Şaxek nû ya stabîl a Flatpak 1.12 hatiye berdan, ku pergalek ji bo avakirina pakêtên xweser peyda dike ku ne bi belavkirinên taybetî ve girêdayî ne. Linux û di konteynirek taybetî de tê bicîhanîn ku serîlêdanê ji mayî ya pergalê vediqetîne. Piştgiriya ji bo xebitandina pakêtên Flatpak ji bo Arch tê peyda kirin. Linux, CentOS, Debian, Fedora, Gentoo, Mageia, Linux Mint, Alt Linux и UbuntuPakêtên Flatpak di depoya Fedora de hene û di rêveberê sepanên standard ên GNOME de têne piştgirî kirin.
Nûvekirinên sereke di şaxê Flatpak 1.12 de:
- Rêvebiriya pêşkeftî ya hawîrdorên sandboxê yên hêlîn ên ku di pakêta flatpak de bi xerîdar re ji bo karûbarê radestkirina lîstika Steam-ê têne bikar anîn. Di sandboxên hêlîn de, çêkirina hiyerarşiyên cihêreng ên pelrêça /usr û /app destûr tê dayîn, ku di Steam-ê de tê bikar anîn da ku lîstikan di konteynirek cihê de bi dabeşkirina xweya /usr-ê ve, ku ji hawîrdorê bi xerîdar Steam re veqetandî dest pê bike, bikar tîne.
- Hemî mînakên pakêtê yên bi heman nasnavê serîlêdanê (app-ID) pelrêça /tmp û $XDG_RUNTIME_DIR parve dikin. Vebijarkî, bi karanîna ala "--allow=per-app-dev-shm", hûn dikarin karanîna pelrêça hevpar a /dev/shm çalak bikin.
- Piştgiriya pêşkeftî ji bo serîlêdanên Navrûya Bikarhêner Nivîsar (TUI) yên wekî gdb.
- Pêkanîna bilez a fermana "ostree prune" li kargêriya build-update-repo hate zêdekirin, ku ji bo xebitandina depoyan di moda arşîvê de xweşbîn bûye.
- Zehfbûna CVE-2021-41133 di pêkanîna mekanîzmaya portalê de, ku bi nebûna astengkirina bangên pergalê yên nû yên têkildarî sazkirina dabeşan di qaîdeyên seccomp de ve girêdayî ye, hatî rast kirin. Qelsbûnê hişt ku serîlêdanê sandboxek hêlîn biafirîne da ku mekanîzmayên verastkirinê yên "portal" ên ku ji bo organîzekirina gihîştina çavkaniyên li derveyî konteynerê têne bikar anîn derbas bike.
Wekî encamek, êrîşkarek, bi pêkanîna bangên pergalê yên têkildar, dikaribû mekanîzmaya veqetandina sandboxê derbas bike û bi tevahî gihîştina naveroka hawîrdora mêvandar bigire. Zehf tenê dikare di pakêtên ku serîlêdanên bi gihandina rasterast ji soketên AF_UNIX re peyda dikin, wekî yên ku ji hêla Wayland, Pipewire, û pipewire-pulse ve têne bikar anîn de were bikar anîn. Di berdana 1.12.0-ê de, qelsî bi tevahî nehat rakirin, ji ber vê yekê nûvekirina 1.12.1 bi germî hate berdan.
Wekî bîranînek, Flatpak dihêle ku pêşdebirên sepanan belavkirina bernameyên xwe yên ku di depoyên belavkirina standard de nînin hêsan bikin bi afirandina konteynirek yekane û gerdûnî bêyî ku ji bo her belavkirinê avahiyên cuda biafirînin. Ji bo bikarhênerên ku ji ewlehiyê haydar in, Flatpak dihêle ku ew serîlêdanek gumanbar di konteynirek de bimeşînin, û tenê gihîştina fonksiyonên torê û pelên bikarhêner ên bi sepanê ve girêdayî dide. Ji bo bikarhênerên ku bi guhertoyên nû re eleqedar dibin, Flatpak dihêle ku ew bêyî ku di pergalê de guhertinan bikin, guhertoyên ceribandin û stabîl ên herî dawî yên sepanan saz bikin. Mînakî, pakêtên Flatpak ji bo LibreOffice, Midori, GIMP, Inkscape, Kdenlive, Steam, 0 AD, Visual Studio Code, VLC, Slack, Skype, û Telegram Desktop têne çêkirin. Android Studyo, û hwd.
Ji bo kêmkirina mezinahiya pakêtê, ew tenê girêdanên serîlêdanê-taybet vedihewîne, û pergalên bingehîn û pirtûkxaneyên grafîkê (Pirtûkxaneyên GTK, Qt, GNOME û KDE, hwd.) wekî hawîrdorên dema xebitandinê yên standard ên pêvekê hatine sêwirandin. Cûdahiya sereke di navbera Flatpak û Snap de ev e ku Snap hêmanên hawîrdora pergalê ya sereke û veqetandinê li ser bingeha bangên pergalê parzûnkirinê bikar tîne, dema ku Flatpak konteynirek ji pergalê veqetandî diafirîne û bi setên mezin ên dema xebatê re tevdigere, ne pakêtan wekî pêwendiyê, lê standard peyda dike. hawîrdorên pergalê (mînak, hemî pirtûkxaneyên ku ji bo xebitandina bernameyên GNOME an KDE-yê hewce ne).
Digel hawîrdora pergalê ya standard (demjimêr), ku bi navgîniya depoyek taybetî ve hatî saz kirin, pêwendiyên zêde (bundle) yên ku ji bo xebata serîlêdanê hewce ne têne peyda kirin. Bi tevahî, dema xebitandinê û pakêt dagirtina konteynerê pêk tîne, tevî vê yekê ku dema xebitandinê ji hev veqetandî ye û bi yekcarî bi çend konteyneran ve girêdayî ye, ku dihêle hûn ji dubarekirina pelên pergalê yên hevpar ên konteyneran dûr bisekinin. Pergalek dikare çend demên xebitandinê yên cihêreng sazkirî be (GNOME, KDE) an çend guhertoyên heman dema xebatê (GNOME 3.40, GNOME 3.42). Konteynirek bi serîlêdanek ve girêdayî ye tenê girêdanek bi dema xebitandinê ya taybetî re bikar tîne, bêyî ku pakêtên kesane yên ku dema xebitandinê pêk tînin bigire ber çavan. Hemî hêmanên winda rasterast bi serîlêdanê re têne pak kirin. Dema ku konteynir çêdibe, naverokên dema xebitandinê wekî dabeşkirina /usr têne hilanîn, û pakêt di pelrêça /appê de tê danîn.
Dema xebitandinê û konteynerên serîlêdanê bi karanîna teknolojiya OSTree têne çêkirin, ku tê de wêne bi atomî ji depoyek mîna Git-ê tê nûve kirin, ku dihêle ku rêbazên kontrolkirina guhertoyê li ser pêkhateyên belavkirinê werin sepandin (mînak, hûn dikarin zû pergalê vegerînin rewşa berê). Pakêtên RPM bi karanîna qatek taybetî ya rpm-ostree ve têne wergerandin depoya OSTree. Sazkirin û nûvekirina veqetandî ya pakêtan di hundurê hawîrdora xebatê de nayê piştgirî kirin; pergal ne di asta pêkhateyên kesane de, lê bi tevahî, bi atomî rewşa xwe diguhezîne. Amûran peyda dike da ku nûvekirinan bi zêdeyî bicîh bîne, hewcedariya ku bi her nûvekirinê re bi tevahî wêneyê biguhezîne ji holê radike.
Jîngeha veqetandî ya hatî hilberandin bi tevahî ji belavkirina hatî bikar anîn serbixwe ye û, digel mîhengên pakêtê yên guncaw, xwe nagihîne pel û pêvajoyên bikarhêner an pergala sereke, û nikare rasterast bigihîje amûran, ji bilî derketina bi riya DRI û bangan. ji bo bine pergala torê. Hilberîna grafîkê û rêxistina têketinê bi karanîna protokola Wayland an bi şandina soketê X11 ve têne bicîh kirin. Têkiliya bi hawîrdora derve re li ser bingeha pergala mesajên DBus û API-ya taybetî ya Portals-ê ye.
Ji bo îzolasyonê, qatek pêça bilbilî û kevneşopî Linux Teknolojiyên virtualîzasyona konteynerê yên li ser bingeha karanîna cgroups, namespaces, Seccomp û SELinux. Для вывода звука применяется PulseAudio. При этом изоляция может быть отключена, чем пользуются разработчики многих популярных пакетов для получения полного доступа к ФС и всем устройствам в системе. Например, с ограниченным режимом изоляции, оставляющим полный доступ к домашнему каталогу, поставляются пакеты GIMP, VSCodium, PyCharm, Octave, Inkscape, Audacity и VLC.
Ger pakêtên ku gihîştina pelrêça malê têne xera kirin, tevî hebûna nîşana "sandboxed" di danasîna pakêtê de, êrîşkar tenê pêdivî ye ku pelê ~/.bashrc biguherîne da ku koda xwe bicîh bîne. Pirsgirêkek veqetandî kontrolkirina guheztinên pakêtan û pêbaweriya bi çêkerên pakêtê re ye, yên ku bi gelemperî bi projeya sereke an belavkirinan re ne girêdayî ne.
Source: opennet.ru
