Loaʻa ka hoʻokuʻu ʻana o nā mea hana no ka hoʻonohonoho ʻana i ka hana o nā kaiapuni kaʻawale ʻo Bubblewrap 0.6, hoʻohana pinepine ʻia e kaohi i nā noi pilikino o nā mea hoʻohana pono ʻole. Ma ka hoʻomaʻamaʻa, hoʻohana ʻia ʻo Bubblewrap e ka papahana Flatpak ma ke ʻano he papa e hoʻokaʻawale i nā noi i hoʻokuʻu ʻia mai nā pūʻulu. Ua kākau ʻia ke code papahana ma C a ua māhele ʻia ma lalo o ka laikini LGPLv2+.
No ka hoʻokaʻawale ʻana, hoʻohana ʻia nā ʻenehana virtualization pahu Linux maʻamau, e pili ana i ka hoʻohana ʻana i nā cgroups, namespaces, Seccomp a me SELinux. No ka hana ʻana i nā hana pono e hoʻonohonoho i kahi pahu, hoʻomaka ʻia ʻo Bubblewrap me nā kuleana kumu (kahi faila me ka hae suid) a laila hoʻihoʻi i nā pono ma hope o ka hoʻomaka ʻana o ka ipu.
ʻAʻole koi ʻia ka hoʻoulu ʻana o nā inoa inoa mea hoʻohana ma ka ʻōnaehana inoa, kahi e hiki ai iā ʻoe ke hoʻohana i kāu mau ʻike ponoʻī i loko o nā pahu, ʻaʻole koi ʻia no ka hana ʻana, no ka mea ʻaʻole ia e hana ma ka paʻamau i nā māhele he nui (Ua hoʻonoho ʻia ʻo Bubblewrap ma ke ʻano he hoʻokō suid palena o kahi subset o nā mea hiki i nā inoa inoa hoʻohana - e hoʻokaʻawale i nā mea hoʻohana a me nā mea hōʻike kaʻina hana mai ke kaiapuni, koe ka mea i kēia manawa, hoʻohana ʻia nā ʻano CLONE_NEWUSER a me CLONE_NEWPID). No ka pale hou aku, hoʻomaka ʻia nā polokalamu i hana ʻia ma lalo o ka Bubblewrap ma ke ʻano PR_SET_NO_NEW_PRIVS, kahi e pāpā ai i ka loaʻa ʻana o nā pono hou, no ka laʻana, inā aia ka hae setuid.
Hoʻopau ʻia ka hoʻokaʻawale ʻana i ka pae ʻōnaehana faila ma ka hana ʻana i kahi inoa inoa mauna hou ma ke ʻano maʻamau, kahi i hana ʻia ai kahi ʻāpana kumu ʻole me ka hoʻohana ʻana i nā tmpfs. Inā pono, hoʻopili ʻia nā ʻāpana FS o waho i kēia ʻāpana ma ke ʻano "mauna -bind" (no ka laʻana, i ka wā i hoʻokuʻu ʻia me ka koho "bwrap -ro-bind /usr /usr", ua hoʻouna ʻia ka ʻāpana /usr mai ka ʻōnaehana nui. ma ke ʻano heluhelu-wale nō). Ua kaupalena ʻia nā mea hiki i ka pūnaewele ke komo i ka interface loopback me ka hoʻokaʻawale ʻana i ka hoʻopaʻa pūnaewele ma o nā hae CLONE_NEWNET a me CLONE_NEWUTS.
ʻO ka ʻokoʻa koʻikoʻi mai ka papahana Firejail like, ka mea hoʻohana hoʻi i ke kumu hoʻohālikelike setuid, ʻo ia ma Bubblewrap ka papa hana ipu e loaʻa wale i nā pono liʻiliʻi e pono ai, a me nā hana holomua āpau e pono ai no ka holo ʻana i nā noi kiʻi, e launa pū me ka papapihi a me nā noi kānana. i Pulseaudio, hoʻoili ʻia i ka ʻaoʻao Flatpak a hoʻokō ʻia ma hope o ka hoʻihoʻi ʻia ʻana o nā pono. ʻO Firejail, ma ka ʻaoʻao ʻē aʻe, hoʻohui i nā hana pili āpau i hoʻokahi faila hiki ke hoʻokō ʻia, kahi mea paʻakikī i ka loiloi a mālama i ka palekana ma ka pae kūpono.
I ka hoʻokuʻu hou:
- Hoʻohui i ke kākoʻo no ka ʻōnaehana hui Meson. Ua mālama ʻia ke kākoʻo no ke kūkulu ʻana me Autotools i kēia manawa, akā e hoʻoneʻe ʻia i ka wā e hiki mai ana.
- Hoʻokō ʻia ke koho "--add-seccomp" no ka hoʻohui ʻana i nā polokalamu seccomp ʻoi aku ma mua o hoʻokahi. Hoʻohui ʻia kahi ʻōlelo aʻo inā ʻoe e kuhikuhi hou i ke koho "--seccom", e hoʻopili ʻia ka palena hope loa.
- Ua kapa hou ʻia ka lālā kumu ma ka waihona git i main.
- Hoʻohui ʻia ke kākoʻo ʻāpana no ka kikoʻī REUSE, kahi e hoʻohui ai i ke kaʻina hana o ka wehewehe ʻana i ka laikini a me ka ʻike kope kope. Nui nā faila code i hoʻohui ʻia nā poʻomanaʻo SPDX-License-Identifier. Ma muli o nā kuhikuhi REUSE e maʻalahi ka hoʻoholo ʻokoʻa i ka laikini e pili ana i nā ʻāpana o ke code noi.
- Hoʻohui ʻia ka nānā ʻana i ke kumukūʻai o ka counter line argument counter (argc) a hoʻokō i kahi puka ulia pōpilikia inā ʻaʻole ka counter. Kōkua ka hoʻololi i ka pale ʻana i nā pilikia palekana ma muli o ka lawelawe hewa ʻana i nā manaʻo hoʻopaʻapaʻa laina kauoha, e like me CVE-2021-4034 ma Polkit.
Source: opennet.ru