🥇Rilascio del sistema di pacchetti autosufficienti Flatpak 1.18.0

После полутора лет разработки опубликована новая стабильная ветка инструментария Flatpak 1.18, предоставляющего систему для сборки самодостаточных пакетов, не привязанных к конкретным дистрибутивам Linux e viene eseguito in un contenitore speciale che isola l'applicazione dal resto del sistema. Il supporto per l'esecuzione di pacchetti Flatpak è fornito per Fedora, CentOS, Debian, Arch Linux, Gentoo, Linux Menta, Alt Linux и Ubuntu. Пакеты с Flatpak включены в репозиторий Fedora и поддерживаются в штатных программах управления приложениями GNOME и KDE.

Principali innovazioni nel ramo Flatpak 1.18:

Реализована поддержка условных полномочий (conditional permission), позволяющих при запросе полномочий проверить наличие определённых возможностей в системе или в runtime. Например, при необходимости получения доступа к устройству ввода вместо «—device=all» можно запросить полномочие «—device-if=all:!has-input-device —device=input», которое предоставит доступ только к устройствам ввода или откатится на доступ ко всем устройствам если выборочное предоставление доступа не поддерживается в runtime. Аналогично можно запросить доступ к USB-устройвствам («has-usb-device» и «has-usb-portal») или совместно используемым подсистемам.
Разрешён доступ к устройству /dev/ntsync для обращения к
модулю ядра NTSYNC, реализующему набор примитивов для синхронизации, применяемых в ядре Windows NT и позволяющих существенно поднять производительность Windows-giochi avviati tramite Wine.
Для GPU Intel Xe включена поддержка API VA-API для аппаратного ускорения декодирования видео.
Реализована возможность доступа к устройству /dev/kfd (Kernel Fusion Driver) с использованием полномочий, предоставляемых для DRI-устройств. Драйвер kfd реализует интерфейс для прямого выполнения вычислений на GPU AMD из приложений, использующих AMD ROCm, HIP и OpenCL.
Добавлена поддержка использования опций командой строки для проброса доступа к каталогам в изолированные приложения.
Добавлена поддержка каталога «preinstall.d», определяющего список предустанавливаемых Flatpak-приложений (для включения Flatpak-приложений в состав операционной системы).
Разрешена прямая установка приложений из образов контейнеров в формате OCI, которые могут загружаться из собственных OCI-репозиториев и локальных архивов.
В команду «flatpak install —from» добавлена поддержка URI «flatpak+https://».
В команду «flatpak run» добавлена опция «—clear-env» для очистки переменных окружения перед запуском приложения.
Предоставлена возможность экспорта корневого каталога хост-окружения в изолированное окружение приложения с доступом через каталог /run/host/root.
Добавлена возможность вывода результата выполнения команд в формате JSON.
Усилена изоляция сборочного окружения — команда «flatpak build» теперь не предоставляет по умолчанию доступ к хосту.
Добавлена команда «reinstall» для переустановки зависимостей (bundle).
Настройки D-Bus по умолчанию перенесены из каталога /etc в /usr.
Сокращено время запуска при использовании командного интерпретатора fish.
В libflatpak добавлена функция для получения информации о времени создания конфигурации, что позволяет приложениям, таким как GNOME Software, определить, что прокэшированные ими данные требуют обновления.
Удалена сборочная опция http_backend, вместо libsoup2 для загрузки по HTTP/HTTPS задействована библиотека libcurl.
По умолчанию включено использование escape-последовательностей для индикации прогресса выполнения операции.
Разрешено передавать права доступа к устройствам во вложенные sandbox-окружения, созданные через порталы Flatpak.
Для приложений, поставляемых в форме OCI-образов, реализован механизм «extra-data», например, позволяющий организовать воспроизведение видео h.265 во Flatpak-пакетах Fedora Linux.
Добавлена поддержка сжатия зависимостей (OCI bundle) с использованием алгоритма zstd, более эффективно сжимающего данные. По умолчанию для сжатия продолжает использоваться gzip, обеспечивающий максимальную совместимость.

Flatpak упрощает распространение программ, не входящих в штатные репозитории дистрибутивов, за счёт подготовки одного универсального контейнера, избавляющего разработчиков программ от необходимости формировать отдельные сборки для каждого дистрибутива. Пользователям, заботящимся о безопасности, Flatpak даёт возможность выполнить вызывающее сомнение приложение в контейнере, предоставив выборочный доступ только к необходимым сетевым функциям и файлам пользователя. Пользователям, интересующимся новинками, Flatpak позволяет установить самые свежие тестовые и стабильные выпуски приложений без необходимости внесения изменений в систему. Например, Flatpak-пакеты собираются для LibreOffice, GIMP, Inkscape, Kdenlive, Steam, 0 A.D., Visual Studio Code, VLC, Slack, Telegram Desktop, Android Studio, ecc.

Per ridurre le dimensioni, nel pacchetto sono incluse solo le dipendenze specifiche dell'applicazione. Le librerie di sistema e grafiche di base (librerie GTK, Qt, GNOME e KDE, ecc.) vengono fornite sotto forma di ambienti runtime standard plug-in. La differenza fondamentale tra Flatpak e Snap è che Snap utilizza i componenti dell'ambiente di sistema principale e l'isolamento basato sul filtraggio delle chiamate di sistema, mentre Flatpak crea un contenitore separato dal sistema e opera con ampi set di runtime, fornendo non pacchetti come dipendenze, ma standard quelli di sistema (ad esempio, tutte le librerie necessarie per il funzionamento dei programmi GNOME o KDE).

Oltre all'ambiente di sistema standard (runtime), installato tramite apposito repository, vengono fornite ulteriori dipendenze (bundle) necessarie al funzionamento dell'applicazione. In totale, "runtime" e "bundle" costituiscono il contenuto del contenitore, mentre "runtime" viene installato separatamente e collegato a più contenitori contemporaneamente, il che consente di evitare la duplicazione dei file di sistema comuni ai contenitori.

Un sistema può avere diversi “runtime” installati (GNOME, KDE) o diverse versioni dello stesso “runtime” (GNOME 50, GNOME 49). Un contenitore con un'applicazione come dipendenza utilizza un'associazione solo a un runtime specifico, senza tenere conto dei singoli pacchetti che formano il runtime selezionato. Tutti gli elementi mancanti vengono impacchettati direttamente con l'applicazione. Quando si crea un contenitore, il contenuto di "runtime" viene montato come partizione /usr e "bundle" viene montato nella directory /app.

Il runtime e i contenitori delle applicazioni sono costruiti utilizzando la tecnologia OSTree, in cui l'immagine viene aggiornata atomicamente da un repository simile a Git, che consente di applicare metodi di controllo della versione ai componenti di distribuzione (ad esempio, è possibile ripristinare rapidamente il sistema a una versione precedente stato). I pacchetti RPM vengono tradotti nel repository OSTree utilizzando il livello rpm-ostree.

L'installazione e l'aggiornamento selettivi dei pacchetti all'interno dell'ambiente di lavoro non sono supportati: il sistema viene aggiornato non a livello dei singoli componenti, ma nel suo insieme, modificando atomicamente il suo stato. Fornisce strumenti per applicare gli aggiornamenti in modo incrementale, eliminando la necessità di sostituire completamente l'immagine con ogni aggiornamento.

Формируемое изолированное окружение не зависит от используемого дистрибутива и при надлежащих настройках пакета не имеет доступа к файлам и процессам пользователя или основной системы, а также не может напрямую обращаться к оборудованию, за исключением вывода через DRI. Вывод графики и организация ввода реализованы при помощи протокола Wayland или через проброс сокета X11. Взаимодействие с внешней средой построено через систему обмена сообщениями DBus и специальный API Portals.

Per l'isolamento, uno strato di pluriball e tradizionale Linux Tecnologie di virtualizzazione dei container basate sull'uso di cgroups, namespace, Seccomp e SELinux. При создании пакета изоляция может быть отключена, чем пользуются разработчики некоторых пакетов для получения полного доступа к ФС и всем устройствам в системе.

Fonte: opennet.ru