После полутора лет разработки опубликована новая стабильная ветка инструментария Flatpak 1.18, предоставляющего систему для сборки самодостаточных пакетов, не привязанных к конкретным дистрибутивам Linux è eseguitu in un cuntainer speciale chì isola l'applicazione da u restu di u sistema. U supportu per l'esecuzione di pacchetti Flatpak hè furnitu per Fedora, CentOS, Debian, Arcu Linux, Gentoo, Linux Menta, Alt Linux и UbuntuI pacchetti Flatpak sò inclusi in u repositoriu Fedora è sò supportati in i prugrammi standard di gestione di applicazioni GNOME è KDE.
Innuvazioni chjave in a filiera Flatpak 1.18:
- Реализована поддержка условных полномочий (conditional permission), позволяющих при запросе полномочий проверить наличие определённых возможностей в системе или в runtime. Например, при необходимости получения доступа к устройству ввода вместо «—device=all» можно запросить полномочие «—device-if=all:!has-input-device —device=input», которое предоставит доступ только к устройствам ввода или откатится на доступ ко всем устройствам если выборочное предоставление доступа не поддерживается в runtime. Аналогично можно запросить доступ к USB-устройвствам («has-usb-device» и «has-usb-portal») или совместно используемым подсистемам.
- Разрешён доступ к устройству /dev/ntsync для обращения к
модулю ядра NTSYNC, реализующему набор примитивов для синхронизации, применяемых в ядре Windows NT и позволяющих существенно поднять производительность Windows-ghjochi lanciati cù Wine. - Для GPU Intel Xe включена поддержка API VA-API для аппаратного ускорения декодирования видео.
- Реализована возможность доступа к устройству /dev/kfd (Kernel Fusion Driver) с использованием полномочий, предоставляемых для DRI-устройств. Драйвер kfd реализует интерфейс для прямого выполнения вычислений на GPU AMD из приложений, использующих AMD ROCm, HIP и OpenCL.
- Добавлена поддержка использования опций командой строки для проброса доступа к каталогам в изолированные приложения.
- Добавлена поддержка каталога «preinstall.d», определяющего список предустанавливаемых Flatpak-приложений (для включения Flatpak-приложений в состав операционной системы).
- Разрешена прямая установка приложений из образов контейнеров в формате OCI, которые могут загружаться из собственных OCI-репозиториев и локальных архивов.
- В команду «flatpak install —from» добавлена поддержка URI «flatpak+https://».
- В команду «flatpak run» добавлена опция «—clear-env» для очистки переменных окружения перед запуском приложения.
- Предоставлена возможность экспорта корневого каталога хост-окружения в изолированное окружение приложения с доступом через каталог /run/host/root.
- Добавлена возможность вывода результата выполнения команд в формате JSON.
- Усилена изоляция сборочного окружения — команда «flatpak build» теперь не предоставляет по умолчанию доступ к хосту.
- Добавлена команда «reinstall» для переустановки зависимостей (bundle).
- Настройки D-Bus по умолчанию перенесены из каталога /etc в /usr.
- Сокращено время запуска при использовании командного интерпретатора fish.
- В libflatpak добавлена функция для получения информации о времени создания конфигурации, что позволяет приложениям, таким как GNOME Software, определить, что прокэшированные ими данные требуют обновления.
- Удалена сборочная опция http_backend, вместо libsoup2 для загрузки по HTTP/HTTPS задействована библиотека libcurl.
- По умолчанию включено использование escape-последовательностей для индикации прогресса выполнения операции.
- Разрешено передавать права доступа к устройствам во вложенные sandbox-окружения, созданные через порталы Flatpak.
- Для приложений, поставляемых в форме OCI-образов, реализован механизм «extra-data», например, позволяющий организовать воспроизведение видео h.265 во Flatpak-пакетах Fedora Linux.
- Добавлена поддержка сжатия зависимостей (OCI bundle) с использованием алгоритма zstd, более эффективно сжимающего данные. По умолчанию для сжатия продолжает использоваться gzip, обеспечивающий максимальную совместимость.
Flatpak упрощает распространение программ, не входящих в штатные репозитории дистрибутивов, за счёт подготовки одного универсального контейнера, избавляющего разработчиков программ от необходимости формировать отдельные сборки для каждого дистрибутива. Пользователям, заботящимся о безопасности, Flatpak даёт возможность выполнить вызывающее сомнение приложение в контейнере, предоставив выборочный доступ только к необходимым сетевым функциям и файлам пользователя. Пользователям, интересующимся новинками, Flatpak позволяет установить самые свежие тестовые и стабильные выпуски приложений без необходимости внесения изменений в систему. Например, Flatpak-пакеты собираются для LibreOffice, GIMP, Inkscape, Kdenlive, Steam, 0 A.D., Visual Studio Code, VLC, Slack, Telegram Desktop, Android Studio, ecc.
Per riduce a dimensione, solu dipendenze specifiche di l'applicazione sò incluse in u pacchettu. Biblioteche di sistema di basa è gràfiche (librerie GTK, Qt, GNOME è KDE, etc.) sò furnite in forma di ambienti di runtime standard plug-in. A diferenza chjave trà Flatpak è Snap hè chì Snap usa i cumpunenti di l'ambienti di u sistema principale è l'isolamentu basatu nantu à e chjama di u sistema di filtrazione, mentre chì Flatpak crea un containeru separatu da u sistema è opera cù grandi setti di runtime, chì ùn furnisce micca pacchetti cum'è dipendenze, ma standard. l'ambiente di u sistema (per esempiu, tutte e librerie necessarie per u funziunamentu di i prugrammi GNOME o KDE).
In più di l'ambiente standard di u sistema (runtime), installatu attraversu un repository speciale, sò furnite dipendenze supplementari (bundle) necessarii per u funziunamentu di l'applicazione. In tuttu, "runtime" è "bundle" formanu u cuntenutu di u cuntinuu, mentri "runtime" hè stallatu separatamente è ligatu à parechji cuntenituri à una volta, chì vi permette di evità di duplicà i schedarii di sistema cumuni à i cuntenituri.
Un sistema pò avè parechji "runtime" installati (GNOME, KDE) o parechje versioni di u stessu "runtime" (GNOME 50, GNOME 49). Un cuntinuu cù una applicazione cum'è una dipendenza usa una vinculazione solu à un runtime specificu, senza piglià in contu i pacchetti individuali chì formanu u runtime sceltu. Tutti l'elementi mancanti sò imballati direttamente cù l'applicazione. Quandu crea un containeru, u cuntenutu di "runtime" hè muntatu cum'è a partizione /usr, è "bundle" hè muntatu in u cartulare /app.
U runtime è i cuntenituri di l'applicazioni sò custruiti cù a tecnulugia OSTree, in quale l'imaghjina hè aghjurnata atomicamente da un repository simile à Git, chì permette à i metudi di cuntrollu di versione per esse applicati à i cumpunenti di distribuzione (per esempiu, pudete rinvià rapidamente u sistema à un precedente). statu). I pacchetti RPM sò tradotti in u repository OSTree utilizendu a capa rpm-ostree.
A stallazione selettiva è l'aghjurnamentu di i pacchetti in l'ambiente di travagliu ùn hè micca supportatu - u sistema hè aghjurnatu micca à u livellu di cumpunenti individuali, ma cum'è un sanu, cambià atomicamente u so statu. Fornisce strumenti per applicà l'aghjurnamenti in modu incrementale, eliminendu a necessità di rimpiazzà cumplettamente l'imaghjini cù ogni aghjurnamentu.
Формируемое изолированное окружение не зависит от используемого дистрибутива и при надлежащих настройках пакета не имеет доступа к файлам и процессам пользователя или основной системы, а также не может напрямую обращаться к оборудованию, за исключением вывода через DRI. Вывод графики и организация ввода реализованы при помощи протокола Wayland или через проброс сокета X11. Взаимодействие с внешней средой построено через систему обмена сообщениями DBus и специальный API Portals.
Per l'insulazione, una strata di carta à bolle è tradiziunale Linux tecnulugie di virtualizazione di container basate nantu à l'usu di cgroup, namespace, Seccomp è SELinux. При создании пакета изоляция может быть отключена, чем пользуются разработчики некоторых пакетов для получения полного доступа к ФС и всем устройствам в системе.
Source: opennet.ru
