Rhyddhau system pecyn hunangynhwysol Flatpak 1.18.0

После полутора лет разработки опубликована новая стабильная ветка инструментария Flatpak 1.18, предоставляющего систему для сборки самодостаточных пакетов, не привязанных к конкретным дистрибутивам Linux a'i weithredu mewn cynhwysydd arbennig sy'n ynysu'r rhaglen oddi wrth weddill y system. Darperir cefnogaeth ar gyfer rhedeg pecynnau Flatpak ar gyfer Fedora, CentOS, Debian, Arch Linux, Gentoo, Linux Mint, Alt Linux и UbuntuMae pecynnau Flatpak wedi'u cynnwys yn ystorfa Fedora ac fe'u cefnogir yn y rhaglenni rheoli cymwysiadau safonol GNOME a KDE.

Arloesiadau allweddol yng nghangen Flatpak 1.18:

• Реализована поддержка условных полномочий (conditional permission), позволяющих при запросе полномочий проверить наличие определённых возможностей в системе или в runtime. Например, при необходимости получения доступа к устройству ввода вместо «—device=all» можно запросить полномочие «—device-if=all:!has-input-device —device=input», которое предоставит доступ только к устройствам ввода или откатится на доступ ко всем устройствам если выборочное предоставление доступа не поддерживается в runtime. Аналогично можно запросить доступ к USB-устройвствам («has-usb-device» и «has-usb-portal») или совместно используемым подсистемам.
• Разрешён доступ к устройству /dev/ntsync для обращения к
  модулю ядра NTSYNC, реализующему набор примитивов для синхронизации, применяемых в ядре Windows NT и позволяющих существенно поднять производительность Windows-gemau wedi'u lansio gan ddefnyddio Wine.
• Для GPU Intel Xe включена поддержка API VA-API для аппаратного ускорения декодирования видео.
• Реализована возможность доступа к устройству /dev/kfd (Kernel Fusion Driver) с использованием полномочий, предоставляемых для DRI-устройств. Драйвер kfd реализует интерфейс для прямого выполнения вычислений на GPU AMD из приложений, использующих AMD ROCm, HIP и OpenCL.
• Добавлена поддержка использования опций командой строки для проброса доступа к каталогам в изолированные приложения.
• Добавлена поддержка каталога «preinstall.d», определяющего список предустанавливаемых Flatpak-приложений (для включения Flatpak-приложений в состав операционной системы).
• Разрешена прямая установка приложений из образов контейнеров в формате OCI, которые могут загружаться из собственных OCI-репозиториев и локальных архивов.
• В команду «flatpak install —from» добавлена поддержка URI «flatpak+https://».
• В команду «flatpak run» добавлена опция «—clear-env» для очистки переменных окружения перед запуском приложения.
• Предоставлена возможность экспорта корневого каталога хост-окружения в изолированное окружение приложения с доступом через каталог /run/host/root.
• Добавлена возможность вывода результата выполнения команд в формате JSON.
• Усилена изоляция сборочного окружения — команда «flatpak build» теперь не предоставляет по умолчанию доступ к хосту.
• Добавлена команда «reinstall» для переустановки зависимостей (bundle).
• Настройки D-Bus по умолчанию перенесены из каталога /etc в /usr.
• Сокращено время запуска при использовании командного интерпретатора fish.
• В libflatpak добавлена функция для получения информации о времени создания конфигурации, что позволяет приложениям, таким как GNOME Software, определить, что прокэшированные ими данные требуют обновления.
• Удалена сборочная опция http_backend, вместо libsoup2 для загрузки по HTTP/HTTPS задействована библиотека libcurl.
• По умолчанию включено использование escape-последовательностей для индикации прогресса выполнения операции.
• Разрешено передавать права доступа к устройствам во вложенные sandbox-окружения, созданные через порталы Flatpak.
• Для приложений, поставляемых в форме OCI-образов, реализован механизм «extra-data», например, позволяющий организовать воспроизведение видео h.265 во Flatpak-пакетах Fedora Linux.
• Добавлена поддержка сжатия зависимостей (OCI bundle) с использованием алгоритма zstd, более эффективно сжимающего данные. По умолчанию для сжатия продолжает использоваться gzip, обеспечивающий максимальную совместимость.

Flatpak упрощает распространение программ, не входящих в штатные репозитории дистрибутивов, за счёт подготовки одного универсального контейнера, избавляющего разработчиков программ от необходимости формировать отдельные сборки для каждого дистрибутива. Пользователям, заботящимся о безопасности, Flatpak даёт возможность выполнить вызывающее сомнение приложение в контейнере, предоставив выборочный доступ только к необходимым сетевым функциям и файлам пользователя. Пользователям, интересующимся новинками, Flatpak позволяет установить самые свежие тестовые и стабильные выпуски приложений без необходимости внесения изменений в систему. Например, Flatpak-пакеты собираются для LibreOffice, GIMP, Inkscape, Kdenlive, Steam, 0 A.D., Visual Studio Code, VLC, Slack, Telegram Desktop, Android Stiwdio, ac ati.

Er mwyn lleihau maint, dim ond dibyniaethau cais-benodol sydd wedi'u cynnwys yn y pecyn. Mae llyfrgelloedd system a graffeg sylfaenol (llyfrgelloedd GTK, Qt, GNOME a KDE, ac ati) yn cael eu cyflenwi ar ffurf amgylcheddau amser rhedeg safonol plug-in. Y gwahaniaeth allweddol rhwng Flatpak a Snap yw bod Snap yn defnyddio cydrannau amgylchedd y brif system ac ynysu yn seiliedig ar hidlo galwadau system, tra bod Flatpak yn creu cynhwysydd ar wahân i'r system ac yn gweithredu gyda setiau amser rhedeg mawr, gan ddarparu nid pecynnau fel dibyniaethau, ond safonol amgylchedd system rhai (er enghraifft, yr holl lyfrgelloedd sy'n angenrheidiol ar gyfer gweithredu rhaglenni GNOME neu KDE).

Yn ychwanegol at yr amgylchedd system safonol (amser rhedeg), wedi'i osod trwy ystorfa arbennig, darperir dibyniaethau ychwanegol (bwndel) sy'n ofynnol ar gyfer gweithredu'r cais. Yn gyfan gwbl, mae “amser rhedeg” a “bwndel” yn ffurfio cynnwys y cynhwysydd, tra bod “amser rhedeg” yn cael ei osod ar wahân a'i glymu i sawl cynhwysydd ar unwaith, sy'n eich galluogi i osgoi dyblygu ffeiliau system sy'n gyffredin i gynwysyddion.

Gall un system gael sawl “amser rhedeg” gwahanol wedi'u gosod (GNOME, KDE) neu sawl fersiwn o'r un “amser rhedeg” (GNOME 50, GNOME 49). Mae cynhwysydd gyda chymhwysiad fel dibyniaeth yn defnyddio rhwymiad i amser rhedeg penodol yn unig, heb gymryd i ystyriaeth y pecynnau unigol sy'n ffurfio'r amser rhedeg a ddewiswyd. Mae'r holl elfennau coll yn cael eu pecynnu'n uniongyrchol gyda'r cais. Wrth greu cynhwysydd, mae cynnwys "runtime" yn cael ei osod fel y rhaniad / usr, ac mae "bwndel" wedi'i osod yn y cyfeiriadur / app.

Mae'r cynwysyddion amser rhedeg a chymhwysiad yn cael eu hadeiladu gan ddefnyddio technoleg OSTree, lle mae'r ddelwedd yn cael ei diweddaru'n atomig o ystorfa debyg i Git, sy'n caniatáu i ddulliau rheoli fersiwn gael eu cymhwyso i gydrannau dosbarthu (er enghraifft, gallwch chi rolio'r system yn ôl yn gyflym i un blaenorol cyflwr). Mae pecynnau RPM yn cael eu trosi i gadwrfa OSTree gan ddefnyddio'r haen rpm-ostree.

Ni chefnogir gosod a diweddaru pecynnau yn yr amgylchedd gwaith yn ddetholus - mae'r system yn cael ei diweddaru nid ar lefel cydrannau unigol, ond yn ei chyfanrwydd, gan newid ei chyflwr yn atomig. Yn darparu offer i gymhwyso diweddariadau yn gynyddrannol, gan ddileu'r angen i ddisodli'r ddelwedd yn llwyr gyda phob diweddariad.

Формируемое изолированное окружение не зависит от используемого дистрибутива и при надлежащих настройках пакета не имеет доступа к файлам и процессам пользователя или основной системы, а также не может напрямую обращаться к оборудованию, за исключением вывода через DRI. Вывод графики и организация ввода реализованы при помощи протокола Wayland или через проброс сокета X11. Взаимодействие с внешней средой построено через систему обмена сообщениями DBus и специальный API Portals.

Ar gyfer inswleiddio, haen lapio swigod a thraddodiadol Linux technolegau rhithwiroli cynwysyddion yn seiliedig ar ddefnyddio cgroups, gofodau enwau, Seccomp ac SELinux. При создании пакета изоляция может быть отключена, чем пользуются разработчики некоторых пакетов для получения полного доступа к ФС и всем устройствам в системе.

Ffynhonnell: opennet.ru