Ebipụtala alaka ọhụrụ kwụsiri ike nke ngwa ngwa Flatpak 1.14, nke na-enye usoro maka iwulite ngwugwu nwere onwe nke na-ejikọghị na nkesa Linux akọwapụtara ma na-agba n'ime akpa pụrụ iche nke na-ekewa ngwa ahụ na sistemụ ndị ọzọ. A na-enye nkwado maka ịme ngwugwu Flatpak maka Arch Linux, CentOS, Debian, Fedora, Gentoo, Mageia, Linux Mint, Alt Linux na Ubuntu. Agụnyere ngwugwu Flatpak na ebe nchekwa Fedora ma onye njikwa ngwa GNOME na-akwado ya.
Ihe ohuru ohuru na ngalaba Flatpak 1.14:
- Обеспечено создание каталога для файлов в состоянием (.local/state) и выставление указывающей на этот каталог переменной окружения XDG_STATE_HOME.
- Добавлены условные проверки вида «have-kernel-module-имя» для определения наличия модулей ядра (универсальный аналог ранее предлагаемой проверке have-intel-gpu, вместо которой теперь можно использовать выражение «have-kernel-module-i915»).
- Реализована команда «flatpak document-unexport —doc-id=…».
- Обеспечен экспорт метаданных Appstream для использования в основном окружении.
- Добавлены правила автодополнения команд flatpak для командной оболочки Fish
- Разрешён сетевой доступ к сервисам X11 и PulseAudio (при добавлении соответствующих настроек).
- Основная ветка в Git-репозитории переименована с «master» на «main», так как слово «master» считается последнее время неполиткорректным.
- Обеспечена перезапись скриптов запуска в случае переименования приложения.
- В команду install добавлены опции «—include-sdk» и «—include-debug» для установки SDK и файлов debuginfo.
- В файлы flatpakref и flatpakrepo добавлена поддержка параметра «DeploySideloadCollectionID», при установке которого идентификатор коллекции будет выставлен во время добавления удалённого репозитория, а не после загрузки метаданных.
- Разрешено создание вложенных sandbox-окружений для обработчиков в сеансах с отдельными именами MPRIS (Media Player Remote Interfacing Specification).
- В утилитах командной строки обеспечен вывод сведений об использовании устаревших runtime-расширений.
- В команде uninstall реализован запрос подтверждения перед удалением runtime или runtime-расширений, которые ещё используются.
- В команды подобные «flatpak run» добавлена поддержка опции «—socket=gpg-agent».
- В libostree устранена уязвимость, потенциально позволяющая пользователю удалить произвольные файлы в системе через манипуляции с обработчиком flatpak-system-helper (отправке запроса на удаление со специально оформленным именем ветки). Проблема проявляется только в старых версиях Flatpak и libostree, выпущенных до 2018 года (< 0.10.2), и не затрагивает актуальные выпуски.
Ka anyị chetara gị na Flatpak na-enye ndị mmepe ngwa aka ime ka nkesa mmemme ha dị mfe nke anaghị etinye na ebe nchekwa ọkọlọtọ site na ịkwadebe otu akpa zuru ụwa ọnụ na-emepụtaghị mgbakọ dị iche iche maka nkesa ọ bụla. Maka ndị ọrụ nwere nchekwa, Flatpak na-enye gị ohere ịme ngwa a na-enyo enyo n'ime akpa, na-enye ohere ịnweta naanị ọrụ netwọkụ yana faịlụ onye ọrụ jikọtara na ngwa ahụ. Maka ndị ọrụ nwere mmasị na ngwaahịa ọhụrụ, Flatpak na-enye gị ohere ịwụnye nnwale kachasị ọhụrụ yana ntọhapụ nke ngwa na-enweghị mkpa ịme mgbanwe na sistemụ. Dịka ọmụmaatụ, a na-ewu ngwugwu Flatpak maka LibreOffice, Midori, GIMP, Inkscape, Kdenlive, Steam, 0 AD, Visual Studio Code, VLC, Slack, Skype, Telegram Desktop, Android Studio, wdg.
Iji belata nha ngwungwu, ọ na-agụnye naanị ịdabere na ngwa-ngwa, yana usoro ntọala na ọba akwụkwọ eserese (GTK, Qt, GNOME na ọba akwụkwọ KDE, wdg) ka emebere dị ka ihe nkwụnye na gburugburu oge ịgba ọsọ. Isi ihe dị iche n'etiti Flatpak na Snap bụ na Snap na-eji akụkụ nke mpaghara sistemu isi na ikewapụ dabere na nzacha oku sistemụ, ebe Flatpak na-emepụta akpa dị iche na sistemụ ma na-arụ ọrụ na nnukwu nhazi oge, na-enye ọ bụghị ngwugwu dị ka ndabere, mana ọkọlọtọ. gburugburu sistemụ (dịka ọmụmaatụ, ọba akwụkwọ niile dị mkpa maka mmemme GNOME ma ọ bụ KDE).
Na mgbakwunye na mpaghara usoro ọkọlọtọ (oge ojiri gaa), arụnyere site na ebe nchekwa pụrụ iche, a na-enye ndị ọzọ dabere (nchịkọta) achọrọ maka ịrụ ọrụ nke ngwa ahụ. Na mkpokọta, oge ịgba ọsọ na ngwugwu na-etolite ndochi nke akpa ahụ, n'agbanyeghị na etinyere oge ịgba ọsọ iche iche ma kechie ya n'ọtụtụ arịa n'otu oge, nke na-enye gị ohere izere ịmegharị faịlụ sistemụ na-adịkarị na arịa. Otu sistemụ nwere ike itinye ọtụtụ oge ọsọ dị iche iche (GNOME, KDE) ma ọ bụ ọtụtụ ụdị nke otu oge (GNOME 3.40, GNOME 3.42). Akpa nwere ngwa dị ka ihe ndabere na-eji njide naanị na oge a kapịrị ọnụ, na-eburughị n'uche ngwugwu nke ọ bụla mejupụtara oge. A na-ejikọta ihe niile na-efu efu na ngwa ahụ ozugbo. Mgbe a na-emepụta akpa, a na-agbanye ọdịnaya oge ojiri gaa dị ka nkebi / usr, na ngwugwu a na-etinyekwa na ndekọ / ngwa.
A na-eji teknụzụ OSTree rụọ oge ọsọ na ngwa ngwa, nke a na-emelite onyonyo site na ebe nchekwa dị ka Git, nke na-enye ohere itinye usoro njikwa ụdị na akụrụngwa nkesa (dịka ọmụmaatụ, ị nwere ike tụgharịa sistemụ ahụ ngwa ngwa na ebe a). steeti gara aga). A na-atụgharị ngwungwu RPM n'ime ebe nchekwa OSTree site na iji oyi akwa rpm-ostree pụrụ iche. A naghị akwado nrụnye dị iche iche na mmelite nke ngwugwu n'ime ebe ọrụ; emelitere sistemụ ọ bụghị n'ogo nke ihe mejupụtara ya, mana n'ozuzu ya, na-agbanwe ọnọdụ ya n'ụzọ atọ. Na-enye ngwaọrụ iji tinye mmelite na-abawanye, na-ewepụ mkpa ọ dị iji nwelite ọ bụla dochie onyinyo kpamkpam.
Ebe a na-emepụta ihe dịpụrụ adịpụ na-adabere kpamkpam na nkesa ejiri na, na ntọala kwesịrị ekwesị nke ngwugwu ahụ, enweghị ohere ịnweta faịlụ na usoro nke onye ọrụ ma ọ bụ isi usoro, enweghị ike ịnweta ngwa ngwa ozugbo, ewezuga mmepụta site na DRI. na oku na-aga na sistemụ netwọkụ. A na-emejuputa mmepụta ihe eserese na nhazi ntinye site na iji usoro Wayland ma ọ bụ site na mbugharị oghere X11. Mmekọrịta na gburugburu mpụga dabere na sistemụ ozi DBus yana Portals API pụrụ iche.
Для изоляции используется прослойка Bubblewrap и традиционные для Linux технологии контейнерной виртуализации, основанные на использовании cgroups, пространств имён (namespaces), Seccomp и SELinux. Для вывода звука применяется PulseAudio. При этом изоляция может быть отключена, чем пользуются разработчики многих популярных пакетов для получения полного доступа к ФС и всем устройствам в системе. Например, с ограниченным режимом изоляции, оставляющим полный доступ к домашнему каталогу, поставляются пакеты GIMP, VSCodium, PyCharm, Octave, Inkscape, Audacity и VLC. В случае компрометации пакетов с доступом к домашнему каталогу, несмотря на наличие в описании пакета метки «sandboxed», атакующему для выполнения своего кода достаточно изменить файл ~/.bashrc. Отдельным вопросом является контроль за внесением изменений в пакеты и доверие к сборщикам пакетов, которые часто не связаны с основным проектом или дистрибутивами.
isi: opennet.ru