Eng nei stabil Branche vu Flatpak 1.14 gouf verëffentlecht, déi e System fir de Bau vu selbstännege Paketen ubitt, déi net u spezifesch Distributiounen gebonnen sinn. Linux an an engem spezielle Container ausgeführt, deen d'Applikatioun vum Rescht vum System isoléiert. Ënnerstëtzung fir d'Ausféierung vu Flatpak-Pakete gëtt fir Arch zur Verfügung gestallt. Linux, CentOS, Debian, Fedora, Gentoo, Mageia, Linux Mint, Alt Linux и UbuntuFlatpak-Pakete sinn am Fedora-Repository abegraff a ginn am Standard GNOME Applikatiounsmanager ënnerstëtzt.
Schlëssel Innovatiounen an der Flatpak 1.14 Branche:
- Erstellt e Verzeechnes fir Dateien am Staat (.local/state) a setzt d'XDG_STATE_HOME Ëmfeldvariabel op dës Verzeechnes.
- Bedingungskontrolle vun der Form "hunn-Kernel-Modul-Numm" bäigefüügt fir d'Präsenz vu Kärmoduler ze bestëmmen (en universellen Analog vum virdru proposéierte Scheck hunn-intel-gpu, anstatt deem den Ausdrock "hunn-Kernel-Modul-i915 "kann elo benotzt ginn).
- Implementéiert "flatpak document-unexport --doc-id=..." Kommando.
- Bitt Export vun Appstream Metadaten fir am Haaptëmfeld ze benotzen.
- Füügt flatpak Kommando Ofschlossregele fir d'Fësch Shell
- Erlaabt Netzwierk Zougang zu X11 a PulseAudio Servicer (wann entspriechend Astellunge bäigefüügt ginn).
- D'Haaptzweig am Git Repository gouf vum "Master" op "Main" ëmbenannt, well d'Wuert "Master" zënter kuerzem als politesch inkorrekt ugesi gouf.
- Gitt Iwwerschreiwe vun Startup Scripten am Fall vun der Applikatioun ëmbenennen.
- Added "--include-sdk" an "--include-debug" Optiounen fir Kommando z'installéieren fir SDK an Debuginfo Dateien z'installéieren.
- Ënnerstëtzung fir de Parameter "DeploySideloadCollectionID" gouf an d'Flatpakref- a Flatpakrepo-Dateien bäigefüügt, wann se agestallt ginn, gëtt d'Sammlungs-ID während der Zousatz vum Remote-Repository festgeluegt, an net nodeems d'Metadaten gelueden sinn.
- Et ass erlaabt nestet Sandbox Ëmfeld fir Handler a Sessiounen mat getrennten Nimm MPRIS (Media Player Remote Interfacing Specification) ze kreéieren.
- Kommando-Linn Utilities weisen Informatioun iwwer d'Benotzung vun verouderte Runtime Extensiounen.
- Den Uninstall Kommando implementéiert eng Bestätegungsufro ier Dir Runtime oder Runtime Extensiounen ewechhuelt, déi nach ëmmer am Gebrauch sinn.
- Zousätzlech Ënnerstëtzung fir "--socket = gpg-agent" Optioun fir Kommandoen wéi "flatpak run".
- Eng Schwachstelle gouf am libostree fixéiert, déi potenziell e Benotzer erlaabt arbiträr Dateien um System ze läschen duerch Manipulatioun vum flatpak-system-helper-Handler (eng Läsch-Ufro mat engem speziell formatéierte Branchenumm schéckt). De Problem trëtt nëmmen an eelere Versioune vu Flatpak a libostree virum 2018 eraus (< 0.10.2) an beaflosst keng aktuell Verëffentlechungen.
Als Erënnerung erlaabt Flatpak Applikatiounsentwéckler, d'Verdeelung vun hire Programmer, déi net an de Standardverdeelungsrepositories abegraff sinn, ze vereinfachen, andeems se een eenzegen, universellen Container erstellen, ouni separat Builds fir all Verdeelung ze kreéieren. Fir Sécherheetsbewosst Benotzer erlaabt Flatpak hinnen, eng fragwürdeg Applikatioun an engem Container auszeféieren, andeems se nëmmen Zougang zu Netzwierkfunktiounen a Benotzerdateien, déi mat der Applikatioun verbonne sinn, kréien. Fir Benotzer, déi un neie Versioune interesséiert sinn, erlaabt Flatpak hinnen, déi lescht Test- a stabil Versioune vun Applikatiounen z'installéieren, ouni Ännerungen um System ze maachen. Zum Beispill sinn Flatpak-Pakete fir LibreOffice, Midori, GIMP, Inkscape, Kdenlive, Steam, 0 AD, Visual Studio Code, VLC, Slack, Skype an Telegram Desktop gebaut. Android Atelier, etc.
Fir d'Gréisst vum Package ze reduzéieren, enthält et nëmmen Applikatiounsspezifesch Ofhängegkeeten, an d'Basis System a Grafikbibliothéiken (GTK, Qt, GNOME a KDE Bibliothéiken, etc.) sinn als pluggbar typesch Runtime-Ëmfeld entworf. De Schlësselunterscheed tëscht Flatpak a Snap ass datt Snap d'Komponente vum Haaptsystem Ëmfeld an Isolatioun benotzt baséiert op System Uruff Filteren, wärend Flatpak e Container getrennt vum System erstellt a mat grousse Runtime Sets operéiert, déi typesch Packagen ubitt anstatt Packagen als Ofhängegkeeten. . System Ëmfeld (zum Beispill all Bibliothéiken déi néideg sinn fir GNOME oder KDE Programmer ze lafen).
Zousätzlech zu der typescher Systemëmfeld (Runtime) déi duerch e spezielle Repository installéiert ass, ginn zousätzlech Ofhängegkeeten (Bündel) erfuerderlech fir d'Applikatioun ze schaffen geliwwert. Am Ganzen bilden d'Runtime a Bündel d'Füllung vum Container, während d'Runtime getrennt installéiert ass an un e puer Container gläichzäiteg gebonnen ass, wat et méiglech mécht Duplikatioune vu Systemdateien ze vermeiden, déi allgemeng fir Container sinn. Ee System kann e puer verschidde Runtime installéiert hunn (GNOME, KDE) oder verschidde Versioune vun der selwechter Runtime (GNOME 3.40, GNOME 3.42). E Container mat enger Applikatioun als Ofhängegkeet benotzt Bindung nëmme fir eng spezifesch Runtime, ouni déi eenzel Packagen ze berücksichtegen, déi d'Runtime ausmaachen. All fehlend Elementer ginn direkt mat der Applikatioun verpackt. Wann de Container geformt ass, gëtt den Inhalt vun der Runtime als /usr Partition montéiert, an de Bündel ass am /app Verzeichnis montéiert.
D'Füllung vun de Runtime- an Applikatiounscontainer gëtt mat der OSTree Technologie geformt, an där d'Bild atomesch vun enger Git-ähnlecher Späichere aktualiséiert gëtt, wat Iech erlaabt Versiounskontrollmethoden op Verdeelungskomponenten z'applizéieren (zum Beispill kënnt Dir de System séier zréckrollen zum fréiere Staat). RPM Packagen ginn an den OSTree Repository iwwersat mat enger spezieller rpm-ostree Schicht. Separat Installatioun an Aktualiséierung vu Packagen am Aarbechtsëmfeld gëtt net ënnerstëtzt, de System gëtt net um Niveau vun eenzelne Komponenten aktualiséiert, awer als Ganzt, atomesch Ännerung vum Zoustand. Tools ginn zur Verfügung gestallt fir Updates inkrementell anzebezéien, eliminéiert d'Notzung fir d'Bild komplett mat all Update z'ersetzen.
Dat generéiert isoléiert Ëmfeld ass komplett onofhängeg vun der benotzter Verdeelung an huet, mat properem Package Astellungen, keen Zougang zu Dateien a Prozesser vum Benotzer oder dem Haaptsystem, kann net direkt op d'Ausrüstung zougräifen, ausser fir d'Ausgab iwwer DRI, an Zougang zu den Netzwierk Subsystem. Grafikausgang an Inputorganisatioun gi mam Wayland Protokoll implementéiert oder duerch X11 Socket Forwarding. D'Interaktioun mam externen Ëmfeld ass op Basis vum DBus Messagerie System an der spezieller Portals API gebaut.
Fir d'Isolatioun, eng Bubblewrap-Schicht an traditionell Linux Container-Virtualiséierungstechnologien baséieren op der Notzung vu cgroups, Namespaces, Seccomp an SELinuxPulseAudio gëtt fir den Audio-Output benotzt. Sandboxing kann deaktivéiert ginn, wat vun Entwéckler vu ville populäre Paketen benotzt gëtt fir vollen Zougang zum Dateisystem an all Apparater am System ze kréien. Zum Beispill ginn GIMP, VSCodium, PyCharm, Octave, Inkscape, Audacity a VLC mat engem limitéierten Sandboxing-Modus geliwwert, deen de vollen Zougang zum Home-Verzeichnis erlaabt. Wann Paketen mat Zougang zum Home-Verzeichnis kompromittéiert sinn, kann en Ugräifer, trotz dem "sandboxed"-Tag an der Paketbeschreiwung, einfach d'~/.bashrc-Datei änneren, fir säi Code auszeféieren. E separat Thema ass d'Kontroll iwwer Ännerungen u Paketen an d'Vertrauen an d'Paket-Maintenancer, déi dacks net mam Haaptprojet oder den Distributiounen verbonne sinn.
Source: opennet.ru
