Flatpak 1.12 ٽول ڪٽ جي هڪ نئين مستحڪم شاخ شايع ڪئي وئي آهي، جيڪو خودڪار پيڪيجز جي تعمير لاء هڪ سسٽم مهيا ڪري ٿو جيڪي مخصوص لينڪس جي تقسيم سان ڳنڍيل نه آهن ۽ هڪ خاص ڪنٽينر ۾ هلن ٿيون جيڪو ايپليڪيشن کي باقي سسٽم کان الڳ ڪري ٿو. فليٽ پيڪ پيڪيجز کي هلائڻ لاءِ مدد فراهم ڪئي وئي آهي آرڪ لينڪس، سينٽوس، ڊيبين، فيڊورا، جينٽو، ميجيا، لينڪس مائيٽ، Alt لينڪس ۽ Ubuntu. Flatpak پيڪيجز Fedora repository ۾ شامل ڪيا ويا آهن ۽ مقامي GNOME ايپليڪيشن مئنيجر جي مدد سان آهن.
Flatpak 1.12 برانچ ۾ اهم جدت:
- اسٽيم گيم ڊليوري سروس لاءِ ڪلائنٽ سان گڏ فليٽ پيڪ پيڪيج ۾ استعمال ٿيل نيسٽڊ سينڊ باڪس ماحول جو بهتر انتظام. nested sandboxes ۾، /usr ۽ /ايپ ڊاريڪٽريز جي الڳ درجي بندي جي ٺاھڻ جي اجازت آھي، جيڪا اسٽيم ۾ استعمال ڪئي ويندي آھي ھڪ الڳ ڪنٽينر ۾ گيمز کي لانچ ڪرڻ لاءِ پنھنجي /usr ورهاڱي سان، اسٽيم ڪلائنٽ سان ماحول کان الڳ ٿي.
- ساڳئي ايپليڪيشن جي سڃاڻپ ڪندڙ (ايپ-ID) سان گڏ سڀئي پيڪيج جا مثال /tmp ۽ $XDG_RUNTIME_DIR ڊاريڪٽري کي حصيداري ڪن ٿا. اختياري طور تي، "--allow=per-app-dev-shm" پرچم استعمال ڪندي، توهان /dev/shm شيئر ڊاريڪٽري جي استعمال کي فعال ڪري سگهو ٿا.
- ٽيڪسٽ يوزر انٽرفيس (TUI) ايپليڪيشنن لاءِ بهتر سپورٽ جهڙوڪ gdb.
- "ostree prune" ڪمانڊ جو تيزيءَ سان عمل درآمد ڪيو ويو آهي بلڊ-اپڊيٽ-ريپو يوٽيلٽي، آرڪائيو موڊ ۾ ريپوزٽريز سان ڪم ڪرڻ لاءِ بهتر.
- پورٹل ميکانيزم جي عمل ۾ CVE-2021-41133 جو خطرو، سيڪڪمپ جي ضابطن ۾ ماؤنٽنگ پارٽيشنز سان لاڳاپيل نئين سسٽم ڪالن کي بلاڪ ڪرڻ جي کوٽ سان لاڳاپيل، مقرر ڪيو ويو آهي. ڪمزوري ايپليڪيشن کي اجازت ڏني ته "پورٽل" جي تصديق واري ميڪانيزم کي نظرانداز ڪرڻ لاءِ هڪ نيسٽڊ سينڊ باڪس ٺاهي جيڪي ڪنٽينر کان ٻاهر وسيلن تائين رسائي کي منظم ڪرڻ لاءِ استعمال ڪيا ويندا آهن.
نتيجي طور، هڪ حملو ڪندڙ، چڙهڻ سان لاڳاپيل سسٽم ڪالن کي انجام ڏيڻ سان، سينڊ باڪس جي اڪيلائي واري ميڪانيزم کي نظرانداز ڪري سگهي ٿو ۽ ميزبان ماحول جي مواد تائين مڪمل رسائي حاصل ڪري سگهي ٿو. ڪمزورين کي صرف پيڪيجز ۾ استعمال ڪري سگهجي ٿو جيڪي ايپليڪيشنن کي AF_UNIX ساکٽس تائين سڌو رسائي فراهم ڪن ٿيون، جيئن ته Wayland، Pipewire، ۽ pipewire-pulse پاران استعمال ٿيل آهن. رليز 1.12.0 ۾، نقصان مڪمل طور تي ختم نه ڪيو ويو، تنهن ڪري تازه ڪاري 1.12.1 ان جي هيل تي گرم جاري ڪئي وئي.
اچو ته توهان کي ياد ڏياريون ته Flatpak ايپليڪيشن ڊولپرز کي انهن جي پروگرامن جي ورڇ کي آسان ڪرڻ جي اجازت ڏئي ٿو جيڪي معياري تقسيم جي ذخيرن ۾ شامل نه آهن هڪ عالمگير ڪنٽينر تيار ڪري هر تقسيم لاءِ الڳ اسيمبليون ٺاهڻ کان سواءِ. حفاظتي شعور رکندڙ استعمال ڪندڙن لاءِ، Flatpak توهان کي قابل اعتراض ايپليڪيشن هلائڻ جي اجازت ڏئي ٿو ڪنٽينر ۾، صرف نيٽ ورڪ جي ڪمن ۽ ايپليڪيشن سان لاڳاپيل صارف فائلن تائين رسائي فراهم ڪري ٿي. نون پروڊڪٽس ۾ دلچسپي رکندڙ صارفين لاءِ، Flatpak توهان کي سسٽم ۾ تبديلين جي ضرورت کان سواءِ جديد ترين ٽيسٽ ۽ ايپليڪيشنن جا مستحڪم رليز انسٽال ڪرڻ جي اجازت ڏئي ٿو. مثال طور، Flatpak پيڪيجز LibreOffice، Midori، GIMP، Inkscape، Kdenlive، Steam، 0 AD، Visual Studio Code، VLC، Slack، Skype، Telegram Desktop، Android Studio وغيره لاءِ ٺهيل آهن.
پيڪيج جي سائيز کي گھٽائڻ لاءِ، ان ۾ صرف ايپليڪيشن-مخصوص انحصار شامل آھن، ۽ بنيادي سسٽم ۽ گرافڪس لائبريريون (GTK، Qt، GNOME ۽ KDE لائبريريون، وغيره) پلگ ان معياري رن ٽائم ماحول جي طور تي ٺاھيل آھن. Flatpak ۽ Snap جي وچ ۾ اهم فرق اهو آهي ته سنيپ مکيه سسٽم ماحول جي اجزاء کي استعمال ڪري ٿو ۽ فلٽرنگ سسٽم ڪالن جي بنياد تي اڪيلائي، جڏهن ته Flatpak سسٽم کان الڳ ڪنٽينر ٺاهي ٿو ۽ وڏي رن ٽائم سيٽ سان هلائي ٿو، پيڪيجز کي انحصار جي طور تي نه، پر معياري طور تي مهيا ڪري ٿو. ones سسٽم ماحول (مثال طور، GNOME يا KDE پروگرامن جي آپريشن لاءِ تمام ضروري لائبريريون).
معياري سسٽم ماحول (رن ٽائم) جي علاوه، هڪ خاص مخزن جي ذريعي نصب ڪيو ويو آهي، اضافي انحصار (بنڊل) ايپليڪيشن جي آپريشن لاء گهربل آهن. مجموعي طور تي، رن ٽائم ۽ بنڊل ڪنٽينر کي ڀرڻ جي صورت ۾، ان حقيقت جي باوجود ته رن ٽائم الڳ الڳ نصب ٿيل آهي ۽ هڪ ئي وقت ڪيترن ئي ڪنٽينرن سان ڳنڍيو ويو آهي، جيڪو توهان کي اجازت ڏئي ٿو نقل ڪرڻ کان بچڻ جي سسٽم فائلن کي عام ڪنٽينرز ۾. ھڪڙي سسٽم ۾ ڪيترائي مختلف رن ٽائم نصب ٿي سگھن ٿا (GNOME، KDE) يا ساڳئي رن ٽائم جا ڪيترائي ورجن (GNOME 3.40، GNOME 3.42). هڪ ڪنٽينر هڪ ايپليڪيشن سان هڪ انحصار جي طور تي صرف هڪ مخصوص رن ٽائم لاءِ بائنڊنگ استعمال ڪري ٿو، انفرادي پيڪيجز کي حساب ۾ رکڻ کان سواءِ جيڪو رن ٽائم ٺاهي ٿو. سڀئي غائب عناصر سڌو سنئون ايپليڪيشن سان ڀريل آهن. جڏهن هڪ ڪنٽينر ٺهيل آهي، رن ٽائم مواد /usr ورهاڱي جي طور تي نصب ٿيل آهن، ۽ بنڊل /ايپ ڊاريڪٽري ۾ نصب ٿيل آهي.
رن ٽائم ۽ ايپليڪيشن ڪنٽينرز OSTree ٽيڪنالاجي استعمال ڪندي ٺاهيا ويا آهن، جنهن ۾ تصوير ايٽمي طور تي Git-like repository مان اپڊيٽ ڪئي وئي آهي، جيڪا ورزن ڪنٽرول طريقن کي تقسيم جي اجزاء تي لاڳو ڪرڻ جي اجازت ڏئي ٿي (مثال طور، توهان جلدي سسٽم کي واپس ڪري سگهو ٿا. پوئين حالت). RPM پيڪيجز خاص rpm-ostree پرت استعمال ڪندي OSTree مخزن ۾ ترجمو ڪيا ويا آهن. ڪم ڪندڙ ماحول ۾ پيڪيجز جي الڳ تنصيب ۽ تازه ڪاري سپورٽ نه آهي؛ سسٽم کي اپڊيٽ ڪيو ويو آهي انفرادي اجزاء جي سطح تي نه، پر مجموعي طور تي، ايٽمي طور تي ان جي حالت کي تبديل ڪندي. تازه ڪاريون لاڳو ڪرڻ لاء اوزار مهيا ڪري ٿو، هر تازه ڪاري سان مڪمل طور تي تصوير کي تبديل ڪرڻ جي ضرورت کي ختم ڪندي.
ٺاهيل الڳ ٿيل ماحول استعمال ٿيل تقسيم کان مڪمل طور تي آزاد آهي ۽، پيڪيج جي مناسب سيٽنگن سان، فائلن تائين رسائي نه آهي ۽ صارف يا مکيه سسٽم جي عملن تائين، سڌو سنئون سامان تائين رسائي نٿا ڪري سگهن، ڊي آر آئي ذريعي نڪرڻ جي استثنا سان، ۽ نيٽ ورڪ سبسسٽم کي ڪال ڪري ٿو. گرافڪس آئوٽ ۽ ان پٽ آرگنائيزيشن لاڳو ڪيا ويا آهن ويلينڊ پروٽوڪول استعمال ڪندي يا X11 ساکٽ فارورڊنگ ذريعي. خارجي ماحول سان رابطو DBus ميسيجنگ سسٽم ۽ هڪ خاص پورٽل API تي ٻڌل آهي.
علحدگيءَ لاءِ، Bubblewrap پرت ۽ روايتي لينڪس ڪنٽينر ورچوئلائيزيشن ٽيڪنالاجيون استعمال ڪيون وينديون آهن، cgroups، namespaces، Seccomp ۽ SELinux جي استعمال جي بنياد تي. PulseAudio آواز ڪڍڻ لاءِ استعمال ٿيندو آهي. انهي صورت ۾، اڪيلائي کي غير فعال ڪري سگهجي ٿو، جيڪو ڪيترن ئي مشهور پيڪيجز جي ڊولپرز طرفان استعمال ڪيو ويندو آهي مڪمل رسائي حاصل ڪرڻ لاء فائل سسٽم ۽ سسٽم ۾ سڀني ڊوائيس تائين. مثال طور، GIMP، VSCodium، PyCharm، Octave، Inkscape، Audacity، ۽ VLC هڪ محدود اڪيلائي واري موڊ سان ايندا آهن جيڪي گهر ڊاريڪٽري تائين مڪمل رسائي ڇڏيندا آهن.
جيڪڏهن گهر ڊاريڪٽري تائين رسائي سان پيڪيجز سمجهوتو ڪيو ويو آهي، پئڪيج جي تفصيل ۾ "sandboxed" ليبل جي موجودگي جي باوجود، حملي ڪندڙ کي صرف پنهنجي ڪوڊ کي عمل ڪرڻ لاء ~/.bashrc فائل کي تبديل ڪرڻ جي ضرورت آهي. هڪ الڳ مسئلو پيڪيجز ۾ تبديلين جو ڪنٽرول آهي ۽ پيڪيج ٺاهيندڙن تي ڀروسو آهي، جيڪي اڪثر ڪري مکيه منصوبي يا تقسيم سان لاڳاپيل نه هوندا آهن.
جو ذريعو: opennet.ru