ဖူလုံသော Flatpak 1.12.0 ပက်ကေ့ချ်စနစ်၏ ဖြန့်ချိမှု

Flatpak 1.12 ၏ တည်ငြိမ်သော ဌာနခွဲအသစ်တစ်ခုကို ထုတ်ပြန်ခဲ့ပြီး၊ သီးခြားဖြန့်ဖြူးမှုများနှင့် မသက်ဆိုင်သော ကိုယ်တိုင်ပါဝင်သော package များတည်ဆောက်ရန်အတွက် စနစ်တစ်ခုကို ပံ့ပိုးပေးပါသည်။ Linux ပြီးတော့ application ကို system ရဲ့ ကျန်တဲ့အပိုင်းကနေ ခွဲထုတ်ထားတဲ့ အထူး container တစ်ခုမှာ execute လုပ်ပါတယ်။ Arch အတွက် Flatpak package တွေကို run ဖို့အတွက် support ပေးထားပါတယ်။ Linux, CentOS, Debianဖက်ဒိုရာ၊ ဂျန်တူး၊ မာဂျီယာ၊ Linux ပူစီနံ၊ အော်လ်တာ Linux и UbuntuFlatpak package များကို Fedora repository တွင်ထည့်သွင်းထားပြီး standard GNOME application manager တွင် support လုပ်ပါသည်။

Flatpak 1.12 ဌာနခွဲတွင် အဓိက တီထွင်ဆန်းသစ်မှုများ

• Steam ဂိမ်းပေးပို့ခြင်းဝန်ဆောင်မှုအတွက် ကလိုင်းယင့်နှင့်အတူ flatpak ပက်ကေ့ဂျ်တွင် အသုံးပြုသည့် nested sandbox ပတ်ဝန်းကျင်များကို ပိုမိုကောင်းမွန်အောင် စီမံခန့်ခွဲပါ။ nested sandbox များတွင်၊ Steam ကလိုင်းယင့်နှင့် ပတ်ဝန်းကျင်မှ သီးခြားခွဲထုတ်ထားသော သီးခြားကွန်တိန်နာတစ်ခုတွင် ဂိမ်းများကိုဖွင့်ရန် Steam တွင်အသုံးပြုသည့် သီးခြားသော /usr နှင့် /app လမ်းညွှန်များဖန်တီးခြင်းကို ခွင့်ပြုထားသည်။
• တူညီသော အပလီကေးရှင်း identifier (app-ID) ဖြင့် ပက်ကေ့ဂျ် ဖြစ်ရပ်များအားလုံး /tmp နှင့် $XDG_RUNTIME_DIR လမ်းညွှန်များကို မျှဝေပါသည်။ ရွေးချယ်နိုင်စွာ၊ “--allow=per-app-dev-shm” အလံကို အသုံးပြု၍ /dev/shm မျှဝေထားသောလမ်းညွှန်ကို အသုံးပြုခြင်းကို သင်ဖွင့်နိုင်သည်။
• gdb ကဲ့သို့သော Text User Interface (TUI) အပလီကေးရှင်းများအတွက် ပိုမိုကောင်းမွန်သော ပံ့ပိုးမှု။
• "ostree prune" အမိန့်ကို ပိုမိုမြန်ဆန်စွာ အကောင်အထည်ဖော်ခြင်းအား သိုလှောင်မှုမုဒ်တွင် သိုလှောင်မှုမုဒ်တွင် လုပ်ဆောင်ရန်အတွက် အကောင်းဆုံးဖြစ်သည့် build-update-repo utility သို့ ထည့်သွင်းထားသည်။
• seccomp စည်းမျဉ်းများတွင် mounting partitions များနှင့်ဆက်စပ်သော စနစ်အသစ်ခေါ်ဆိုမှုများကို ပိတ်ဆို့ခြင်းကင်းမဲ့ခြင်းနှင့်ဆက်စပ်သော portal ယန္တရားအကောင်အထည်ဖော်မှုတွင် အားနည်းချက် CVE-2021-41133 ကို ပြင်ဆင်ပြီးဖြစ်သည်။ အားနည်းချက်သည် အပလီကေးရှင်းအား ကွန်တိန်နာအပြင်ဘက်ရှိ အရင်းအမြစ်များသို့ ဝင်ရောက်အသုံးပြုခွင့်ကို စုစည်းရန် အသုံးပြုသည့် "ပေါ်တယ်" အတည်ပြုခြင်းယန္တရားများကို ကျော်လွှားရန် nested sandbox ကို ဖန်တီးနိုင်စေခဲ့သည်။

  ရလဒ်အနေဖြင့်၊ တိုက်ခိုက်သူသည် တပ်ဆင်ခြင်းဆိုင်ရာ စနစ်ခေါ်ဆိုမှုများ လုပ်ဆောင်ခြင်းဖြင့် sandbox isolation ယန္တရားကို ကျော်ဖြတ်နိုင်ပြီး host ပတ်၀န်းကျင်၏ အကြောင်းအရာများကို အပြည့်အဝဝင်ရောက်ခွင့်ရရှိမည်ဖြစ်သည်။ Wayland၊ Pipewire နှင့် pipewire-pulse တို့ကဲ့သို့သော AF_UNIX socket များသို့ တိုက်ရိုက်ဝင်ရောက်ခွင့်ရှိသော အပလီကေးရှင်းများကို ပံ့ပိုးပေးသော ပက်ကေ့ဂျ်များတွင်သာ အားနည်းချက်ကို အသုံးချနိုင်သည်။ ထုတ်ဝေမှု 1.12.0 တွင်၊ အားနည်းချက်ကို လုံးလုံးလျားလျား မဖယ်ရှားနိုင်ခဲ့သောကြောင့် အပ်ဒိတ် 1.12.1 သည် ၎င်း၏ခြေဖဝါးတွင် ပြင်းပြင်းထန်ထန် ထွက်ပေါ်လာခဲ့သည်။

သတိပေးချက်အနေနဲ့ Flatpak က application developer တွေအနေနဲ့ standard distribution repositories တွေမှာ မပါဝင်တဲ့ program တွေရဲ့ distribution ကို ရိုးရှင်းအောင် လုပ်ဆောင်နိုင်စေပါတယ်။ distribution တစ်ခုချင်းစီအတွက် သီးခြား build တွေ မဖန်တီးဘဲ universal container တစ်ခုတည်းကို ဖန်တီးပေးပါတယ်။ လုံခြုံရေးကို သတိထားတဲ့ အသုံးပြုသူတွေအတွက် Flatpak က container တစ်ခုမှာ မေးခွန်းထုတ်စရာ application တစ်ခုကို run ခွင့်ပြုပြီး application နဲ့ ဆက်စပ်နေတဲ့ network function တွေနဲ့ user file တွေကိုပဲ access ပေးပါတယ်။ အသစ်ထွက်ရှိမှုတွေကို စိတ်ဝင်စားတဲ့ အသုံးပြုသူတွေအတွက် Flatpak က system ကို ဘာမှမပြောင်းလဲဘဲ application တွေရဲ့ နောက်ဆုံးထွက် testing နဲ့ stable release တွေကို install လုပ်နိုင်ပါတယ်။ ဥပမာ Flatpak package တွေကို LibreOffice, Midori, GIMP, Inkscape, Kdenlive, Steam, 0 AD, Visual Studio Code, VLC, Slack, Skype နဲ့ Telegram Desktop တွေအတွက် တည်ဆောက်ထားပါတယ်။ Android စတူဒီယို စသည်တို့။

ပက်ကေ့ဂျ်အရွယ်အစားကို လျှော့ချရန်အတွက် ၎င်းတွင် အပလီကေးရှင်းအလိုက် သီးခြားမှီခိုမှုများသာ ပါ၀င်ပြီး အခြေခံစနစ်နှင့် ဂရပ်ဖစ်စာကြည့်တိုက်များ (GTK၊ Qt၊ GNOME နှင့် KDE စာကြည့်တိုက်များ စသည်ဖြင့်) ကို ပလပ်အင်စံသုံးအချိန်ပတ်ဝန်းကျင်များအဖြစ် ဒီဇိုင်းထုတ်ထားသည်။ Flatpak နှင့် Snap အကြား အဓိက ကွာခြားချက်မှာ Snap သည် filtering system calls များအပေါ် အခြေခံ၍ သီးခြားခွဲထုတ်ခြင်း အစိတ်အပိုင်းများကို အသုံးပြုပြီး Flatpak သည် စနစ်မှ သီးခြား container တစ်ခုကို ဖန်တီးပြီး ကြီးမားသော runtime sets များဖြင့် လုပ်ဆောင်ကာ ပက်ကေ့ဂျ်များကို မှီခိုမှုမဟုတ်ဘဲ စံနှုန်းအဖြစ် ပံ့ပိုးပေးပါသည်။ စနစ်ပတ်ဝန်းကျင်များ (ဥပမာ၊ GNOME သို့မဟုတ် KDE ပရိုဂရမ်များ၏ လုပ်ဆောင်မှုအတွက် လိုအပ်သော စာကြည့်တိုက်များ)။

အထူးသိုလှောင်မှုမှတဆင့် ထည့်သွင်းထားသော စံစနစ်ပတ်ဝန်းကျင် (runtime) အပြင်၊ အပလီကေးရှင်း၏လည်ပတ်မှုအတွက် လိုအပ်သော ထပ်လောင်းမှီခိုမှုများ (အစုအဝေး) ကို ပံ့ပိုးပေးပါသည်။ စုစုပေါင်း၊ runtime နှင့် bundle သည် ကွန်တိန်နာတွင် အသုံးများသော စနစ်ဖိုင်များကို ပွားခြင်းကို ရှောင်ရှားနိုင်စေသည့် runtime ကို သီးခြားစီထည့်သွင်းပြီး ကွန်တိန်နာအများအပြားနှင့် တစ်ပြိုင်နက် ချိတ်ဆက်ထားသော်လည်း၊ runtime နှင့် bundle သည် ကွန်တိန်နာ၏ ဖြည့်သွင်းမှုကို ဖြစ်ပေါ်စေပါသည်။ စနစ်တစ်ခုတွင် မတူညီသော runtime အများအပြား ထည့်သွင်းထားနိုင်သည် (GNOME၊ KDE) သို့မဟုတ် တူညီသော runtime ဗားရှင်းများစွာ (GNOME 3.40၊ GNOME 3.42) ရှိသည်။ မှီခိုမှုအဖြစ် အပလီကေးရှင်းတစ်ခုပါရှိသော ကွန်တိန်နာတစ်ခုသည် runtime ကိုထည့်သွင်းသည့် ပက်ကေ့ခ်ျတစ်ခုချင်းစီကို ထည့်သွင်းစဉ်းစားခြင်းမရှိဘဲ သီးခြား runtime တစ်ခုအတွက်သာ binding ကိုအသုံးပြုသည်။ ပျောက်ဆုံးနေသော အစိတ်အပိုင်းအားလုံးကို အပလီကေးရှင်းဖြင့် တိုက်ရိုက်ထုပ်ပိုးထားသည်။ ကွန်တိန်နာတစ်ခုဖွဲ့စည်းသောအခါ၊ runtime အကြောင်းအရာများကို /usr အပိုင်းအဖြစ်တပ်ဆင်ပြီး၊ အစုအဝေးကို /app directory တွင်တပ်ဆင်ထားသည်။

runtime နှင့် application containers များကို OSTree နည်းပညာဖြင့် တည်ဆောက်ထားပြီး၊ ပုံအား Git-like repository မှ အက်တမ်ဖြင့် အပ်ဒိတ်လုပ်ထားပြီး၊ ဖြန့်ချီရေး အစိတ်အပိုင်းများတွင် ဗားရှင်းထိန်းချုပ်မှုနည်းလမ်းများကို အသုံးပြုခွင့်ပြုသည် (ဥပမာ၊ သင်သည် စနစ်သို့ လျင်မြန်စွာ ပြန်လှည့်နိုင်သည်။ ယခင်ပြည်နယ်)။ RPM ပက်ကေ့ဂျ်များကို အထူး rpm-ostree အလွှာကို အသုံးပြု၍ OSTree သိုလှောင်ခန်းသို့ ဘာသာပြန်ဆိုပါသည်။ လုပ်ငန်းပတ်ဝန်းကျင်အတွင်း ပက်ကေ့ဂျ်များ သီးခြားတပ်ဆင်ခြင်းနှင့် အပ်ဒိတ်များကို ပံ့ပိုးမထားပါ။ စနစ်သည် အစိတ်အပိုင်းတစ်ခုချင်းစီ၏ အဆင့်တွင်မဟုတ်သော်လည်း တစ်ခုလုံးအနေဖြင့် ၎င်း၏အခြေအနေကို အက်တမ်ဖြင့် ပြောင်းလဲနေသည်။ အပ်ဒိတ်များကို တိုးမြင့်အသုံးပြုရန် ကိရိယာများကို ပံ့ပိုးပေးကာ အပ်ဒိတ်တစ်ခုစီနှင့် ပုံအား လုံးလုံးလျားလျား အစားထိုးရန် လိုအပ်မှုကို ဖယ်ရှားပေးသည်။

ထုတ်လုပ်ထားသော သီးခြားပတ်ဝန်းကျင်သည် အသုံးပြုထားသော ဖြန့်ဖြူးမှုနှင့် လုံးဝကင်းကွာပြီး ပက်ကေ့ဂျ်၏ သင့်လျော်သောဆက်တင်များဖြင့်၊ အသုံးပြုသူ သို့မဟုတ် ပင်မစနစ်၏ ဖိုင်များနှင့် လုပ်ငန်းစဉ်များသို့ ဝင်ရောက်ခွင့်မရှိပါ၊ DRI မှတစ်ဆင့် အထွက်မှလွဲ၍ အခြားစက်ပစ္စည်းများကို တိုက်ရိုက်ဝင်ရောက်၍မရပါ။ ကွန်ရက်စနစ်ခွဲသို့ ခေါ်ဆိုပါ။ ဂရပ်ဖစ်အထွက်နှင့် ထည့်သွင်းမှုအဖွဲ့အစည်းကို Wayland ပရိုတိုကောကို အသုံးပြု၍ သို့မဟုတ် X11 socket ထပ်ဆင့်ပို့ခြင်းမှတစ်ဆင့် လုပ်ဆောင်ပါသည်။ ပြင်ပပတ်ဝန်းကျင်နှင့် အပြန်အလှန်တုံ့ပြန်မှုသည် DBus စာတိုပေးပို့ခြင်းစနစ်နှင့် အထူး Portals API ကို အခြေခံထားသည်။

အပူလျှပ်ကာအတွက်၊ Bubblewrap အလွှာနှင့် ရိုးရာ Linux cgroups၊ namespaces၊ Seccomp နှင့် SE တို့ကို အသုံးပြုသည့် container virtualization နည်းပညာများLinuxPulseAudio ကို အသံထွက်အတွက် အသုံးပြုသည်။ Isolation ကို ပိတ်ထားနိုင်ပြီး၊ ၎င်းကို လူကြိုက်များသော package များစွာ၏ developer များက file system နှင့် system အတွင်းရှိ device အားလုံးကို အပြည့်အဝဝင်ရောက်ခွင့်ရရှိရန် အသုံးပြုကြသည်။ ဥပမာအားဖြင့်၊ GIMP၊ VSCodium၊ PyCharm၊ Octave၊ Inkscape၊ Audacity နှင့် VLC ကဲ့သို့သော package များတွင် home directory ကို အပြည့်အဝဝင်ရောက်ခွင့်ပေးသည့် ကန့်သတ်ထားသော isolation mode ပါရှိသည်။

အကယ်၍ home directory သို့ဝင်ရောက်ခွင့်ရှိသော ပက်ကေ့ဂျ်များကို အခိုးခံရပါက၊ အထုပ်ဖော်ပြချက်တွင် "sandboxed" အညွှန်းပါရှိနေသော်လည်း၊ တိုက်ခိုက်သူသည် ၎င်း၏ကုဒ်ကိုလုပ်ဆောင်ရန် ~/.bashrc ဖိုင်ကို ပြောင်းလဲရန် လိုအပ်ပါသည်။ သီးခြားပြဿနာမှာ ပင်မပရောဂျက် သို့မဟုတ် ဖြန့်ဖြူးမှုများနှင့် မကြာခဏဆက်စပ်မှုမရှိသော ပက်ကေ့ဂျ်တည်ဆောက်သူများအပေါ် ယုံကြည်မှုနှင့် ပက်ကေ့ဂျ်ပြောင်းလဲမှုများကို ထိန်းချုပ်ခြင်း ဖြစ်သည်။

source: opennet.ru