После полутора лет разработки опубликована новая стабильная ветка инструментария Flatpak 1.18, предоставляющего систему для сборки самодостаточных пакетов, не привязанных к конкретным дистрибутивам Linux u eżegwit f'kontenitur speċjali li jiżola l-applikazzjoni mill-bqija tas-sistema. L-appoġġ għat-tħaddim tal-pakketti Flatpak huwa pprovdut għal Fedora, CentOS, Debian, Ark Linux, Gentoo, Linux Zekka, Alt Linux и UbuntuIl-pakketti Flatpak huma inklużi fir-repożitorju Fedora u huma appoġġjati fil-programmi standard tal-ġestjoni tal-applikazzjonijiet tal-GNOME u l-KDE.
Innovazzjonijiet ewlenin fil-fergħa Flatpak 1.18:
- Реализована поддержка условных полномочий (conditional permission), позволяющих при запросе полномочий проверить наличие определённых возможностей в системе или в runtime. Например, при необходимости получения доступа к устройству ввода вместо «—device=all» можно запросить полномочие «—device-if=all:!has-input-device —device=input», которое предоставит доступ только к устройствам ввода или откатится на доступ ко всем устройствам если выборочное предоставление доступа не поддерживается в runtime. Аналогично можно запросить доступ к USB-устройвствам («has-usb-device» и «has-usb-portal») или совместно используемым подсистемам.
- Разрешён доступ к устройству /dev/ntsync для обращения к
модулю ядра NTSYNC, реализующему набор примитивов для синхронизации, применяемых в ядре Windows NT и позволяющих существенно поднять производительность Windows-logħob imniedi bl-użu ta' Wine. - Для GPU Intel Xe включена поддержка API VA-API для аппаратного ускорения декодирования видео.
- Реализована возможность доступа к устройству /dev/kfd (Kernel Fusion Driver) с использованием полномочий, предоставляемых для DRI-устройств. Драйвер kfd реализует интерфейс для прямого выполнения вычислений на GPU AMD из приложений, использующих AMD ROCm, HIP и OpenCL.
- Добавлена поддержка использования опций командой строки для проброса доступа к каталогам в изолированные приложения.
- Добавлена поддержка каталога «preinstall.d», определяющего список предустанавливаемых Flatpak-приложений (для включения Flatpak-приложений в состав операционной системы).
- Разрешена прямая установка приложений из образов контейнеров в формате OCI, которые могут загружаться из собственных OCI-репозиториев и локальных архивов.
- В команду «flatpak install —from» добавлена поддержка URI «flatpak+https://».
- В команду «flatpak run» добавлена опция «—clear-env» для очистки переменных окружения перед запуском приложения.
- Предоставлена возможность экспорта корневого каталога хост-окружения в изолированное окружение приложения с доступом через каталог /run/host/root.
- Добавлена возможность вывода результата выполнения команд в формате JSON.
- Усилена изоляция сборочного окружения — команда «flatpak build» теперь не предоставляет по умолчанию доступ к хосту.
- Добавлена команда «reinstall» для переустановки зависимостей (bundle).
- Настройки D-Bus по умолчанию перенесены из каталога /etc в /usr.
- Сокращено время запуска при использовании командного интерпретатора fish.
- В libflatpak добавлена функция для получения информации о времени создания конфигурации, что позволяет приложениям, таким как GNOME Software, определить, что прокэшированные ими данные требуют обновления.
- Удалена сборочная опция http_backend, вместо libsoup2 для загрузки по HTTP/HTTPS задействована библиотека libcurl.
- По умолчанию включено использование escape-последовательностей для индикации прогресса выполнения операции.
- Разрешено передавать права доступа к устройствам во вложенные sandbox-окружения, созданные через порталы Flatpak.
- Для приложений, поставляемых в форме OCI-образов, реализован механизм «extra-data», например, позволяющий организовать воспроизведение видео h.265 во Flatpak-пакетах Fedora Linux.
- Добавлена поддержка сжатия зависимостей (OCI bundle) с использованием алгоритма zstd, более эффективно сжимающего данные. По умолчанию для сжатия продолжает использоваться gzip, обеспечивающий максимальную совместимость.
Flatpak упрощает распространение программ, не входящих в штатные репозитории дистрибутивов, за счёт подготовки одного универсального контейнера, избавляющего разработчиков программ от необходимости формировать отдельные сборки для каждого дистрибутива. Пользователям, заботящимся о безопасности, Flatpak даёт возможность выполнить вызывающее сомнение приложение в контейнере, предоставив выборочный доступ только к необходимым сетевым функциям и файлам пользователя. Пользователям, интересующимся новинками, Flatpak позволяет установить самые свежие тестовые и стабильные выпуски приложений без необходимости внесения изменений в систему. Например, Flatpak-пакеты собираются для LibreOffice, GIMP, Inkscape, Kdenlive, Steam, 0 A.D., Visual Studio Code, VLC, Slack, Telegram Desktop, Android Studio, eċċ.
Biex jitnaqqas id-daqs, id-dipendenzi speċifiċi għall-applikazzjoni biss huma inklużi fil-pakkett. Libreriji bażiċi tas-sistema u tal-grafika (libreriji GTK, Qt, GNOME u KDE, eċċ.) huma fornuti fil-forma ta' ambjenti ta' runtime standard plug-in. Id-differenza ewlenija bejn Flatpak u Snap hija li Snap juża l-komponenti tal-ambjent tas-sistema prinċipali u l-iżolament ibbażat fuq is-sejħiet tas-sistema ta 'filtrazzjoni, filwaqt li Flatpak joħloq kontenitur separat mis-sistema u jopera b'settijiet ta' runtime kbar, li jipprovdu mhux pakketti bħala dipendenzi, iżda standard. ambjent tas-sistema (pereżempju, il-libreriji kollha meħtieġa għat-tħaddim tal-programmi GNOME jew KDE).
Minbarra l-ambjent tas-sistema standard (runtime), installat permezz ta 'repożitorju speċjali, dipendenzi addizzjonali (bundle) meħtieġa għat-tħaddim tal-applikazzjoni huma forniti. B'kollox, "runtime" u "bundle" jiffurmaw il-kontenut tal-kontenitur, filwaqt li "runtime" huwa installat separatament u marbut ma 'diversi kontenituri f'daqqa, li jippermettilek tevita li tidduplika fajls tas-sistema komuni għall-kontenituri.
Sistema waħda jista’ jkollha diversi “runtimes” installati (GNOME, KDE) jew diversi verżjonijiet tal-istess “runtime” (GNOME 50, GNOME 49). Kontenitur b'applikazzjoni bħala dipendenza juża rbit biss għal runtime speċifiku, mingħajr ma jqis il-pakketti individwali li jiffurmaw ir-runtime magħżul. L-elementi kollha neqsin huma ppakkjati direttament mal-applikazzjoni. Meta toħloq kontenitur, il-kontenut ta '"runtime" huwa mmuntat bħala l-partizzjoni /usr, u "bundle" huwa mmuntat fid-direttorju /app.
Ir-runtime u l-kontenituri tal-applikazzjoni jinbnew bl-użu tat-teknoloġija OSTree, li fiha l-immaġni hija aġġornata atomikament minn repożitorju bħal Git, li jippermetti li jiġu applikati metodi ta 'kontroll tal-verżjoni għal komponenti ta' distribuzzjoni (per eżempju, tista 'malajr terġa' lura s-sistema għal preċedenti. stat). Il-pakketti RPM huma tradotti fir-repożitorju OSTree bl-użu tas-saff rpm-ostree.
Installazzjoni selettiva u aġġornament ta 'pakketti fl-ambjent tax-xogħol mhumiex appoġġjati - is-sistema hija aġġornata mhux fil-livell ta' komponenti individwali, iżda b'mod ġenerali, b'mod atomiku tbiddel l-istat tagħha. Jipprovdi għodod biex japplikaw aġġornamenti b'mod inkrementali, u jelimina l-ħtieġa li l-immaġni tissostitwixxi kompletament ma 'kull aġġornament.
Формируемое изолированное окружение не зависит от используемого дистрибутива и при надлежащих настройках пакета не имеет доступа к файлам и процессам пользователя или основной системы, а также не может напрямую обращаться к оборудованию, за исключением вывода через DRI. Вывод графики и организация ввода реализованы при помощи протокола Wayland или через проброс сокета X11. Взаимодействие с внешней средой построено через систему обмена сообщениями DBus и специальный API Portals.
Għall-insulazzjoni, saff ta' Bubblewrap u tradizzjonali Linux teknoloġiji ta' virtualizzazzjoni tal-kontejners ibbażati fuq l-użu ta' cgroups, namespaces, Seccomp u SELinux. При создании пакета изоляция может быть отключена, чем пользуются разработчики некоторых пакетов для получения полного доступа к ФС и всем устройствам в системе.
Sors: opennet.ru
