватывающего все коммиты, в данном режиме последовательно рецензируются отдельные коммиты). Для навигации по коммитам при рецензировании добавлены кнопки "вперёд" и "назад". Разрешено использование кнопки завершения рецензирования для отдельных коммитов. На страницах рецензирования оставлен видимым текст пояснения к коммиту.
• Добавлена опция для отправки на email уведомлений о сбоях при выполнении работ по расписанию (Forgejo Actions).
• Оптимизирован процесс проверки конфликтов с открытыми pull-запросами при помещении в целевую ветку новых коммитов. Ранее подобная проверка приводила нагрузке на ввод/вывод, пропорциональной числу открытых pull-запросов из-за применения операции к рабочему дереву. Переход на использование команды "git merge-tree --write-tree" позволил выполнять слияния, не обращаясь к рабочему дереву, что существенно снизило нагрузку в крупных внедрениях.
• Добавлена возможность использования SSH для задач, ранее завязанных на OpenPGP. Для подписи коммитов после редактирования файлов или приёма изменений, вместо ключа GPG теперь может применяться ключ SSH (подпись формируется в TPM через ssh-agent).
• По умолчанию добавлен файл robots.txt для информирования ботов о разделах, которые не следует индексировать.
• Добавлена функция для поддержания форка в состоянии, синхронизированном с основным проектом.
• Добавлена поддержка предпросмотра 3D-моделей в формате glTF.
• В редакторе комментариев реализована возможность расстановки отступов клавишей Tab.
• На базе Alpine 3.22 сформирован готовый образ контейнера для запуска Forgejo 12, использующий Git 2.49.1, GnuPG 2.4.7, SQLite 3.49.2 и OpenSSH 10.0.

1. OpenNews: Доступна платформа совместной разработки Forgejo 9.0, перешедшая на лицензию GPLv3
2. OpenNews: Fedora на пути к переводу Git-сервисов совместной разработки на платформу Forgejo
3. OpenNews: Уязвимость в платформе совместной разработки Gogs, позволяющая выполнить код на сервере
4. OpenNews: Проект Guix переходит на Git-хостинг Codeberg
5. OpenNews: Платформа совместной разработки Forgejo полностью отделилась от Gitea

В 2016 году, после замечаний о том, что сайт создаёт впечатление причастности Bitvise к разработке PuTTY, на страницу было добавлено примечание, что упомянутые продукты Bitvise никак не связаны с PuTTY и не должны восприниматься как рекомендуемые проектом PuTTY. В 2018 году на сайте появилась страница "FAQ", на которой было сказано, что компания Bitvise не имеет отношения к PuTTY, но развивает свой SSH-сервер, совместимый с PuTTY. В FAQ также было упомянуто, что многие клиенты Bitvise пользуются PuTTY и вынуждены искать страницу загрузки проекта, поэтому компания выкупила домен и создала отдельный сайт.

Со временем сайт putty.org стал восприниматься некоторыми пользователями как основная точка входа для загрузки PuTTY, а при поиске в Google, Yandex, Duckduckgo и Bing по ключевому слову "putty" домен putty.org показывается выше, чем официальная страница проекта www.chiark.greenend.org.uk/~sgtatham/putty. Сайт putty.org также часто упоминают в обсуждениях и рекомендациях, связанных с PuTTY.

13 июля один из блоггеров опубликовал заметку с критикой использования домена putty.org для рекламы продуктов Bitvise и призывом вернуть домен разработчику PuTTY. Утверждается, что компания Bitvise вводит пользователей в заблуждение, извлекает выгоду из возникшей путаницы и злоупотребляет доверием к открытому ПО для рекламы собственного SSH-клиента, конкурирующего с PuTTY.

Денис Бидер из компании Bitvise, владеющий доменом putty.org и никак не связанный с разработкой PuTTY, ответил, что проект PuTTY изначально не владел доменом и разговоры о возвращении домена, которого у проекта PuTTY никогда не было, беспочвенны и вводят окружающих в заблуждение. По словам Дениса, выкупив домен и использовав его для перенаправления на основную страницу загрузки он действовал без корыстных мотивов, а ссылки на своё ПО разместил для компенсации своих затрат.

После переписки с автором заметки Денис Бидер оскорбился, назвал призывы освободить домен происками коммунистов и заменил содержимое сайта, начав использовать его для распространения конспирологических и антивакцинаторских теорий. Ссылка на загрузку PuTTY была оставлена, но перемещена в самый низ страницы. В качестве мотива изменения указано, что так как страница пользуется популярностью, решено использовать её для дела, которое, по мнению владельца домена, послужит общему благу.

1. OpenNews: Выпуск SSH-клиента PuTTY 0.83
2. OpenNews: Создатель форка Audacity покинул проект после конфликта при выборе нового имени
3. OpenNews: Конфликт, связанный с торговыми марками PostgreSQL, остаётся не урегулирован
4. OpenNews: OBS Studio и Fedora урегулировали конфликт
5. OpenNews: Линус Торвальдс вступил в дискуссию с антипрививочником в списке рассылки ядра Linux

Среди добавленных улучшений:

• В движке рендеринга EEVEE реализована полная поддержка бэкенда для отрисовки c использованием графического API Vulkan. По сравнению с прошлой версией существенно повышена производительность при использовании Vulkan, а уровень функциональности Vulkan-бэкенда доведён до паритета с бэкендом на базе OpenGL (например, добавлена поддержка OpenXR, Subdivision и USD/Hydra). Для корректной работы Vulkan-бэкенда рекомендуется использовать свежие версии графических драйверов и Mesa. По умолчанию пока продолжает использоваться бэкенд OpenGL.
• Более чем в два раза ускорена загрузка текстур (с 5.7 секунд до 2.5 секунд) и заметно сокращено время запуска (с 7.2 секунд до 4 секунд). Включена по умолчанию многопоточная компиляция шейдеров. Добавлена настройка для выбора метода компиляция шейдеров (многопоточный или с выносом в отдельный процесс).
• Добавлено новое свойство "Смещение нормали теневого терминатора" (Shadow Terminator Normal Offset), позволяющее смещать лучи от поверхности для уменьшения артефакта теневого терминатора на низкополигональной геометрии.
• Реализован алгоритм Reverse-Z для сокращения артефактов в буфере глубины.
• Добавлена поддержка выноса операций кусочного построения гладких поверхностей (Subdivision) на сторону GPU.
• Добавлена опция "--profile-gpu" для сохранения в файле profile.json данных профилирования, включающих сведения о нагрузке на CPU и GPU.
• В средства для работы с геометрическими нодами добавлены модули для импорта файлов в форматах CSV, PLY, OpenVDB (.vdb), STL, Wavefront и TXT. Для импорта файла достаточно переместить его мышью в режиме drag&drop в редактор геометрических узлов.
  
  

  В инструментах для работы с нодами добавлена возможность сворачивания панелей. В редактор геометрических нод добавлена поддержка изменения нормалей меша. Для выставления нормали добавлена нода "Set Mesh Normal". Для подстановки значений в строку предложена нода "Format String", а для сопоставления строк - нода Match String.

  
• В системе композитинга (Compositor) реализованы процедурные ноды для создания текстур, а также добавлена поддержка типовых нод, таких как Vector Math, Vector Rotate, Mix Vector, Math и Clamp. Добавлена возможность ускорения операции устранения шумов при помощи GPU.
• Расширены возможности системы двумерного рисования и анимации Grease Pencil, позволяющей создавать эскизы в 2D и затем использовать их в 3D-окружении как трёхмерные объекты (на основе нескольких плоских эскизов в разных ракурсах формируется 3D-модель). Обеспечена интеграция с системой композитинга (Compositor). Добавлен новый проход рендеринга, выводящего видимые штрихи и заливки Grease Pencil в отдельный слой, что может быть полезным для изоляции, усиления или применения эффектов к элементам Grease Pencil во время композитинга. Добавлена возможность отключения рендеринга Grease Pencil для каждого слоя (View Layer) с помощью опции Filter. Реализован новый метод сглаживания (SSAA), делающий линии более гладкими. Добавлена поддержка экспорта анимированных SVG-файлов.

  Добавлены инструменты (Node Tools), позволяющие использовать ноды для создания объектов Grease Pencil. Добавлены новые ноды для заливки цветом, настройки глубины и сглаживания штрихов в Grease Pencil.

• В UV-редакторе предоставлена возможность просмотра UV-развёртки для активного или всех выделенных объектов, независимо от текущего режима, в том числе в редакторе изображений. Видимость и прозрачность UV-разверток можно изменять через всплывающее меню Overlays.
  
  
• Добавлен новый тип объектов "Облако точек" (Point Cloud) для представления большого количества отдельных точек в 3D-пространстве. Каждая точка в облаке точек может хранить дополнительные атрибуты, такие как радиус, положение и цвет. Новый объект значительно производительнее обычных мешей и может применяться для визуализации отсканированных 3D-данных и моделирования частиц.
• Задействована заставка, созданная по мотивам новой игры DOGWALK от Blender Studio. Игра создана в жанре интерактивной истории (ребёнок выгуливает собаку по зимнему лесу и украшает снеговика спрятанными предметами) и развивалась для оттачивания инструментов для использования Blender в качестве платформы для разработки ассетов и игровых уровней для движка Godot.
• В режимах скульптурного моделирования, текстурирования и рисования по вершинам появилась возможность рандомизации оттенка, насыщенности и значения цвета, как для всего штриха, так и для отдельных мазков кистью.
  
  
• В режиме скульптурного моделирования для инструмента "Обрезать" (Trim) реализован новый решатель Manifold, применяемый только с развёртываемыми мешами. Manifold работает быстрее режима Fast, который теперь переименован во Float. Новый решатель основан на одноимённой библиотеке, уже применяемой в модификаторе Boolean и геометрических нодах.
  
  
• Продолжена модернизация интерфейса пользователя. В редакторах нод упрощено добавление нод к кадрам (теперь достаточно просто нажать клавишу F после выделения узлов).
  
  
• В редакторе свойств предоставлена возможность скрытия неиспользуемых вкладок для уменьшения нагромождения в интерфейсе (например, в рабочем окружении для видеомонтажа можно скрыть вкладки Object и Shading).
  
  
• В браузерах ассетов и файлов реализован режим просмотра содержимого в форме горизонтального списка, позволяющего разместить больше содержимого на экране. Обеспечено разделение длинных меток на две строки c приоритетным показом начала и конца метки (чтобы оставалось видно расширение файла).
  
  
• В браузере ассетов реализован режим Screenshot Capture для быстрого предпросмотра редактируемых ассетов, не требующий перехода к рендерингу (для предпросмотра достаточно выделить область на экране).
  
  
• В нелинейном видеоредакторе (Video Sequencer) улучшено кэширование контента. В области предпросмотра реализована поддержка HDR.
• В табличном редакторе добавлена возможность произвольного изменения порядка следования столбцов и изменения их ширины.
• Обеспечена возможность импорта разом нескольких файлов SVG.
• Добавлена возможность настройки цвета сообщений об ошибках, предупреждений и информационных сообщений.
• Для Linux-систем добавлены большие курсоры для мониторов с высокой плотностью пикселей.
• Обеспечена совместимость со спецификацией CY2025, определяющей утилиты и библиотеки эталонной платформы VFX.
• В каталоге дополнений предложено 497 бесплатных расширений и 128 тем оформления.

1. OpenNews: Созданный в Blender мультфильм Поток получил премию Оскар
2. OpenNews: Выпуск свободной системы 3D-моделирования Blender 4.3
3. OpenNews: Выпуск свободной системы 3D-моделирования Blender 4.0

В Chrome поддержка WebGPU была предложена по умолчанию в версии 113, сформированной в мае 2023 года. В Safari поддержку WebGPU планируют включить по умолчанию этой осенью (экспериментальная поддержка доступна с ноября 2021 года). В Firefox экспериментальная поддержка WebGPU присутствовала с 2020 года, но была включена по умолчанию только в ночных сборках Firefox. Реализация WebGPU в Firefox основана на коде проекта WGPU, написанного на языке Rust и способного работать поверх графических API Direct3D 12, Vulkan, OpenGL и Metal.

WebGPU предоставляет схожий с Vulkan, Metal и Direct3D 12 программный интерфейс для выполнения операций на стороне GPU. Кроме 3D-графики WebGPU охватывает и возможности, связанные с выносом вычислений на сторону GPU и выполнением шейдеров. Концептуально WebGPU отличается от старой спецификации WebGL примерно так же, как графический API Vulkan отличается от OpenGL. При этом WebGPU не основывается на конкретном графическом API, а представляет собой универсальную прослойку, использующую те же низкоуровневые примитивы, что имеются в Vulkan, Metal и Direct3D.

WebGPU даёт возможность приложениям на языке JavaScript контролировать организацию, обработку и передачу команд к GPU, управлять связанными ресурсами, памятью, буферами, объектами текстур и скомпилированными графическими шейдерами. Подобный подход позволяет добиться более высокой производительности графических приложений за счёт снижения накладных расходов и повышения эффективности работы с GPU.

При помощи WebGPU можно создавать не привязанные к конкретным платформам сложные 3D-проекты, работающие не хуже, чем обособленные программы, напрямую использующие Vulkan, Metal или Direct3D. WebGPU также предоставляет дополнительные возможности для портирования нативных графических программ в форму, способную работать в браузерах, благодаря компиляции в WebAssembly.

Ключевые особенности WebGPU и отличия от WebGL:

• Раздельное управление ресурсами, подготовительными работами и передачей команд в GPU (в WebGL один объект отвечал за всё разом). Предоставляется три отдельных контекста: GPUDevice для создания ресурсов, таких как текстуры и буферы; GPUCommandEncoder для кодирования отдельных команд, включая стадии рендеринга и вычисления; GPUCommandBuffer для передачи в очередь на выполнение в GPU. Результат может быть отрисован в области, связанной с одним или несколькими элементами canvas, или обработан без вывода (например, при запуске вычислительных задач). Разделение стадий упрощает разнесение создания ресурсов и подготовительные операции в разные обработчики, которые могут выполняться в разных потоках.
• Иной подход при обработке состояний. В WebGPU предлагается два объекта - GPURenderPipeline и GPUComputePipeline, позволяющих комбинировать различные состояния, заранее определённые разработчиком, что даёт возможность браузеру не тратить ресурсы на проведение дополнительной работы, такой как перекомпиляция шейдеров. Среди поддерживаемых состояний: шейдеры, раскладки вершинных буферов и атрибутов, раскладки прикреплённых групп, смешивание, глубина и шаблоны, форматы вывода после рендеринга.
• Модель связывания, во многом напоминающая присутствующие в Vulkan средства группировки ресурсов. Для объединения ресурсов в группы в WebGPU предоставляется объект GPUBindGroup, который во время записи команд можно связать с другими такими же объектами для использования в шейдерах. Создание подобных групп даёт возможность драйверу заранее выполнить необходимые подготовительные действия, а браузеру позволяет значительно быстрее менять привязки ресурсов между вызовами отрисовки. Раскладка привязок ресурсов может быть определена заранее при помощи объекта GPUBindGroupLayout.

1. OpenNews: W3C представил черновой вариант стандарта WebGPU
2. OpenNews: В ночные сборки Firefox добавлена поддержка WebGPU
3. OpenNews: Объявлено о выходе спецификации WebGL 1.0
4. OpenNews: Началось открытие исходных текстов WebGL-движка браузера Microsoft Edge
5. OpenNews: В Firefox для Wayland обеспечено аппаратное ускорение WebGL и видео

Проект активно развивался в 2020 году, после чего впал в стагнацию и не вошёл в состав KDE Plasma 6, так как не был переведён на использование библиотек KDE 6 и Qt 6 и был привязан к прекратившему существование голосовому помощнику Mycroft. Вместе с Plasma Bigscreen почти остановилась и разработка сопутствующих проектов - web-браузера Aura и мультимедийного проигрывателя Plank, поддерживающих навигацию с использованием телевизионного пульта. В сентябре прошлого года Plasma Bigscreen был переведён на технологии KDE 6 и Qt 6, но публикация новых выпусков не была возобновлена и проект опять оказался заброшен.

Пару месяцев назад несколько разработчиков решили возродить проект и провели работу по модернизации интерфейса и доработке конфигуратора. Интерфейс был переведён на плоский стиль, удалены тени и фоновая заливка панелей, добавлены подсказки для индикаторов. Реализованы крупные экранные часы. Для вывода списков задействован QML-тип ListView и обеспечено кэширование отрисовки элементов. Обеспечено размывание фоновых объектов, находящихся не в фокусе.

Было:

Стало:

Реализована функция поиска, основанная на KRunner, позволяющая находить приложения без необходимости ручного пролистывания полного списка приложений.

Переработано оформление конфигуратора, в который добавлена боковая панель со списков категорий. Подготовлена библиотека для унификации оформления модулей к конфигуратору и применения горизонтальной раскладки элементов на экране. На новую библиотеку переведены модули для настройки экрана, звуковой подсистемы, Wi-Fi, оформления Bigscreen и взаимодействия со смартфоном (KDE Connect). Добавлен сервис Envmanager, позволяющий управлять настройками, специфичными для различных режимов работы KDE Plasma, и переключаться между режимами (декстоп, мобильный интерфейс и TV).

Публикацию пакетов с Plasma Bigscreen планируют наладить начиная с выпуска Plasma 6.5. До этого можно использовать сценарий сборки Plasma Bigscreen для postmarketOS или пакет plasma-bigscreen для дистрибутива Arch Linux из репозиториев nightly и AUR. Для управления через игровые контроллеры и пульты ДУ может применяться фоновый процесс из репозитория plasma-remotecontrollers. Из приложений, помимо web-браузера Aura и мультимедийного проигрывателя Plank, для управления с пульта могут использоваться flatpak-пакеты с медиацентром Kodi и интерфейсом к YouTube VacuumTube. Поддержка виртуальной клавиатуры пока отсутствует (экранная клавиатура находится в процессе разработки)

1. OpenNews: Проект KDE представил окружение Plasma Bigscreen для телевизоров
2. OpenNews: Релиз пользовательского окружения KDE Plasma 5.26
3. OpenNews: Прогресс в разработке мобильной платформы KDE Plasma Mobile
4. OpenNews: Планы KDE по прекращению поддержки сеанса X11
5. OpenNews: Сравнение производительности сеансов KDE Plasma на базе X11 и Wayland