Veröffentlichung des eigenständigen Paketsystems Flatpak 1.8.0

Veröffentlicht neuer stabiler Zweig des Toolkits Flatpack 1.8, который предоставляет систему для сборки самодостаточных пакетов, не привязанных к конкретным дистрибутивам Linux и выполняемых в специальном контейнере, изолирующем приложение от остальной системы. Поддержка выполнения Flatpak-пакетов обеспечена для Arch Linux, CentOS, Debian, Fedora, Gentoo, Mageia, Linux Mint und Ubuntu. Flatpak-Pakete sind im Fedora-Repository enthalten und werden vom nativen GNOME-Anwendungsmanager unterstützt.

Taste Innovationen im Flatpak 1.8-Zweig:

• Упрощена реализация установки в режиме P2P (позволяет организовать загрузку приложений и runtime-наборов через промежуточные узлы или накопители для систем без сетевого подключения). Прекращена поддержка установки через промежуточные хосты в локальной сети. Отключена по умолчанию автоматическая загрузка репозиториев (sideload), размещённых на локальных USB-накопителях. Для активации промежуточных локальных репозиториев следует настроить репозиторий через создание символической ссылки из /var/lib/flatpak/sideload-repos или
  /run/flatpak/sideload-repos. Изменение позволило упростить внутреннюю реализацию режима P2P и повысить его эффективность.

• Добавлен опциональный systemd unit для автоматического определения дополнительных репозиториев на подключённых внешних USB-накопителях.
• Для приложений, имеющих доступ к файловой системе, обеспечен проброс каталога /lib хост-окружения в /run/host/lib.
• Добавлены новые полномочия доступа к ФС — «host-etc» и «host-os», позволяющие получить доступ к системным каталогам /etc и /usr.
• Для генерации более эффективного кода разбора файлов GVariant из ostreee задействован Varianten-Schema-Compiler.
• В сборочном крипте configure предоставлена возможность сборки без
  libsystemd;

• Обеспечено монтирование сокетов Journal в режиме только для чтения.
• В document-export добавлена поддержка экспорта каталогов.
• Разрешён прямой доступ к звуковым устройствам ALSA для приложений, имеющих доступ к Pulseaudio.
• In der API FlatpakTransaction добавлен сигнал «install-authenticator», который может использоваться клиентами для установки аутентификаторов, необходимых для совершения транзакции.
• Обеспечено использование данных о часовом поясе на основе /etc/localtime из хост-системы, что решило связанные с часовыми поясами проблемы в некоторых приложениях.
• Прекращена установка файла env.d из gdm, так как генераторы systemd лучше справляются с этой задачей.
• В утилите create-usb по умолчанию включён экспорт частичных коммитов.
• Обеспечена поставка файла sysusers.d для создания через systemd необходимых пользователей.
• В команды «flatpak remote-add» и «flatpak modify» добавлена опция «—[no-]follow-redirect» для запрета/разрешения перенаправления на другой репозиторий.
• Ins System
  Portale добавлен API Spawn для получения реального идентификатора процесса (PID) запущенного приложения.

• Все репозитории OCI (Open Container Initiative) переведены на использование аутентификатора flatpak-oci-authenticator.
• В команды «flatpak remote-info» и «flatpak update» добавлена опция «—commit=» для задания определённой версии репозиториев OCI.
• Добавлена начальная поддержка delta-обновлений для репозиториев OCI.
• Добавлена команда «flatpak upgrade», которая является псевдонимом команды «flatpak update».
• Реализованы сценарии дополнения ввода для командной оболочки fish.

Напомним, что разработчикам приложений Flatpak даёт возможность упростить распространение своих программ, не входящих в штатные репозитории дистрибутивов за счет ausbildung ein universeller Container, ohne für jede Verteilung separate Assemblys zu erstellen. Für sicherheitsbewusste Benutzer ermöglicht Flatpak die Ausführung einer fragwürdigen Anwendung in einem Container und bietet nur Zugriff auf die Netzwerkfunktionen und Benutzerdateien, die mit der Anwendung verknüpft sind. Für Benutzer, die an neuen Produkten interessiert sind, ermöglicht Flatpak die Installation der neuesten Test- und stabilen Versionen von Anwendungen, ohne dass Änderungen am System vorgenommen werden müssen. Derzeit gibt es beispielsweise bereits Flatpak-Pakete gehen zu для LibreOffice, Midori, GIMP, Inkscape, Kdenlive, Steam, 0 A.D., Visual Studio Code, VLC, Slack, Skype, Telegram Desktop, Android Studio и т.д.

Для уменьшения размера пакета он включает лишь специфичные для приложения зависимости, а базовые системные и графические библиотеки (Gtk+, Qt, библиотеки GNOME и KDE и т.п.) оформлены в виде подключаемых типовых runtime-окружений. Ключевое отличие Flatpak от Snap заключается в том, что Snap использует компоненты окружения основной системы и изоляцию на основе фильтрации системных вызовов, в то время как Flatpak создаёт отдельный от системы контейнер и оперирует крупными runtime-наборами, предоставляя в качестве зависимостей не пакеты, а типовые системные окружения (например, все библиотеки, необходимые для работы программ GNOME или KDE).

Zusätzlich zur Standard-Systemumgebung (Laufzeit), installiert über eine spezielle Repositorywerden zusätzliche Abhängigkeiten (Bundle) bereitgestellt, die für die Funktionsfähigkeit der Anwendung erforderlich sind. Insgesamt bilden Runtime und Bundle die Füllung des Containers, obwohl Runtime separat installiert und an mehrere Container gleichzeitig gebunden wird, wodurch Sie die Duplizierung von Systemdateien vermeiden können, die für Container üblich sind. Auf einem System können mehrere unterschiedliche Laufzeiten (GNOME, KDE) oder mehrere Versionen derselben Laufzeit (GNOME 3.26, GNOME 3.28) installiert sein. Ein Container mit einer Anwendung als Abhängigkeit verwendet eine Bindung nur an eine bestimmte Laufzeit, ohne die einzelnen Pakete zu berücksichtigen, aus denen die Laufzeit besteht. Alle fehlenden Elemente werden direkt mit der Anwendung gepackt. Wenn ein Container erstellt wird, werden die Laufzeitinhalte als /usr-Partition bereitgestellt und das Bundle wird im Verzeichnis /app bereitgestellt.

Die Befüllung von Laufzeit- und Anwendungscontainern erfolgt technologisch OSTree, bei dem das Image atomar aus einem Git-ähnlichen Repository aktualisiert wird, wodurch Versionskontrollmethoden auf die Komponenten der Distribution angewendet werden können (Sie können beispielsweise das System schnell auf einen früheren Zustand zurücksetzen). RPM-Pakete werden mithilfe einer speziellen Ebene in das OSTree-Repository übersetzt rpm-otree. Die separate Installation und Aktualisierung von Paketen innerhalb der Arbeitsumgebung wird nicht unterstützt; das System wird nicht auf der Ebene einzelner Komponenten, sondern als Ganzes aktualisiert und ändert seinen Zustand atomar. Bietet Tools zum schrittweisen Anwenden von Updates, sodass das Image nicht bei jedem Update vollständig ersetzt werden muss.

Формируемое изолированное окружение полностью независимо от используемого дистрибутива и при надлежащих настройках пакета не имеет доступа к файлам и процессам пользователя или основной системы, не может напрямую обращаться к оборудованию, за исключением вывода через DRI, и сетевой подсистеме. Вывод графики и организация ввода umgesetzt über das Wayland-Protokoll oder über die X11-Socket-Weiterleitung. Die Interaktion mit der externen Umgebung basiert auf dem DBus-Nachrichtensystem und einer speziellen Portals-API. Zur Isolierung benutzt Zwischenschicht bubblewrap und traditionelle Linux-Containervirtualisierungstechnologien basierend auf der Verwendung von Cgroups, Namespaces, Seccomp und SELinux. PulseAudio wird zur Tonausgabe verwendet.

Source: opennet.ru