ဖူလုံသော Flatpak 1.12.0 ပက်ကေ့ချ်စနစ်၏ ဖြန့်ချိမှု

Flatpak 1.12 toolkit ၏ တည်ငြိမ်သောဌာနခွဲအသစ်ကို ထုတ်ဝေထားပြီး၊ သတ်မှတ်ထားသော Linux ဖြန့်ဝေမှုများနှင့် ဆက်စပ်မှုမရှိသော ကိုယ်ပိုင်ပါရှိသော ပက်ကေ့ဂျ်များကို တည်ဆောက်ရန်အတွက် စနစ်တစ်ခုအား ပံ့ပိုးပေးကာ စနစ်၏ကျန်အပလီကေးရှင်းများမှ သီးခြားကွန်တိန်နာတစ်ခုတွင် အလုပ်လုပ်ပါသည်။ Flatpak ပက်ကေ့ဂျ်များကို အသုံးပြုရန်အတွက် ပံ့ပိုးမှုကို Arch Linux၊ CentOS၊ Debian၊ Fedora၊ Gentoo၊ Mageia၊ Linux Mint၊ Alt Linux နှင့် Ubuntu အတွက် ပံ့ပိုးပေးထားသည်။ Flatpak ပက်ကေ့ဂျ်များကို Fedora သိုလှောင်မှုတွင် ထည့်သွင်းထားပြီး မူလ GNOME အပလီကေးရှင်းမန်နေဂျာမှ ပံ့ပိုးပေးထားသည်။

Flatpak 1.12 ဌာနခွဲတွင် အဓိက တီထွင်ဆန်းသစ်မှုများ

• Steam ဂိမ်းပေးပို့ခြင်းဝန်ဆောင်မှုအတွက် ကလိုင်းယင့်နှင့်အတူ flatpak ပက်ကေ့ဂျ်တွင် အသုံးပြုသည့် nested sandbox ပတ်ဝန်းကျင်များကို ပိုမိုကောင်းမွန်အောင် စီမံခန့်ခွဲပါ။ nested sandbox များတွင်၊ Steam ကလိုင်းယင့်နှင့် ပတ်ဝန်းကျင်မှ သီးခြားခွဲထုတ်ထားသော သီးခြားကွန်တိန်နာတစ်ခုတွင် ဂိမ်းများကိုဖွင့်ရန် Steam တွင်အသုံးပြုသည့် သီးခြားသော /usr နှင့် /app လမ်းညွှန်များဖန်တီးခြင်းကို ခွင့်ပြုထားသည်။
• တူညီသော အပလီကေးရှင်း identifier (app-ID) ဖြင့် ပက်ကေ့ဂျ် ဖြစ်ရပ်များအားလုံး /tmp နှင့် $XDG_RUNTIME_DIR လမ်းညွှန်များကို မျှဝေပါသည်။ ရွေးချယ်နိုင်စွာ၊ “--allow=per-app-dev-shm” အလံကို အသုံးပြု၍ /dev/shm မျှဝေထားသောလမ်းညွှန်ကို အသုံးပြုခြင်းကို သင်ဖွင့်နိုင်သည်။
• gdb ကဲ့သို့သော Text User Interface (TUI) အပလီကေးရှင်းများအတွက် ပိုမိုကောင်းမွန်သော ပံ့ပိုးမှု။
• "ostree prune" အမိန့်ကို ပိုမိုမြန်ဆန်စွာ အကောင်အထည်ဖော်ခြင်းအား သိုလှောင်မှုမုဒ်တွင် သိုလှောင်မှုမုဒ်တွင် လုပ်ဆောင်ရန်အတွက် အကောင်းဆုံးဖြစ်သည့် build-update-repo utility သို့ ထည့်သွင်းထားသည်။
• seccomp စည်းမျဉ်းများတွင် mounting partitions များနှင့်ဆက်စပ်သော စနစ်အသစ်ခေါ်ဆိုမှုများကို ပိတ်ဆို့ခြင်းကင်းမဲ့ခြင်းနှင့်ဆက်စပ်သော portal ယန္တရားအကောင်အထည်ဖော်မှုတွင် အားနည်းချက် CVE-2021-41133 ကို ပြင်ဆင်ပြီးဖြစ်သည်။ အားနည်းချက်သည် အပလီကေးရှင်းအား ကွန်တိန်နာအပြင်ဘက်ရှိ အရင်းအမြစ်များသို့ ဝင်ရောက်အသုံးပြုခွင့်ကို စုစည်းရန် အသုံးပြုသည့် "ပေါ်တယ်" အတည်ပြုခြင်းယန္တရားများကို ကျော်လွှားရန် nested sandbox ကို ဖန်တီးနိုင်စေခဲ့သည်။

  ရလဒ်အနေဖြင့်၊ တိုက်ခိုက်သူသည် တပ်ဆင်ခြင်းဆိုင်ရာ စနစ်ခေါ်ဆိုမှုများ လုပ်ဆောင်ခြင်းဖြင့် sandbox isolation ယန္တရားကို ကျော်ဖြတ်နိုင်ပြီး host ပတ်၀န်းကျင်၏ အကြောင်းအရာများကို အပြည့်အဝဝင်ရောက်ခွင့်ရရှိမည်ဖြစ်သည်။ Wayland၊ Pipewire နှင့် pipewire-pulse တို့ကဲ့သို့သော AF_UNIX socket များသို့ တိုက်ရိုက်ဝင်ရောက်ခွင့်ရှိသော အပလီကေးရှင်းများကို ပံ့ပိုးပေးသော ပက်ကေ့ဂျ်များတွင်သာ အားနည်းချက်ကို အသုံးချနိုင်သည်။ ထုတ်ဝေမှု 1.12.0 တွင်၊ အားနည်းချက်ကို လုံးလုံးလျားလျား မဖယ်ရှားနိုင်ခဲ့သောကြောင့် အပ်ဒိတ် 1.12.1 သည် ၎င်း၏ခြေဖဝါးတွင် ပြင်းပြင်းထန်ထန် ထွက်ပေါ်လာခဲ့သည်။

Flatpak သည် ဖြန့်ဝေမှုတစ်ခုစီအတွက် သီးခြားစုဝေးမှုများကို မဖန်တီးဘဲ Standard distribution repositories တွင် မပါဝင်သည့် ၎င်းတို့၏ ပရိုဂရမ်များ ဖြန့်ဝေမှုကို ရိုးရှင်းစေရန် Flatpak က ခွင့်ပြုထားကြောင်း သင့်အား သတိပေးပါရစေ။ လုံခြုံရေးသတိရှိသောအသုံးပြုသူများအတွက် Flatpak သည် သင့်အား ကွန်တိန်နာတစ်ခုအတွင်း မေးခွန်းထုတ်စရာအပလီကေးရှင်းတစ်ခုအား လုပ်ဆောင်နိုင်စေကာ ကွန်ရက်လုပ်ဆောင်ချက်များနှင့် အပလီကေးရှင်းနှင့်ဆက်စပ်သောအသုံးပြုသူဖိုင်များကိုသာ ဝင်ရောက်ခွင့်ပေးသည်။ ထုတ်ကုန်အသစ်များကို စိတ်ဝင်စားသော သုံးစွဲသူများအတွက်၊ Flatpak သည် သင့်အား စနစ်ပြောင်းလဲရန်မလိုအပ်ဘဲ နောက်ဆုံးထွက်စမ်းသပ်မှုများနှင့် တည်ငြိမ်သောအပလီကေးရှင်းများကို ထည့်သွင်းနိုင်စေမည်ဖြစ်သည်။ ဥပမာအားဖြင့်၊ Flatpak ပက်ကေ့ဂျ်များကို LibreOffice၊ Midori၊ GIMP၊ Inkscape၊ Kdenlive၊ Steam၊ 0 AD၊ Visual Studio Code၊ VLC၊ Slack၊ Skype၊ Telegram Desktop၊ Android Studio စသည်တို့အတွက် တည်ဆောက်ထားပါသည်။

ပက်ကေ့ဂျ်အရွယ်အစားကို လျှော့ချရန်အတွက် ၎င်းတွင် အပလီကေးရှင်းအလိုက် သီးခြားမှီခိုမှုများသာ ပါ၀င်ပြီး အခြေခံစနစ်နှင့် ဂရပ်ဖစ်စာကြည့်တိုက်များ (GTK၊ Qt၊ GNOME နှင့် KDE စာကြည့်တိုက်များ စသည်ဖြင့်) ကို ပလပ်အင်စံသုံးအချိန်ပတ်ဝန်းကျင်များအဖြစ် ဒီဇိုင်းထုတ်ထားသည်။ Flatpak နှင့် Snap အကြား အဓိက ကွာခြားချက်မှာ Snap သည် filtering system calls များအပေါ် အခြေခံ၍ သီးခြားခွဲထုတ်ခြင်း အစိတ်အပိုင်းများကို အသုံးပြုပြီး Flatpak သည် စနစ်မှ သီးခြား container တစ်ခုကို ဖန်တီးပြီး ကြီးမားသော runtime sets များဖြင့် လုပ်ဆောင်ကာ ပက်ကေ့ဂျ်များကို မှီခိုမှုမဟုတ်ဘဲ စံနှုန်းအဖြစ် ပံ့ပိုးပေးပါသည်။ စနစ်ပတ်ဝန်းကျင်များ (ဥပမာ၊ GNOME သို့မဟုတ် KDE ပရိုဂရမ်များ၏ လုပ်ဆောင်မှုအတွက် လိုအပ်သော စာကြည့်တိုက်များ)။

အထူးသိုလှောင်မှုမှတဆင့် ထည့်သွင်းထားသော စံစနစ်ပတ်ဝန်းကျင် (runtime) အပြင်၊ အပလီကေးရှင်း၏လည်ပတ်မှုအတွက် လိုအပ်သော ထပ်လောင်းမှီခိုမှုများ (အစုအဝေး) ကို ပံ့ပိုးပေးပါသည်။ စုစုပေါင်း၊ runtime နှင့် bundle သည် ကွန်တိန်နာတွင် အသုံးများသော စနစ်ဖိုင်များကို ပွားခြင်းကို ရှောင်ရှားနိုင်စေသည့် runtime ကို သီးခြားစီထည့်သွင်းပြီး ကွန်တိန်နာအများအပြားနှင့် တစ်ပြိုင်နက် ချိတ်ဆက်ထားသော်လည်း၊ runtime နှင့် bundle သည် ကွန်တိန်နာ၏ ဖြည့်သွင်းမှုကို ဖြစ်ပေါ်စေပါသည်။ စနစ်တစ်ခုတွင် မတူညီသော runtime အများအပြား ထည့်သွင်းထားနိုင်သည် (GNOME၊ KDE) သို့မဟုတ် တူညီသော runtime ဗားရှင်းများစွာ (GNOME 3.40၊ GNOME 3.42) ရှိသည်။ မှီခိုမှုအဖြစ် အပလီကေးရှင်းတစ်ခုပါရှိသော ကွန်တိန်နာတစ်ခုသည် runtime ကိုထည့်သွင်းသည့် ပက်ကေ့ခ်ျတစ်ခုချင်းစီကို ထည့်သွင်းစဉ်းစားခြင်းမရှိဘဲ သီးခြား runtime တစ်ခုအတွက်သာ binding ကိုအသုံးပြုသည်။ ပျောက်ဆုံးနေသော အစိတ်အပိုင်းအားလုံးကို အပလီကေးရှင်းဖြင့် တိုက်ရိုက်ထုပ်ပိုးထားသည်။ ကွန်တိန်နာတစ်ခုဖွဲ့စည်းသောအခါ၊ runtime အကြောင်းအရာများကို /usr အပိုင်းအဖြစ်တပ်ဆင်ပြီး၊ အစုအဝေးကို /app directory တွင်တပ်ဆင်ထားသည်။

runtime နှင့် application containers များကို OSTree နည်းပညာဖြင့် တည်ဆောက်ထားပြီး၊ ပုံအား Git-like repository မှ အက်တမ်ဖြင့် အပ်ဒိတ်လုပ်ထားပြီး၊ ဖြန့်ချီရေး အစိတ်အပိုင်းများတွင် ဗားရှင်းထိန်းချုပ်မှုနည်းလမ်းများကို အသုံးပြုခွင့်ပြုသည် (ဥပမာ၊ သင်သည် စနစ်သို့ လျင်မြန်စွာ ပြန်လှည့်နိုင်သည်။ ယခင်ပြည်နယ်)။ RPM ပက်ကေ့ဂျ်များကို အထူး rpm-ostree အလွှာကို အသုံးပြု၍ OSTree သိုလှောင်ခန်းသို့ ဘာသာပြန်ဆိုပါသည်။ လုပ်ငန်းပတ်ဝန်းကျင်အတွင်း ပက်ကေ့ဂျ်များ သီးခြားတပ်ဆင်ခြင်းနှင့် အပ်ဒိတ်များကို ပံ့ပိုးမထားပါ။ စနစ်သည် အစိတ်အပိုင်းတစ်ခုချင်းစီ၏ အဆင့်တွင်မဟုတ်သော်လည်း တစ်ခုလုံးအနေဖြင့် ၎င်း၏အခြေအနေကို အက်တမ်ဖြင့် ပြောင်းလဲနေသည်။ အပ်ဒိတ်များကို တိုးမြင့်အသုံးပြုရန် ကိရိယာများကို ပံ့ပိုးပေးကာ အပ်ဒိတ်တစ်ခုစီနှင့် ပုံအား လုံးလုံးလျားလျား အစားထိုးရန် လိုအပ်မှုကို ဖယ်ရှားပေးသည်။

ထုတ်လုပ်ထားသော သီးခြားပတ်ဝန်းကျင်သည် အသုံးပြုထားသော ဖြန့်ဖြူးမှုနှင့် လုံးဝကင်းကွာပြီး ပက်ကေ့ဂျ်၏ သင့်လျော်သောဆက်တင်များဖြင့်၊ အသုံးပြုသူ သို့မဟုတ် ပင်မစနစ်၏ ဖိုင်များနှင့် လုပ်ငန်းစဉ်များသို့ ဝင်ရောက်ခွင့်မရှိပါ၊ DRI မှတစ်ဆင့် အထွက်မှလွဲ၍ အခြားစက်ပစ္စည်းများကို တိုက်ရိုက်ဝင်ရောက်၍မရပါ။ ကွန်ရက်စနစ်ခွဲသို့ ခေါ်ဆိုပါ။ ဂရပ်ဖစ်အထွက်နှင့် ထည့်သွင်းမှုအဖွဲ့အစည်းကို Wayland ပရိုတိုကောကို အသုံးပြု၍ သို့မဟုတ် X11 socket ထပ်ဆင့်ပို့ခြင်းမှတစ်ဆင့် လုပ်ဆောင်ပါသည်။ ပြင်ပပတ်ဝန်းကျင်နှင့် အပြန်အလှန်တုံ့ပြန်မှုသည် DBus စာတိုပေးပို့ခြင်းစနစ်နှင့် အထူး Portals API ကို အခြေခံထားသည်။

အထီးကျန်မှုအတွက်၊ Bubblewrap အလွှာနှင့် ရိုးရာ Linux container virtualization နည်းပညာများကို cgroups၊ namespaces၊ Seccomp နှင့် SELinux အသုံးပြုမှုအပေါ် အခြေခံ၍ အသုံးပြုပါသည်။ PulseAudio ကို အသံထွက်ရန်အတွက် အသုံးပြုသည်။ ဤကိစ္စတွင်၊ ဖိုင်စနစ်နှင့် စနစ်အတွင်းရှိ စက်ပစ္စည်းများအားလုံးသို့ အပြည့်အဝဝင်ရောက်ခွင့်ရရန် ရေပန်းစားသောပက်ကေ့ဂျ်များစွာ၏ developer များက အသုံးပြုသည့် သီးခြားခွဲထုတ်ခြင်းကို ပိတ်နိုင်သည်။ ဥပမာအားဖြင့်၊ GIMP၊ VSCodium၊ PyCharm၊ Octave၊ Inkscape၊ Audacity နှင့် VLC သည် ပင်မလမ်းညွှန်သို့ အပြည့်အဝဝင်ရောက်ခွင့်ကို ချန်ထားပေးသည့် အကန့်အသတ်ရှိသော သီးခြားမုဒ်ဖြင့် လာပါသည်။

အကယ်၍ home directory သို့ဝင်ရောက်ခွင့်ရှိသော ပက်ကေ့ဂျ်များကို အခိုးခံရပါက၊ အထုပ်ဖော်ပြချက်တွင် "sandboxed" အညွှန်းပါရှိနေသော်လည်း၊ တိုက်ခိုက်သူသည် ၎င်း၏ကုဒ်ကိုလုပ်ဆောင်ရန် ~/.bashrc ဖိုင်ကို ပြောင်းလဲရန် လိုအပ်ပါသည်။ သီးခြားပြဿနာမှာ ပင်မပရောဂျက် သို့မဟုတ် ဖြန့်ဖြူးမှုများနှင့် မကြာခဏဆက်စပ်မှုမရှိသော ပက်ကေ့ဂျ်တည်ဆောက်သူများအပေါ် ယုံကြည်မှုနှင့် ပက်ကေ့ဂျ်ပြောင်းလဲမှုများကို ထိန်းချုပ်ခြင်း ဖြစ်သည်။

source: opennet.ru