Tá brainse nua cobhsaí den fhoireann uirlisí Flatpak 1.14 foilsithe, a sholáthraíonn córas chun pacáistí féinchuimsitheacha a thógáil nach bhfuil ceangailte le dáiltí sonracha Linux agus a reáchtáiltear i gcoimeádán speisialta a leithlisíonn an t-iarratas ón gcuid eile den chóras. Cuirtear tacaíocht ar fáil do phacáistí Flatpak a reáchtáil do Arch Linux, CentOS, Debian, Fedora, Gentoo, Mageia, Linux Mint, Alt Linux agus Ubuntu. Tá na pacáistí Flatpak san áireamh i stór Fedora agus coinnítear iad i mBainisteoir Iarratais GNOME dúchais.
Príomh-nuálaíochtaí sa bhrainse Flatpak 1.14:
- Обеспечено создание каталога для файлов в состоянием (.local/state) и выставление указывающей на этот каталог переменной окружения XDG_STATE_HOME.
- Добавлены условные проверки вида «have-kernel-module-имя» для определения наличия модулей ядра (универсальный аналог ранее предлагаемой проверке have-intel-gpu, вместо которой теперь можно использовать выражение «have-kernel-module-i915»).
- Реализована команда «flatpak document-unexport —doc-id=…».
- Обеспечен экспорт метаданных Appstream для использования в основном окружении.
- Добавлены правила автодополнения команд flatpak для командной оболочки Fish
- Разрешён сетевой доступ к сервисам X11 и PulseAudio (при добавлении соответствующих настроек).
- Основная ветка в Git-репозитории переименована с «master» на «main», так как слово «master» считается последнее время неполиткорректным.
- Обеспечена перезапись скриптов запуска в случае переименования приложения.
- В команду install добавлены опции «—include-sdk» и «—include-debug» для установки SDK и файлов debuginfo.
- В файлы flatpakref и flatpakrepo добавлена поддержка параметра «DeploySideloadCollectionID», при установке которого идентификатор коллекции будет выставлен во время добавления удалённого репозитория, а не после загрузки метаданных.
- Разрешено создание вложенных sandbox-окружений для обработчиков в сеансах с отдельными именами MPRIS (Media Player Remote Interfacing Specification).
- В утилитах командной строки обеспечен вывод сведений об использовании устаревших runtime-расширений.
- В команде uninstall реализован запрос подтверждения перед удалением runtime или runtime-расширений, которые ещё используются.
- В команды подобные «flatpak run» добавлена поддержка опции «—socket=gpg-agent».
- В libostree устранена уязвимость, потенциально позволяющая пользователю удалить произвольные файлы в системе через манипуляции с обработчиком flatpak-system-helper (отправке запроса на удаление со специально оформленным именем ветки). Проблема проявляется только в старых версиях Flatpak и libostree, выпущенных до 2018 года (< 0.10.2), и не затрагивает актуальные выпуски.
Thabhairt chun cuimhne go ndéanann Flatpak deis d'fhorbróirí feidhmchláir dáileadh a gcuid clár nach bhfuil san áireamh sna stórtha dáileacháin rialta a shimpliú trí choimeádán uilíoch amháin a ullmhú gan tionóil ar leith a chruthú do gach dáileadh. I gcás úsáideoirí atá feasach ar shlándáil, ceadaíonn Flatpak feidhmchlár amhrasach a reáchtáil i gcoimeádán, ag tabhairt rochtain ar na feidhmeanna líonra agus na comhaid úsáideora a bhaineann leis an bhfeidhmchlár amháin. I gcás úsáideoirí a bhfuil suim acu i cad atá nua, ceadaíonn Flatpak duit na heisiúintí tástála agus cobhsaí is déanaí d'iarratais a shuiteáil gan gá le hathruithe a dhéanamh ar an gcóras. Mar shampla, tógtar pacáistí Flatpak le haghaidh LibreOffice, Midori, GIMP, Inkscape, Kdenlive, Steam, 0 AD, Visual Studio Code, VLC, Slack, Skype, Telegram Desktop, Android Studio, etc.
Chun méid an phacáiste a laghdú, ní áirítear leis ach spleáchais a bhaineann go sonrach le feidhmchlár, agus tá na leabharlanna bunchórais agus grafacha (leabharlanna GTK, Qt, GNOME agus KDE, etc.) deartha mar thimpeallachtaí rite tipiciúil in-phlugáilte. Is é an príomhdhifríocht idir Flatpak agus Snap ná go n-úsáideann Snap comhpháirteanna timpeallacht an phríomhchórais agus aonrú bunaithe ar scagadh glaonna an chórais, agus cruthaíonn Flatpak coimeádán ar leithligh ón gcóras agus go n-oibríonn sé le tacair ama rite móra, ag soláthar gnáthphacáistí seachas pacáistí mar spleáchais. • timpeallachtaí córais (mar shampla, gach leabharlann a theastaíonn chun cláir GNOME nó KDE a rith).
Chomh maith le gnáth-thimpeallacht an chórais (am rite) a shuiteáiltear trí stór speisialta, soláthraítear spleáchais bhreise (beart) a theastaíonn chun an t-iarratas a bheith ag obair. Go hachomair, is éard atá i gceist le ham rite agus cuachta líonadh an choimeádáin, agus déantar an t-am rite a shuiteáil ar leithligh agus a cheangal le roinnt coimeádán ag an am céanna, rud a fhágann gur féidir dúbláil comhaid chórais a bhaineann le coimeádáin a sheachaint. Is féidir roinnt amanna rite éagsúla a bheith suiteáilte ar chóras amháin (GNOME, KDE) nó roinnt leaganacha den am rite céanna (GNOME 3.40, GNOME 3.42). Ní úsáideann coimeádán le feidhmchlár mar spleáchas é ach amháin maidir le ham rite ar leith, gan na pacáistí aonair a chomhdhéanann an t-am rite a chur san áireamh. Déantar gach mír atá ar iarraidh a phacáistiú go díreach leis an bhfeidhmchlár. Nuair a fhoirmítear an coimeádán, tá inneachar an ama rite gléasta mar an deighilt / usr, agus tá an beart suite san eolaire / app.
Cruthaítear líonadh an ama rite agus na gcoimeádán feidhmchláir ag baint úsáide as teicneolaíocht OSTree, ina ndéantar an íomhá a nuashonrú go hadamhach ó stóráil cosúil le Git, a ligeann duit modhanna rialaithe leagan a chur i bhfeidhm ar chomhpháirteanna dáileacháin (mar shampla, is féidir leat an córas a rolladh siar go tapa. go dtí an stát roimhe seo). Aistrítear pacáistí RPM isteach sa stór OSTree ag baint úsáide as ciseal rpm-ostree speisialta. Ní thacaítear le suiteáil agus nuashonrú ar leith na bpacáistí taobh istigh den timpeallacht oibre, nuashonraítear an córas ní ag leibhéal na gcomhpháirteanna aonair, ach ina iomláine, ag athrú a staid go atomically. Cuirtear uirlisí ar fáil chun nuashonruithe a chur i bhfeidhm go hincriminteach, rud a fhágann nach gá an íomhá a athsholáthar go hiomlán le gach nuashonrú.
Tá an timpeallacht scoite ginte go hiomlán neamhspleách ar an trealamh dáileacháin a úsáidtear agus, le socruithe cuí pacáiste, níl rochtain aige ar chomhaid agus próisis an úsáideora nó an phríomhchórais, ní féidir rochtain dhíreach a fháil ar an trealamh, ach amháin i gcás aschur trí DRI, agus rochtain ar an fochóras líonra. Cuirtear aschur grafaic agus eagraíocht ionchuir i bhfeidhm trí úsáid a bhaint as prótacal Wayland nó trí chur ar aghaidh soicéad X11. Tógtar idirghníomhaíocht leis an timpeallacht sheachtrach ar bhonn chóras teachtaireachtaí DBus agus an API Tairseacha speisialta.
Для изоляции используется прослойка Bubblewrap и традиционные для Linux технологии контейнерной виртуализации, основанные на использовании cgroups, пространств имён (namespaces), Seccomp и SELinux. Для вывода звука применяется PulseAudio. При этом изоляция может быть отключена, чем пользуются разработчики многих популярных пакетов для получения полного доступа к ФС и всем устройствам в системе. Например, с ограниченным режимом изоляции, оставляющим полный доступ к домашнему каталогу, поставляются пакеты GIMP, VSCodium, PyCharm, Octave, Inkscape, Audacity и VLC. В случае компрометации пакетов с доступом к домашнему каталогу, несмотря на наличие в описании пакета метки «sandboxed», атакующему для выполнения своего кода достаточно изменить файл ~/.bashrc. Отдельным вопросом является контроль за внесением изменений в пакеты и доверие к сборщикам пакетов, которые часто не связаны с основным проектом или дистрибутивами.
Foinse: oscailtenet.ru