เบเบฒเบเบเปเบญเบเปเบเบทเปเบญเบเบกเบทเบชเปเบฒเบฅเบฑเบเบเบฒเบเบเบฑเบเบเบฑเปเบเบเบฒเบเปเบฎเบฑเบเบงเบฝเบเบเบญเบเบชเบฐเบเบฒเบเปเบงเบเบฅเปเบญเบกเบเบตเปเปเบเบเบเปเบฝเบง Bubblewrap 0.6 เปเบกเปเบเบกเบตเบขเบนเป, เปเบเบเบเบปเบเบเบฐเบเบดเปเบฅเปเบงเปเบกเปเบเปเบเปเปเบเบทเปเบญเบเปเบฒเบเบฑเบเบเบฒเบเบเปเบฒเปเบเปเบชเปเบงเบเบเบธเบเบเบปเบเบเบญเบเบเบนเปเปเบเปเบเบตเปเบเปเปเบกเบตเบชเบดเบเบเบดเบเบดเปเบชเบ. เปเบเบเบฒเบเบเบฐเบเบดเบเบฑเบ, Bubblewrap เบเบทเบเบเปเบฒเปเบเปเปเบเบเปเบเบเบเบฒเบ Flatpak เปเบเบฑเบเบเบฑเปเบเปเบเบทเปเบญเปเบเบเปเบญเบฑเบเบเบฅเบดเปเบเบเบฑเบเบเบตเปเปเบเบตเบเบเบปเบงเบญเบญเบเบเบฒเบเปเบเบฑเบเปเบเบฑเบ. เบฅเบฐเบซเบฑเบเปเบเบเบเบฒเบเปเบกเปเบเบเบฝเบเปเบเบฑเบ C เปเบฅเบฐเบเบทเบเปเบเบเบขเบฒเบเบเบฒเบเปเบเปเปเบเบญเบฐเบเบธเบเบฒเบ LGPLv2+.
เบชเปเบฒเบฅเบฑเบเบเบฒเบเปเบเบเบเปเบฝเบง, เปเบเบเปเบเปเบฅเบเบต virtualization container Linux เปเบเบเบเบฑเปเบเปเบเบตเบกเปเบกเปเบเบเบทเบเบเปเบฒเปเบเป, เบญเบตเบเปเบชเปเบเบฒเบเบเปเบฒเปเบเป cgroups, namespaces, Seccomp เปเบฅเบฐ SELinux. เปเบเบทเปเบญเบเบฐเบเบดเบเบฑเบเบเบฒเบเบเปเบฒเปเบเบตเบเบเบฒเบเบเบตเปเบกเบตเบชเบดเบเบเบดเบเบดเปเบชเบเปเบเบเบฒเบเบเปเบฒเบซเบเบปเบเบเปเบฒเบเบฑเบเบเบธ, Bubblewrap เบเบทเบเปเบเบตเบเบเบปเบงเบเปเบงเบเบชเบดเบเบเบดเบเบญเบเบฎเบฒเบ (เปเบเบฅเปเบเบตเปเบชเบฒเบกเบฒเบเบเบฐเบเบดเบเบฑเบเปเบเปเบเปเบงเบเบเบธเบ suid) เปเบฅเบฐเบซเบผเบฑเบเบเบฒเบเบเบฑเปเบเบเบฑเปเบเบชเบดเบเบเบดเบเบดเปเบชเบเปเบซเบกเปเบซเบผเบฑเบเบเบฒเบเบเปเบญเบเบเบฑเบเบเบธเบเบทเบเปเบฅเบตเปเบกเบเบปเปเบ.
เบเบฒเบเปเบเบตเบเปเบเป namespaces เบเบนเปเปเบเปเปเบเบฅเบฐเบเบปเบ namespace, เปเบเบดเปเบเบญเบฐเบเบธเบเบฒเบเปเบซเปเบเปเบฒเบเปเบเปเบเบปเบงเบเปเบฒเบเบปเบเบเบฒเบเปเบเบเบเปเบฒเบเบซเบฒเบเบเบญเบเบเบปเบเปเบญเบเปเบ containers, เปเบกเปเบเบเปเปเบเปเบฒเปเบเบฑเบเบชเปเบฒเบฅเบฑเบเบเบฒเบเบเปเบฒเปเบเบตเบเบเบฒเบ, เปเบเบทเปเบญเบเบเบฒเบเบงเปเบฒเบกเบฑเบเบเปเปเปเบฎเบฑเบเบงเบฝเบเปเบเบเบเปเบฒเปเบฅเบตเปเบกเบเบปเปเบเปเบเบซเบผเบฒเบเบเบฒเบเปเบเบเบขเบฒเบ (Bubblewrap เบเบทเบเบเบฑเบเปเบชเปเปเบเบฑเบเบเบฒเบเบเบฐเบเบดเบเบฑเบ suid เบเปเบฒเบเบฑเบเบเบญเบ a. เบเบธเบเบเปเบญเบเบเบญเบเบเบงเบฒเบกเบชเบฒเบกเบฒเบเปเบเบเบฒเบเบเบฑเปเบเบเบทเปเบเบนเปเปเบเป - เปเบเบทเปเบญเบเบปเบเปเบงเบฑเปเบเบเบปเบงเบฅเบฐเบเบธเบเบนเปเปเบเป เปเบฅเบฐเบเบฐเบเบงเบเบเบฒเบเบเบฑเบเปเบปเบเบเบฒเบเบชเบฐเบเบฒเบเปเบงเบเบฅเปเบญเบก, เบเบปเบเปเบงเบฑเปเบเบญเบฑเบเบเบฑเบเบเบธเบเบฑเบ, เปเปเบ CLONE_NEWUSER เปเบฅเบฐ CLONE_NEWPID เบเบทเบเปเบเป). เบชเปเบฒเบฅเบฑเบเบเบฒเบเบเบปเบเบเปเบญเบเปเบเบตเปเบกเปเบเบตเบก, เปเบเบฃเปเบเบฃเบกเบเบตเปเบเปเบฒเปเบเบตเบเบเบฒเบเบเบฒเบเปเบเป Bubblewrap เบเบฐเบเบทเบเปเบเบตเบเบเบปเบงเปเบเปเบซเบกเบ PR_SET_NO_NEW_PRIVS, เปเบเบดเปเบเบซเปเบฒเบกเบเบฒเบเปเบเปเบฎเบฑเบเบชเบดเบเบเบดเบเบดเปเบชเบเปเบซเบกเป, เบเบปเบงเบขเปเบฒเบ, เบเปเบฒเบกเบตเบเบธเบ setuid.
เบเบฒเบเปเบเบเบเปเบฝเบงเปเบเบฅเบฐเบเบฑเบเบฅเบฐเบเบปเบเปเบเบฅเปเปเบกเปเบเบชเปเบฒเปเบฅเบฑเบเปเบเบเบเบฒเบเบชเปเบฒเบ namespace mount เปเบซเบกเปเปเบเบเบเปเบฒเปเบฅเบตเปเบกเบเบปเปเบ, เปเบเบเบฒเบเปเบเปเบเบเบฑเบเบฎเบฒเบเบเบตเปเบซเบงเปเบฒเบเปเบเบปเปเบฒเปเบกเปเบเบเบทเบเบชเปเบฒเบเบเบถเปเบเปเบเบเปเบเป tmpfs. เบเปเบฒเบเปเบฒเปเบเบฑเบ, เบเบฒเบเปเบเปเบเบเบฑเบ FS เบเบฒเบเบเบญเบเปเบกเปเบเบเบดเบเบเบฑเบเบเบฒเบเบดเบเบฑเบเบเบตเปเปเบเปเบซเบกเบ "mount โbind" (เบเบปเบงเบขเปเบฒเบ, เปเบกเบทเปเบญเปเบเบตเบเบเบปเบงเบเปเบงเบเบเบปเบงเปเบฅเบทเบญเบ "bwrap โro-bind / usr / usr", / usr partition เบเบฐเบเบทเบเบชเบปเปเบเบเปเปเบเบฒเบเบฅเบฐเบเบปเบเบเบปเปเบเบเป. เปเบโเบฎเบนเบโเปเบเบโเบเบฒเบโเบญเปเบฒเบโเปเบเบปเปเบฒโเบเบฑเปเบโ)โ. เบเบงเบฒเบกเบชเบฒเบกเบฒเบเบเบญเบเปเบเบทเบญเบเปเบฒเบเบเบทเบเบเบณเบเบฑเบเปเบซเปเปเบเบปเปเบฒเปเบเบดเบเบชเปเบงเบเบเบดเบเบเปเป loopback เบเปเบงเบเบเบฒเบเปเบเบเบเปเบฝเบงเปเบเบทเบญเบเปเบฒเบเบเปเบฒเบเบเบธเบ CLONE_NEWNET เปเบฅเบฐ CLONE_NEWUTS.
เบเบงเบฒเบกเปเบเบเบเปเบฒเบเบเบตเป เบชเบณ เบเบฑเบเบเบฒเบเปเบเบเบเบฒเบ Firejail เบเบตเปเบเปเบฒเบเบเบทเบเบฑเบ, เปเบเบดเปเบเบเบฑเบเปเบเปเบฎเบนเบเปเบเบเบเบฒเบเปเบเบตเบเบเบปเบง setuid, เปเบกเปเบเบงเปเบฒเปเบ Bubblewrap เบเบฑเปเบเบเบฒเบเบชเปเบฒเบเบเบนเปเบเบญเบเปเบเบเปเบเบตเบเบฐเบเบญเบเบกเบตเบเบฝเบเปเบเปเบเบงเบฒเบกเบชเบฒเบกเบฒเบเบเบฑเปเบเบเปเปเบฒเบเบตเปเบเปเบฒเปเบเบฑเบ, เปเบฅเบฐเบซเบเปเบฒเบเบตเปเบเปเบฒเบงเบซเบเปเบฒเบเบฒเบเบเปเบฒเบเบเบฑเบเบซเบกเบปเบเบเบตเปเบเปเบฒเปเบเบฑเบเบชเปเบฒเบฅเบฑเบเบเบฒเบเปเบฅเปเบเบเปเบฒเบฎเปเบญเบเบชเบฐเบซเบกเบฑเบเบเบฒเบเบดเบ, เบเบฒเบเปเบเปเบเบญเบเบเบฑเบ desktop เปเบฅเบฐเบเปเบฒเบฎเปเบญเบเบเปเบเบฒเบเบเบฑเปเบเบเบญเบ. เบเบฑเบ Pulseaudio, เปเบญเบเปเบเบซเบฒเบเปเบฒเบ Flatpak เปเบฅเบฐเบเบทเบเบเบฐเบเบดเบเบฑเบเบซเบผเบฑเบเบเบฒเบเบชเบดเบเบเบดเบเบดเปเบชเบเปเบเปเบเบทเบเบเบฑเปเบเบเบทเบเปเบซเบกเป. เปเบเบเบฒเบเบเบปเบเบเบฑเบเบเปเบฒเบก, Firejail เบฅเบงเบกเบเบธเบเบซเบเปเบฒเบเบตเปเบเบตเปเบเปเบฝเบงเบเปเบญเบเบขเบนเปเปเบเปเบเบฅเปเบเบตเปเบเบฐเบเบดเบเบฑเบเปเบเป, เปเบเบดเปเบเปเบฎเบฑเบเปเบซเปเบกเบฑเบเบเบฒเบเบเบตเปเบเบฐเบเบงเบเบชเบญเบเปเบฅเบฐเบฎเบฑเบเบชเบฒเบเบงเบฒเบกเบเบญเบเปเบเปเบเบฅเบฐเบเบฑเบเบเบตเปเปเบซเบกเบฒเบฐเบชเบปเบก.
เปเบเบเบฒเบเบเปเบญเบเปเบซเบกเป:
- ะะพะฑะฐะฒะปะตะฝะฐ ะฟะพะดะดะตัะถะบะฐ ัะฑะพัะพัะฝะพะน ัะธััะตะผั Meson. ะะพะดะดะตัะถะบะฐ ัะฑะพัะบะธ ะฟัะธ ะฟะพะผะพัะธ Autotools ะฟะพะบะฐ ัะพั ัะฐะฝะตะฝะฐ, ะฝะพ ะฑัะดะตั ัะดะฐะปะตะฝะฐ ะฒ ะพะดะฝะพะผ ะธะท ัะปะตะดัััะธั ะฒัะฟััะบะพะฒ.
- ะ ะตะฐะปะธะทะพะฒะฐะฝะฐ ะพะฟัะธั ยซโadd-seccompยป ะดะปั ะดะพะฑะฐะฒะปะตะฝะธั ะฑะพะปะตะต ัะตะผ ะพะดะฝะพะน ะฟัะพะณัะฐะผะผั seccomp. ะะพะฑะฐะฒะปะตะฝะพ ะฟัะตะดัะฟัะตะถะดะตะฝะธะต ะพ ัะพะผ, ััะพ ะฟัะธ ะฟะพะฒัะพัะฝะพะผ ัะบะฐะทะฐะฝะธะธ ะพะฟัะธะธ ยซโseccompยป ะฑัะดะตั ะฟัะธะผะตะฝัะฝ ัะพะปัะบะพ ะฟะพัะปะตะดะฝะธะน ะฟะฐัะฐะผะตัั.
- ะะตัะบะฐ master ะฒ git-ัะตะฟะพะทะธัะพัะธะธ ะฟะตัะตะธะผะตะฝะพะฒะฐะฝะฐ ะฒ main.
- ะะพะฑะฐะฒะปะตะฝะฐ ัะฐััะธัะฝะฐั ะฟะพะดะดะตัะถะบะฐ ัะฟะตัะธัะธะบะฐัะธะธ REUSE, ัะฝะธัะธัะธััััะตะน ะฟัะพัะตัั ัะบะฐะทะฐะฝะธั ัะฒะตะดะตะฝะธะน ะพ ะปะธัะตะฝะทะธัั ะธ ะฐะฒัะพััะบะธั ะฟัะฐะฒะฐั . ะะพ ะผะฝะพะณะธะต ัะฐะนะปั ั ะบะพะดะพะผ ะดะพะฑะฐะฒะปะตะฝั ะทะฐะณะพะปะพะฒะบะธ SPDX-License-Identifier. ะกะปะตะดะพะฒะฐะฝะธะต ัะตะบะพะผะตะฝะดะฐัะธัะผ REUSE ะฟะพะทะฒะพะปัะตั ัะฟัะพััะธัั ะฐะฒัะพะผะฐัะธัะตัะบะพะต ะพะฟัะตะดะตะปะตะฝะธะต ะบะฐะบะฐั ะปะธัะตะฝะทะธั ะฟัะธะผะตะฝัะตััั ะบ ะบะฐะบะธะผ ะธะท ัะฐััะตะน ะบะพะดะฐ ะฟัะธะปะพะถะตะฝะธั.
- ะะพะฑะฐะฒะปะตะฝะฐ ะฟัะพะฒะตัะบะฐ ะทะฝะฐัะตะฝะธั ัััััะธะบะฐ ะฐัะณัะผะตะฝัะพะฒ ะบะพะผะฐะฝะดะฝะพะน ัััะพะบะธ (argc) ะธ ัะตะฐะปะธะทะพะฒะฐะฝ ัะบัััะตะฝะฝัะน ะฒัั ะพะด ะฒ ัะปััะฐะต ะตัะปะธ ัััััะธะบ ัะฐะฒะตะฝ ะฝัะปั. ะะทะผะตะฝะตะฝะธะต ะฟะพะทะฒะพะปัะตั ะฑะปะพะบะธัะพะฒะฐัั ะฟัะพะฑะปะตะผั ั ะฑะตะทะพะฟะฐัะฝะพัััั, ะฒัะทะฒะฐะฝะฝัะต ะฝะตะบะพััะตะบัะฝะพะน ะพะฑัะฐะฑะพัะบะพะน ะฟะตัะตะดะฐะฒะฐะตะผัั ะฐัะณัะผะตะฝัะพะฒ ะบะพะผะฐะฝะดะฝะพะน ัััะพะบะธ, ัะฐะบะธะต ะบะฐะบ CVE-2021-4034 ะฒ Polkit.
เปเบซเบผเปเบเบเปเปเบกเบนเบ: opennet.ru