Проект ставит основной целью сопровождение разработки OpenBSD с оглядкой на специфику проекта. Среди прочего, в Got применяются принятые в OpenBSD правила обеспечения безопасности (например, разделение привилегий и использование вызовов pledge и unveil) и стиль написания кода. Инструментарий рассчитан на процесс разработки с общим централизованным репозиторием и локальными ветками для разработчиков, внешним доступом по SSH и рецензированием изменений по электронной почте.

Для управления версиями предлагается утилита got с привычным набором команд. Для упрощения работы утилита поддерживает только минимально необходимый набор команд и опций, достаточный для выполнения основных операций без лишних усложнений. Для расширенных операций предлагается использовать обычный git. Операции по управлению репозиторием вынесены в отдельную утилиту gotadmin, выполняющую такие задачи как инициализация репозитория, упаковка индексов и чистка данных. Для навигации по данным в репозитории предлагается web-интерфейс gotwebd и утилита tog для интерактивного просмотра содержимого репозитория из командной строки.

Среди изменений:

• Добавлена команда 'got init', реализованная в качестве альтернативы команде 'gotadmin init'.
• Осуществлён переход на использование функции readdir вместо readdir_r.
• В web-интерфейсе предоставлена возможность изменения идентификатора пользователя, под которым выполняется процесс gotwebd. В файле конфигурации gotwebd.conf удалены опции "listen on socket off", "unix_socket off" и "unix_socket_name". Сокращено число используемых временных файлов.
• Устранены ошибки и утечки памяти.

1. Главная ссылка к новости
2. OpenNews: Для OpenBSD развивается новая git-совместимая система контроля версий Got
3. OpenNews: Выпуск системы управления исходными текстами Git 2.45
4. OpenNews: Проект gittuf развивает систему криптографической защиты репозиториев Git
5. OpenNews: Пять уязвимостей в Git, среди которых одна критическая и две опасные

Основные изменения в Chrome OS 125:

• Добавлен инструмент помощи при редактировании текстов (Assistive Copyeditor), выводящий рекомендации по грамматике, орфографии, стилю и структуре текста, редактируемого в web-приложениях или на сайтах.
• Пользователям устройств Chromebook Plus предоставлен AI-генератор фона для видеоконференций, формирующий виртуальный задний план на основе описания на естественном языке. Генератор вызывается из меню панели управления видеоконференцией и позволяет сохранять созданные изображения для последующего использования в других приложениях.
• Добавлен AI-генератор обоев рабочего стола и коллекция типовых шаблонов, которые можно адаптировать под свои предпочтения.
• Добавлена поддержка кнопок на Bluetooth-гарнитурах, используемых для ответа, отклонения или завершения вызова, а также для управления включением микрофона.
• В интерфейсе запуска программ (Launcher) появилась возможность поиска изображений по текстовому описанию изображённого, а не только по имени файлов. В панели поиска добавлена возможность настройки вывода результатов.
• Добавлена опция для сокращения анимированных эффектов (Accessibility > Display and Magnification > Reduced Animations).
• Добавлена возможность записи изменений на экране в виде анимированного GIF.
• В режимах автоматического создания на лету субтитров к видео ("Live Caption") и голосового заполнения любых полей ввода текста ( "Dictation") задействована новая модель распознавания речи и реализована поддержка языков, отличных от английского. В настоящее время в Live Caption поддерживается 6 языков, а в Dictation - 18 локалей.
• Добавлен режим быстрого сопряжения с беспроводными мышами (достаточно расположить мышь поблизости и согласиться с предложением о сопряжении). Обеспечен вывод предупреждения с запросом подтверждения операции в случае отключения Bluetooth при использовании беспроводных устройствах ввода.
• В просмотрщик видео добавлена настройка для управления скоростью воспроизведения.
• Реализован диалог для установки самодостаточных web-приложений (PWA, Progressive Web Apps).

1. Главная ссылка к новости
2. OpenNews: Выпуск web-браузера Chrome 125
3. OpenNews: Выпуск Chrome OS 124
4. OpenNews: Google отключил поддержку io_uring в ChromeOS и Android из-за плачевного состояния безопасности
5. OpenNews: В ChromeOS намечено разделение браузера и системного интерфейса
6. OpenNews: Google продлил до 10 лет время поддержки устройств на базе ChromeOS

Рабочий стол NX Desktop предлагает иное стилевое оформление, собственную реализацию системного лотка, центра вывода уведомлений и различных плазмоидов, таких как конфигуратор сетевых соединений и мультимедийный апплет для регулирования громкости и управления воспроизведением мультимедийного контента. Из приложений, созданных при помощи фреймворка MauiKit, можно отметить файловый менеджер Index (можно использовать и Dolphin), текстовый редактор Note, эмулятор терминала Station, музыкальный проигрыватель VVave, видеопроигрыватель Clip, центр управления приложениями NX Software Center и просмотрщик изображений Pix.

Основные новшества Nitrux 3.5:

• По умолчанию задействовано ядро Linux 6.8.12 с патчами Liquorix.
• Обновлены версии пакетов, в том числе Mesa 24.1.0, Firefox 126.0.1, NUTS 2.1.4 (Nitrux Update Tool System), XWayland 24.1.0, Distrobox 1.7.2.1.
• Пользовательское окружение NX Desktop продолжает использовать KDE Plasma 5.27.11, KDE Frameworks 5.115 и Qt 5.15.13. Напомним, что NX Desktop представляет собой набор надстроек, сильно завязанных на ветку Plasma 5, поэтому дистрибутив не будет переходить на KDE 6, а ближе к концу года будет переведён по умолчанию на собственную оболочку Maui Shell, поддерживающую Qt6.
• Проприетарные драйверы NVIDIA обновлены до версии 555.42.02. Задействован Vulkan-драйвер для GPU AMD - AMDVLK 2024.Q2.1.
• Обновлён микрокод для процессоров AMD и Intel. В пакет linux-firmware добавлены новые прошивки для многих драйверов беспроводных адаптеров, GPU и звуковых карт.
• До версии 3.1.0 обновлён набор приложений Maui Apps, основанных на библиотеке MauiKit с компонентами для построения интерфейсов пользователя, которая применяется в оболочке Maui Shell. В состав включены приложения Bonsai, Buho, Clip, Nota, Pix, Shelf, Strike и VVave, поставляемые в формате AppImage.
• Осуществлён переход на поставку центра установки приложений NX Software Center в виде пакета в формате AppImage.
• В состав включено приложение CoreCtrl для привязки настроек оборудования к приложениям.
• Правила udev изменены для отключения автоматического перехода USB-устройств в спящий режим.
• В KInfoCenter для вывода информации об OpenCL и Wayland задействованы пакеты clinfo и wayland-utils.
• Добавлен xpadneo, драйвер для контроллера Xbox One Wireless, а также драйвер xone для аксессуаров к Xbox One и Xbox Series X|S.
• В систему инициализации OpenRC добавлен новый уровень запуска (runlevel) "async", предназначенный для ускорения загрузки путём отложенного параллельного запуска вторичных служб.
• В OpenRC добавлен скрипт для использования обработчика Nohang для принудительного завершения приложений в случае нехватки памяти в системе.
• Для повышения производительности игровых приложений по умолчанию включено использование больших страниц памяти (Transparent Hugepages) и отключена фрагментация страниц памяти.
• По умолчанию отключён сервис rngd, который потерял актуальность на современных компьютерах, предоставляющих аппаратные генераторы случайных чисел. По умолчанию также отключены некоторые вспомогательные сервисы, что позволило ускорить загрузку дистрибутива.
• В механизме zswap для сжатия данных в разделе подкачки задействован алгоритм Z Standard (zstd) и аллокатор памяти zsmalloc.
• Для усиления защиты и повышения производительности включён режим усиления безопасности BPF JIT, отключён режим упреждающей упаковки страниц памяти, разрешено более агрессивное использование блокировок страниц памяти, обеспечено обнуление освобождаемых областей памяти, отключено слияние slab-областей одинакового размера, включено использование меток для определения переполнения буферов, отключены виртуальные системные вызовы, задействована рандомизация смещений на точки входа в системные вызовы.

1. Главная ссылка к новости
2. OpenNews: Доступен дистрибутив Nitrux 3.4.0. NX Desktop не будут переводить на KDE Plasma 6
3. OpenNews: Обновление фреймворка для построения интерфейса Maui и набора приложений Maui Apps
4. OpenNews: Первый альфа-выпуск пользовательского окружения Maui Shell
5. OpenNews: Представлено новое открытое пользовательское окружение Maui Shell
6. OpenNews: Дистрибутив Nitrux уходит от использования systemd

Примечательно, что MAC-адрес абонентского устройства можно было узнать через обращение к публичному Web API без прохождения аутентификации, используя функцию поиска абонентов, например, через выборку по email или по номеру учётной записи (перебирая номера можно последовательно выгрузить данные о клиентах). Помимо MAC-адреса выводились и другие сведения об абоненте, включая адрес, телефон, ФИО и email. Вся информация была доступна для запросов из внешней сети без аутентификации. При этом информацию можно было не только получить, но и изменить.

Всего публично доступный API насчитывал более 700 обработчиков, среди которых многие реализовывали операции по администрированию. Обращение к API осуществлялось через хост myaccount-business.cox.com, связанный с сервисом Xox Business, который среди прочего позволяет пользователям удалённо управлять устройствами, настраивать межсетевой экран и выполнять мониторинг трафика. Непосредственно управление модемом выполнялось провайдерским сервисом через протокол TR-069 (принимает соединения через сетевой порт 7547), предназначенный для удалённой диагностики и управления оборудованием.

Для верификации передачи команд и настроек на модемы пользователей использовался зашифрованный параметр, но функции для шифрования были найдены в одном из скриптов на языке JavaScript, отдаваемых сайтом webcdn-business.cox.com. Ключ для шифрования удалось определить установив в JavaScript-отладчике браузера точку останова на эти функции во время регистрации на сайте myaccount-business.cox.com. Ключ для шифрования формировался с использованием MAC-адреса, идентификатора устройства и номера учётной записи пользователя, а также нескольких вспомогательных параметров, таких как модель устройства и вид доступа.

Сценарий атаки сводится к поиску жертвы через публичный Web API, используя запрос по имени, номеру телефона, email или номеру учётной записи. Далее атакующий обращается к Web API для выгрузки полного набора персональных данных абонента, используя UUID, полученный при поиске на первом этапе. Используя MAC-адрес модема, указанный среди данных об абоненте, атакующий мог посмотреть список подключённых к модему устройств, поменять любые параметры на модеме, запросить пароль, используемый для подключения к Wi-Fi, и выполнить любые команды на устройстве, что можно применить, например, для организации анализа или перенаправления трафика пользователя.

1. Главная ссылка к новости
2. OpenNews: Атака на провайдера, выведшая из строя 659 тысяч домашних маршрутизаторов
3. OpenNews: Фишинг-атака на платёжную систему Trezor, вероятно проведённая с использованием BGP
4. OpenNews: Атака на регистраторов доменов привела к перенаправлению крупнейших сайтов
5. OpenNews: Интернет-регистратор APNIC по ошибке опубликовал хэши паролей Whois-сервиса
6. OpenNews: Утечка хэшей паролей Whois-сервиса интернет-регистратора APNIC

Версия 1.0 отмечена как первый стабильный релиз проекта, при подготовке которого основное внимание было уделено повышению стабильности, а не наращиванию функциональности. В новой версии также закреплена фиксация формата хранения данных, для которого начиная с прошлого выпуска обеспечивается обратная совместимость. В последующих выпусках разработчики намерены более осторожно относиться к добавлению новых возможностей и заботиться о сохранении совместимости между выпусками, а также стабилизации диалекта SQL и C API. Если в будущем потребуется изменение семантики SQL разработчики заранее опубликуют предупреждение о грядущих изменениях и предоставят обходные пути для сохранения работоспособности существующего кода.

DuckDB поддерживает расширенный диалект языка SQL, включающий дополнительные возможности для обработки очень сложных и длительно выполняемых запросов. Например, возможно использование сложных типов (массивы, структуры, объединения), а также выполнение произвольных и вложенных коррелирующих подзапросов. Поддерживается одновременное выполнение нескольких запросов, выполнение запросов напрямую из файлов в формате CSV и Parquet. Доступна поддержка импорта из СУБД PostgreSQL.

Помимо кода оболочки из SQLite проектом используется вынесенный в отдельную библиотеку парсер из PostgreSQL, компонент Date Math из MonetDB, своя реализация оконных функций (на базе алгоритма Segment Tree Aggregation), обработчик регулярных выражений на основе библиотеки RE2, собственные оптимизатор запросов, MVCC-механизм управления одновременным выполнением заданий (Multi-Version Concurrency Control), а также векторизованный движок выполнения запросов на базе алгоритма Hyper-Pipelining Query Execution, позволяющий в одной операции разом обрабатывать большие наборы значений.

1. Главная ссылка к новости
2. OpenNews: Выпуск СУБД SQLite 3.46
3. OpenNews: Проект Redka развивает реализацию протокола и API Redis поверх SQLite
4. OpenNews: Проекты CBS и sqld развивают облачный и серверный варианты SQLite
5. OpenNews: Опубликован проект Litestream, реализующий систему репликации для SQLite
6. OpenNews: Проект libSQL начал развитие форка СУБД SQLite

Ubuntu Core служит основой для запуска дополнительных компонентов и приложений, которые оформляются в виде самодостаточных надстроек в формате snap. Компоненты Ubuntu Core, включая базовую систему, ядро Linux и системные надстройки, также поставляются в формате snap и управляются инструментарием snapd. Технология Snappy даёт возможность сформировать образ системы как единое целое, без разбиения на отдельные пакеты. Вместо поэтапного обновления на уровне отдельных deb-пакетов в Ubuntu Core применяется механизм атомарного обновления snap-пакетов и базовой системы, по аналогии с Fedora Atomic, ChromeOS, Endless и openSUSE Leap Micro. При обновлении базового окружения и snap-пакетов имеется возможность отката состояния до прошлой версии, в случае проблем, выявленных после обновления.

Для обеспечения безопасности каждый компонент системы верифицируется по цифровой подписи, что позволяет защитить дистрибутив от внесения скрытых модификаций или установки непроверенных snap-пакетов. Поставляемые в формате Snap компоненты изолируются при помощи AppArmor и Seccomp, что создаёт дополнительный рубеж для защиты системы в случае компрометации отдельных приложений. Базовая система включает только минимальный набор необходимых приложений, что не только позволило уменьшить размер системного окружения, но и положительно сказалось на безопасности за счёт уменьшения возможных векторов для атак.

Базовая файловая система монтируется в режиме только для чтения. Имеется возможность использования шифрования данных на накопителе с использованием TPM. Обновления выпускаются регулярно, доставляются в режиме ОТА (over-the-air) и синхронизированы с составом Ubuntu 24.04. Для минимизации трафика обновления поставляются в сжатом виде и включают только изменения, относительно прошлого обновления (delta-обновления). Автоматизация установки обновлений решает проблемы с поддержанием безопасности системы при использовании на встраиваемых устройствах.

Благодаря логическому отделению базовой системы от приложений, поддержанием кодовой базы Ubuntu Core в актуальном виде занимаются разработчики Ubuntu, а об актуальности дополнительных приложений заботятся разработчики приложений. Подобный подход позволяет снизить затраты на сопровождение продуктов, программное окружение которых построено на основе Ubuntu Core, так как их производителям не требуется заниматься выпуском и доставкой системных обновлений и достаточно сосредоточить внимание только на своих специфичных компонентах.

Основные новшества:

• Добавлена поддержка верифицированных списков (Validation set), определяющих какие приложения и какие их версии могут быть установлены вместе, образуя проверенную комбинацию версий программ. Списки заверяются цифровой подписью и распространяются при доставке обновлений.
• Для устройств особой важности, таких как медицинское оборудование, предусмотрена возможность отключения любых автоматических сетевых обращений во время инициализации устройства.
• Добавлена возможность установки обновлений в offline-режиме на устройствах, изолированных от глобальной сети.
• Реализованы возможности для поддержки графического режима и использования GPU, который может применяться как для ускорения обработки графики, так и для вычислений при решении задач машинного обучения. В состав включены свежие выпуски графических драйверов.
• Добавлена поддержка графической оболочки Ubuntu Frame, предназначенной для создания интернет-киосков, терминалов самообслуживания, информационных стендов, цифровых вывесок, умных зеркал, промышленных экранов и других подобных применений. Ubuntu Frame можно использовать для запуска приложений на базе GTK, Qt, Flutter и SDL2, а также программ на базе Java, HTML5 и Electron. Возможен запуск как приложений, собранных с поддержкой Wayland, так и программ на базе протокола X11 (используется Xwayland).
• Реализована интеграция с сервисом Landscape, предоставляющим web-интерфейс для управления большими группами рабочих станций, серверов и облачных окружений. При помощи Landscape можно автоматизировать выполнение типовых операций по администрированию системы, применительно к группе машин, таких как мониторинг, аудит, централизованное управление OTA-обновлениями, обеспечение единой точки аутентификации (SSO) и управление доступом.
• Добавлены snap-пакеты для интеграции устройств на базе Ubuntu Core с сервисами Microsoft Azure IoT Edge.
• Добавлены snap-пакеты с различными утилитами и библиотеками от проекта ROS (Robot Operating System), развивающего инструментарий для разработки роботов.
• Добавлена поддержка динамического изменения параметров командой строки ядра.
• Предоставлена возможность замены выводимой при загрузке заставки.
• Добавлен опциональный консольный интерфейс console-conf для настройки параметров подключения к сети и учётных записей.

1. Главная ссылка к новости
2. OpenNews: Доступен монолитный дистрибутив Ubuntu Core 22
3. OpenNews: Доступен монолитный дистрибутив Ubuntu Core 20
4. OpenNews: Компания Canonical представила оболочку Ubuntu Frame
5. OpenNews: Релиз дистрибутива Ubuntu 24.04 LTS
6. OpenNews: Компания Canonical опубликовала Real-time Ubuntu 24.04

Система реализует полный цикл от сбора данных, их обработки и преобразования, анализа этих данных для обнаружения проблем, и заканчивая хранением этих данных, визуализацией и рассылкой оповещений с использованием правил эскалаций. Также система предоставляет гибкие возможности расширения методов сбора данных и оповещений, а также возможности автоматизации через мощный API. Единый веб-интерфейс реализует централизованное управление конфигурациями мониторинга и ролевым распределением прав доступа различным группам пользователей.

Начиная с версии 7.0 код проекта распространяется под лицензией AGPLv3, вместо лицензии GPLv2. Особенностью лицензии AGPLv3 является введение дополнительных ограничений для приложений, обеспечивающих функционирование сетевых сервисов. При использовании AGPL-компонентов в работе сетевых сервисов, разработчик обязан предоставить пользователю исходный код всех внесённых в эти компоненты изменений, даже если лежащее в основе сервиса программное обеспечение не распространяется и используется исключительно во внутренней инфраструктуре для организации работы сервиса. Кроме того, лицензия AGPLv3 совместима только с GPLv3, что приводит к лицензионному конфликту с приложениями, поставляемыми под лицензией GPLv2, например, поставка библиотеки под AGPLv3 требует от всех использующих данную библиотеку приложений распространения кода под лицензией AGPLv3 или GPLv3.

Официальные пакеты подготовлены для Linux-дистрибутивов Alma Linux, CentOS, Debian, OpenSUSE, Oracle Linux, Raspberry Pi OS, RedHat Enterprise Linux, Rocky Linux, SUSE Linux Enterprise Server, Ubuntu; систем виртуализации на базе VMWare, VirtualBox, Hyper-V, XEN; Docker; OpenStack Nova. Предоставлена возможность быстрой установки Zabbix в облачных платформах AWS, Azure, Google Cloud, Digital Ocean, IBM/RedHat Cloud, Oracle Cloud и Yandex Cloud. Для перехода с более ранних версий необходима лишь установка новых бинарных файлов (сервера и прокси) и нового интерфейса (Zabbix автоматически проведёт процедуру обновления, установка новых агентов не требуется).

Основные улучшения версии 7.0 LTS:

• Режим синтетического мониторинга сайтов и web-приложений с привлечение браузерного движка и использованием сложных сценариев. Возможно создание скриншотов состояния сайта, визуализация производительности, извлечение и мониторинг специфичных для web-приложений данных.
• Поддержка кластеров прокси, балансировки нагрузки на несколько серверов и использования балансировщиков для обеспечения работы высокодоступных конфигураций Zabbix. Поддерживается масштабирование существующих решений на базе Zabbix через развёртывание дополнительных прокси-серверов.
• Повышена производительность и эффективность работы прокси за счёт хранения собираемых метрик в оперативной памяти без их промежуточного сохранения на диске. Возможно использование гибридной схемы, при которой данные буферизируется в памяти, но также сохраняются на диске.
• Повышена масштабируемость и скорость сбора данных - опрос метрик теперь производится в асинхронном режиме, при котором следующая метрика может быть запрошена, не дожидаясь обработки предыдущего запроса. Каждый poller поддерживает выполнение до 1000 параллельных проверок. Асинхронный опрос может применяться к агентам и обработчикам, использующим SNMP и HTTP.
• Предоставлены централизованные настройки таймаутов, доступные через GUI и API, и позволяющие определять отдельные таймауты в привязке к определённым элементам или переопределять таймауты на уровне прокси.
• Добавлены новые виджеты для визуализации метрик и состояния инфраструктры ("Host navigator", "Honeycomb", "Pie chart", "Gauge", "Top triggers", "Item history"). Реализована динамическая навигация по виджетам в обзорном режиме (dashboard), использующая взаимодействие виджетов для влияния действий с одним виджетом на другие (например, информация о выбранном в одном виджете хосте может быть показана на виджетах, визуализирующих географическое местоположение). Также добавлена возможность автоматического обновления виджетов при изменении источника данных. Все виджеты можно использовать для шаблонов хостов. Для многих виджетов реализована поддержка агрегатных значений.
• Значительно (в 10-100 раз) повышена скорость определения доступности хостов в сетях за счёт распараллеливания проверок.
• Добавлена поддержка двухфакторной аутентификации с использованием одноразовых паролей (TOTP, Time-Based One-Time Password).
• Добавлена проверка корректности файлов конфигурации.
• Повышена гибкость обнаружения хостов в сложных окружениях, таких как VMware и Kubernetes.
• Повышена производительность фронтэнда за счёт изменения логики проверки прав доступа.
• Большая часть форм переведена на работу в модальном режиме.
• Обеспечено мгновенное реагирование на перевод элементов мониторинга в обслуживание.
• Добавлены готовые шаблоны и обработчики для NextCloud, Google Cloud Platform, Microsoft Azure Cost Management, Azure Cosmos DB for MongoDB, Amazon Elastic Container, Oracle Cloud Infrastructure, Microsoft SQL, CheckPoint Quantum Security Gateway, Fortinet FortiGate, HPE iLO, Cisco SD-WAN, HashiCorp Nomad, PostgreSQL (ODBC), OpenStack Nova, Acronis Cyber Protect Cloud, YugabyteDB, Ansible Webhook, Mantis Bug Tracker.
• Обеспечена интеграция с платформами службы поддержки Jira, Jira ServiceDesk, Redmine, ServiceNow, Zendesk, OTRS, Zammad, Solarwinds Service Desk, TOPdesk, SysAid, iTOP, ManageEngine Service Desk, системами оповещения пользователей Slack, Pushover, Discord, Telegram, VictorOps, Microsoft Teams, SINGNL4, Mattermost, OpsGenie, PagerDuty, iLert, Signal, Express.ms, Rocket.Chat. Всего доступно более 500 шаблонов и интеграций.
• Значительно расширены возможности мониторинга DNS.
• В разряд стабильных переведена отправка автоматически сгенерированных PDF отчётов. Для PDF-отчётов реализована поддержка многостраничных дашбордов.
• Стабилизирована возможность стриминга для отправки метрик и событий во внешние системы.
• Добавлена возможность приостанавливать сбор данных с потерянных элементов при автообнаружении.
• Добавлена поддержка тегов для веб-хуков для внутренних событий.
• Реализовано обнаружение дубликатов engineID при SNMP-мониторинге.
• Добавлена возможность использования пользовательского ввода при выполнении скриптов.
• Улучшен протокол взаимодействия между всеми компонентами Zabbix
• Возвращена возможность использования пользовательских макросов в именах элементов.
• Для всех встроенных макросов добавлена поддержка функций макросов.
• Добавлен метод history.push. Реализована поддержка триггерных функций jsonpath и xmlpath.
• Добавлена возможность выполнения скриптов на активном агенте.
• Реализована поддержка бинарного типа данных и новых триггерных функций.
• Значительно ускорена работа с данными от Prometheus.

1. Главная ссылка к новости
2. OpenNews: Выпуск системы мониторинга Zabbix 6.2
3. OpenNews: Выпуск системы мониторинга Zabbix 6.0 LTS
4. OpenNews: Выпуск интерфейса мониторинга Icinga Web 2.0
5. OpenNews: Выпуск системы мониторинга Cacti 1.2.0
6. OpenNews: Новая версия системы мониторинга Monitorix 3.14.0

Основные изменения:

• Проведена работа по улучшению звукового стека. Реализована возможность отсоединения звуковых устройств в асинхронном режиме, что необходимо, например, для горячего отключения звуковых карт с интерфейсом USB. Удалён фреймворк snd_clone и связанные с ним параметры sysctl, что позволило упростить звуковую подсистему. Вместо отдельных файлов устройств для каждого звукового канала (/dev/dspX.Y) теперь создаётся только основной файл устройства (/dev/dspX).
• Функции работы со строками и памятью в libc оптимизированы с использованием инструкций SIMD на системах с архитектурой AMD64. Предложено 17 функций, оптимизированных при помощи SIMD, а также 9 функций, переведённых на вызов функций, оптимизированных через SIMD. При проведении тестов производительность новых функций при обработке строк размером 64 символа увеличилась в 5.54 раза.
• Добавлена встроенная поддержка настройки при помощи cloud-init, инструментария для настройки системы на стадии загрузки. Среди прочего, поддерживается создание пользователей/групп, добавление ключей ssh, настройка параметров подключения к сети, определение стартового скрита nuageinit и настройка дисковых разделов (config-drive). Реализация совместима с OpenStack и многими хостинг-провайдерами.
• Для новых файловых систем UFS2, создаваемых утилитой newfs, по умолчанию включён механизм обеспечения целостности и повышения производительности ФС "soft updates" (в инсталляторе режим "soft updates" по умолчанию включался и ранее, но при создании ФС утилитой newfs требовалось указание отдельных опций).
• Предоставлена возможность сборки ядра только с поддержкой IPv6 (INET6), без IPv4 (INET).
• В утилите adduser, применяемой в bsdinstall, обеспечено создание отдельного ZFS dataset (раздела, снапшота или клона) для домашнего каталога пользователя, если ZFS dataset уже используется для родительского каталога. Также добавлена возможность использования шифрования домашних каталогов средствами ZFS. Для управления активацией данных возможностей в adduser.conf добавлены параметры "Zcreate" и "Zencrypt" .
  
  
  
• В "libutil" в функцию "setusercontext" добавлена поддержка выставления приоритета процессам на основании настроек из файла ".login.conf", размещённого в домашнем каталоге. При выставлении приоритета или umask добавлена поддержка значения "inherit", при котором приоритет и umask выставляются такими же как у родительского процесса.
• В утилиту "date" добавлена поддержка наносекундной точности, например, "date -Ins" выведаст "2024-06-04T10:20:28,763742224+05:00", а "date +%N" - "415050400".
• В утилите "dtrace" реализована возможность формирование вывода в форматах, удобных для автоматического разбора и просмотра, таких как JSON, XML и HTML.
• В утилиту "usbconfig" встроена возможность вывода дополнительной информации об USB-устройствах и производителях, соответствующей описаниям из файла /usr/share/misc/usb_vendors.
• В драйвер "ice" добавлена поддержка Ethernet-контроллеров Intel E800 с пропускной способностью 100 Gb/s.
• В Ethernet-драйвер "msc" добавлена поддержка выставления MAC-адреса на основе параметра "smsc95xx.macaddr", передаваемого некоторыми моделями плат Raspberry Pi.
• Проведена работа по повышению стабильности драйвера "iwlwifi" для беспроводных чипов Intel.
• Добавлена возможность использования нескольких областей PCI MCFG на системах amd64 и i386 для сегментирования адресного пространства PCI-устройств.
• Расширена поддержка оборудования.
• В NFS-обработчике "mountd" для декодирования имён каталогов в файле "exports" задействована библиотека "strunvis", что позволило использовать в именах каталогов спецсимволы, например, пробелы. Добавлены новые sysctl-переменные kern.rpc.unenc и kern.rpc.tls для настройки NFS-over-TLS.
• В загрузчике обеспечено чтение файлов конфигурации, перечисленных в переменной local_loader_conf_files, после файлов конфигурации, определённых в файле /boot/loader.conf.local. Также добавлена возможность извлечения настроек из SMBIOS в привязке к идентификаторам производителя и продукта. Улучшено определение консоли на системах с EFI. Реализация фреймбуфера в загрузчике теперь может использовать консольные видеодрайверы.
• Реализована возможность использования загрузчика LinuxBoot (loader.kboot) для загрузки FreeBSD из окружений на базе Linux на системах aarch64 и amd64.
• В rc.conf добавлена поддержка параметра kdc_restart, включающего автоматический перезапуск kdc (сервер Kerberos 5) в случае его аварийного завершения. Дополнительно доступен параметр kdc_restart_delay, через который можно установить задержку перед перезапуском.
• По умолчанию в целях сокращения размера отчётов, отправляемых на email, сокращены сведения об изменениях при выполнении периодически запускаемых работ и скриптов, проверяющих безопасность. Для настройки уровня вывода можно использовать параметры daily_diff_flags и security_status_diff_flags в periodic.conf.
• Обновлены версии сторонних компонентов: Clang/LLVM 18.1.5, OpenZFS 2.2.4, OpenSSH 9.7p1, awk 2024-01-22 (с поддержкой UTF-8 и режима "-csv"), libarchive 3.7.4, sendmail 8.18.1, unbound 1.20.0.
  1. Главная ссылка к новости
  2. OpenNews: Релиз FreeBSD 14.0
  3. OpenNews: Релиз FreeBSD 13.3
  4. OpenNews: Результаты опроса пользователей FreeBSD и план устранения выявленных проблем
  5. OpenNews: Для FreeBSD развивается новый графический инсталлятор. Отчёт FreeBSD за 1 квартал
  6. OpenNews: Проект ravynOS развивает редакцию FreeBSD, нацеленную на совместимость c macOS

Проект GrapheneOS развивает ответвление от кодовой базы Android (AOSP, Android Open Source Project), расширенное и изменённое для усиления безопасности и обеспечения конфиденциальности. Официально поддерживается большинство актуальных устройств Google Pixel (Pixel 4/5/6/7/8, Pixel Fold, Pixel Tablet). Наработки проекта распространяются под лицензией MIT. В состав включены многие экспериментальные технологии, связанные с усилением изоляции приложений, детальным управлением доступом, блокированием проявления типовых уязвимостей и усложнением работы эксплоитов.

Например, в платформе применяется собственная реализация malloc и модифицированный вариант libc с защитой от повреждения памяти, а также более жёсткое разделение адресного пространства процессов. Вместо JIT в Android Runtime применяется только упреждающая (AOT, ahead-of-time) компиляция. В ядре Linux включены многие дополнительные механизмы защиты, например, в slub добавляются канареечные метки для блокирования переполнения буферов. Для усиления изоляции приложений задействованы SELinux и seccomp-bpf.

Имеется возможность выборочного предоставления доступа отдельным приложениям к сетевым операциям, датчикам, адресной книге и периферийным устройствам (USB, камере). По умолчанию запрещено получение сведений о IMEI, MAC-адресе, серийном номере SIM-карты и других аппаратных идентификаторах. Чтение из буфера обмена разрешено только приложениям, в которых в данный момент активен фокус ввода. Включены дополнительные меры для изоляции связанных с Wi-Fi и Bluetooth процессов и предотвращения утечек в результате беспроводной активности. Многие из разработанных в рамках проекта механизмов усиления безопасности перенесены в основную кодовую базу Android.

В GrapheneOS применяется криптографическая верификация загружаемых компонентов и расширенное шифрование данных на уровне файловых систем ext4 и f2fs (данные шифруются при помощи AES-256-XTS, а имена файлов - AES-256-CTS c использованием HKDF-SHA512 для генерации отдельного ключа для каждого файла), а не блочного устройства. Данные в системных разделах и в каждом профиле пользователя шифруются разными ключами. Используются доступные аппаратные возможности для ускорения операций шифрования. На экране блокировки отображается кнопка завершения сеанса, после нажатия которой ключи для расшифровки сбрасываются и хранилище переводится в неактивированное состояние. Имеется настройка для запрета установки дополнительных приложений в выбранных профилях пользователей. Для защиты от подбора паролей задействована система задержек, зависящих от числа неудачных попыток (от 30 секунд до 1 дня).

В состав GrapheneOS принципиально не включаются приложения и сервисы Google, а также альтернативные реализации сервисов Google, такие как microG. При этом имеется возможность установки сервисов Google Play в отдельном изолированном окружении, не имеющем специальных привилегий. Проектом также развивается несколько собственных приложений, сфокусированных на защите информации и приватности. В частности, предлагаются браузер Vanadium на базе Chromium и модифицированный вариант движка WebView, защищённый PDF-просмотрщик, межсетевой экран, приложение Auditor для верификации устройств и выявления вторжений, приложение для работы с камерой, нацеленное на обеспечение конфиденциальности, и система создания шифрованных резервных копий Seedvault.

1. Главная ссылка к новости
2. OpenNews: Обновление защищённой Android-платформы GrapheneOS
3. OpenNews: Опубликован Shufflecake, инструментарий для создания скрытых шифрованных разделов на диске
4. OpenNews: Проект Tor представил прототип защищённого смартфона на платформе Android
5. OpenNews: Раскол среди создателей проекта CopperheadOS
6. OpenNews: Опубликована ФС Oramfs, скрывающая характер доступа к данным

Браузер Ladybird преодолел путь от простого HTML-просмотрщика, специфичного для SerenityOS, до кроссплатформенного продукта, использующего собственный браузерный движок. Фактически браузер перерос SerenityOS и разделил сообщество на две группы - разработчиков ОС и разработчиков кроссплатформенного браузера. Так как занимающиеся браузером и операционной системой разработчики со временем всё больше и больше отдалялись и теряли общие интересы, в конечном счёте было решено полностью разделить эти проекты. После разделения Андреас возглавит разработку браузера, а группа основных мэйнтейнеров получит управление над SerenityOS.

После отделения разработчики браузера Ladybird прекратят поддержку ОС SerenityOS и сосредоточатся на разработке для платформ Linux и macOS. Разработчики же SerenityOS смогут вернуться к исходной модели разработки ради удовольствия, общения с единомышленниками и в качестве хобби. В отличие от SerenityOS в проекте Ladybird будут убраны ограничения, запрещавшие использование в проекте стороннего кода. Старый репозиторий Ladybird переведён в архивный режим.

Браузер Ladybird использует собственные движок LibWeb, JavaScript-интерпретатор LibJS, библиотеку отрисовки текста и 2D-графики LibGfx, движок для регулярных выражений LibRegex, XML-парсер LibXML, интерпретатор промежуточного кода WebAssembly (LibWasm), библиотеку для работы с Unicode LibUnicode, библиотеку для преобразования текстовых кодировок LibTextCodec, парсер для разметки Markdown (LibMarkdown), библиотеки с криптографическими примитивами (LibCrypto, LibTLS), библиотеку для работы с архивами LibArchive, библиотеки для воспроизведения звука и видео (LibAudio, LibVideo) и библиотеку LibCore с общим набором полезных функций, таких как преобразование времени, ввода/вывод и обработка MIME-типов.

Графический интерфейс оформлен в классическом стиле и поддерживает вкладки. Для построения интерфейса в macOS используется AppKit, в Android - родной для данной платформы API создания графического интерфейса, а на остальных платформах - Qt. Поддерживаются основные web-стандарты (браузер проходит тесты Acid3), HTTP/1.1 и HTTPS. Код написан на языке C++ и распространяется под лицензией BSD. Поддерживается работа в Linux, macOS, Android, Haiku и OpenIndiana.

В Ladybird применяется многопроцессная архитектура, в которой занимающийся формированием интерфейса процесс отделён от процессов, обеспечивающих обработку web-контента, отправку запросов по сети, декодирование изображений и хранение Cookie. Связанные с декодированием изображений и сетевым взаимодействием обработчики выделены в отдельные процессы для усиления изоляции и защиты. Для каждой вкладки используется отдельный процесс обработки web-контента, изолированный от остальной системы.

1. Главная ссылка к новости
2. OpenNews: Развиваемый проектом SerenityOS web-браузер успешно прошёл тесты Acid3
3. OpenNews: Проект SerenityOS развивает Unix-подобную ОС c графическим интерфейсом
4. OpenNews: Новая версия браузера NetSurf 3.11
5. OpenNews: После многолетнего забвения опубликован минималистичный web-браузер Dillo 3.1
6. OpenNews: Представлен кросс-платформенный web-браузер Ladybird

При использовании Nix результат сборки пакетов хранится в отдельном подкаталоге в /nix/store. Например, после сборки пакет firefox может записываться в /nix/store/1onlv5pc3ed4n5nskg8ew4twcfd0d5ce4ec5d4-firefox-125.0.1/, где "1onlv5pc3ed4n5nskg8ew4twcfd0d5ce4ec5d4" является хешем всех его зависимостей и инструкций сборки. Под установкой пакета подразумевается его сборка или скачивание уже собранного (при условии, что он был уже собран на Hydra - сервисе сборки проекта NixOS), а также формирование директории с символическими ссылками на все пакеты в профиле системы или пользователя, с последующим добавлении этой директории в список PATH. Аналогичный подход применяется в пакетном менеджере GNU Guix, который основан на наработках Nix. Коллекция пакетов представлена в специальном репозитории Nixpkgs.

Основные новшества:

• Добавлено 17777 пакетов, удалено 9393 пакета, обновлено 16249 пакетов. Добавлено 145 новых модулей, удалено 23 модуля. В разработке и сопровождении пакетов приняли участие 2491 разработчиков.
• Предложены выпуски пользовательских окружений KDE Plasma 6.0, GNOME 46 и MATE 1.28. В состав включены пакеты с пользовательским окружением Lomiri (бывший Unity8), использующим Wayland и дисплейный сервер Mir 2.
• Добавлено 66 новых сервисов, среди которых AppImage, Anki Sync Server, Clevis, dnsproxy, Guix, intel-gpu-tools, isolate, microsocks, RustDesk, watchdogd.
• Ядро Linux обновлено до версии 6.6 (была 6.1). Для сжатия файлов с прошивками задействован алгоритм zstd.
• Обеспечена установка загрузчика исполняемых файлов в формате ELF, который выводит сообщение об ошибке в случае запуска исполняемых файлов, собранных не для NixOS. Для отключения предусмотрена настройка "environment.stub-ld.enable".
• Предоставлена возможность создания систем, в которых не установлен интерпретатор Perl (системные зависимости, использующие Perl, переведены в разряд необязательных опций).

1. Главная ссылка к новости
2. OpenNews: Лидер проекта NixOS вышел из управляющего совета после угрозы создания форка
3. OpenNews: Проект NixBSD развивает вариант NixOS с ядром из FreeBSD
4. OpenNews: Выпуск дистрибутива NixOS 23.11, использующего пакетный менеджер Nix
5. OpenNews: В NixOS обеспечена поддержка повторяемых сборок для iso-образа
6. OpenNews: Выпуск Distrobox 1.7, инструментария для вложенного запуска дистрибутивов

Предполагается, что наличие текстовых описаний, которые можно будет выводить через экранные ридеры, упростит работу людей, имеющих проблемы со зрением. Функция реализована через интеграцию модели машинного обучения, выполняемой на локальной системе пользователя без обращения к внешним сервисам, по аналогии с тем как уже работает встроенная система перевода с одного языка на другой.

Модель для генерации текстовых описаний занимает примерно 200 МБ на диске, использует данные модели DistilGPT2 и охватывает 182M параметров. Для анализа изображений задействован декодировщик на базе модели Vision Transformer (ViT). Для работы с моделью в состав браузера включён ONNX Runtume, скомпилированный в представление WASM, и библиотека Transformers.js. Модель загружается динамически перед первым использованием.

1. Главная ссылка к новости
2. OpenNews: В Firefox добавлена поддержка машинного перевода выделенных фрагментов текста
3. OpenNews: В ночных сборках Firefox включена поддержка машинного перевода
4. OpenNews: Выпуск web-браузера Chrome 121 с возможностями, использующими машинное обучение
5. OpenNews: В ночных сборках Firefox тестируют виджет с прогнозом погоды
6. OpenNews: Опубликован список идей по развитию Firefox, над которыми ведётся работа

Расследование инцидента пока не завершено и детали не раскрываются. Указано только, что в последние несколько дней компания Hugging Face провела большую работу по усилению безопасности своей инфраструктуры, полностью прекратила использование org-токенов, ввела в строй систему управления ключами (KMS) и задействовала новые инструменты для выявления утечек токенов. На будущее запланировано полное прекращение использования классических токенов с доступом на чтение и запись.

1. Главная ссылка к новости
2. OpenNews: В репозитории Hugging Face выявлены вредоносные AI-модели, выполняющие код
3. OpenNews: Техника атаки на системы, использующие алгоритмы машинного обучения
4. OpenNews: SSH-бэкдор, установленный при взломе kernel.org, два года оставался незамеченным
5. OpenNews: Утечка закрытых ключей Intel, используемых для заверения прошивок MSI
6. OpenNews: GitHub обновил GPG-ключи из-за уязвимости, приводящей к утечке переменных окружения

Наиболее важные изменения:

• При подготовке новой ветки основное внимание было сосредоточено на обеспечении поддержки работы с использованием протокола Wayland. Добавлен экспериментальный сеанс на базе Wayland, использующий композитный сервер Wayfire. Большинство апплетов, размещаемых в панели, включая апплет управления громкостью, апплет индикации заряда аккумулятора и сетевой апплет, адаптированы для работы с Wayland (исключение составили только апплеты AccessX и Geyes, завязанные на X11). Обеспечена работа с Wayland конфигуратора (Центр управления), мультимедийных приложений, системы вывода уведомлений, системы управления энергопотреблением, эмулятора терминала.
• В панели задач реализована возможность отображения списка активных окон при использовании Wayland, а также обеспечена корректная индикация состояния корзины.
• В файловом менеджере Caja добавлена поддержка управления пиктограммами на рабочем столе, отрисовки фоновых изображений и изменения обоев рабочего стола при использовании сеанса на основе Wayland. Добавлен плагин audio-video-properties для показа свойств мультимедийных файлов.
• На использование сборочной системы Meson переведены просмотрщик изображений Eye of MATE, конфигуратор mate-control-center, программа для работы с архивами Engrampa, mate-terminal, mate-desktop, mate-menu, mate-polkit, mate-power-manager, mate-system-monitor и мультимедийные утилиты.
• В оконный менеджер Marco добавлена настройка "alt-tab-raise-windows", при установке которой при циклическом переборе эскизов окон в интерфейсе, показываемом при нажатии на Alt+tab, выбранные окна будут приподняты относительно других окон для упрощения их идентификации.
• Просмотрщик документов Atril переведён на использование библиотеки libarchiv для обработки форматов с комиксами. Заявлена поддержка формата EPUB. Браузерный движок обновлён до WebKitGTK 4.2.1. Актуализирована кодовая база, которая избавлена от использования устаревших методов.
• В программе для работы с архивами Engrampa для работы с форматом CPIO задействована утилита unar вместо утилиты cpio. Добавлена поддержка утилиты unrar-free. Проведена работа по повышению производительности и улучшению совместимости с различными архиваторами.
• Для текстового редактора Pluma добавлен плагин Quickhighlight, обеспечивающий подсветку мест в документе, где встречается выделенный фрагмент текста.
• В эмуляторе терминала MATE Terminal обеспечен корректный перенос файлов из файлового менеджера в окно терминала (вставляется путь к файлу). Добавлена поддержка escape-последовательности OSC 8 для вставки гиперссылок. Улучшена работа со вкладками - добавлена поддержка двойного щелчка мышью на вкладке для смены её имени.
• В mate-indicator-applet, универсальный апплет для показа индикаторов в панели (Ayatana AppIndicator), добавлена поддержка средней кнопки мыши.
• Фоновый процесс для управления настройками (mate-settings-daemon) переведён с dbus-glib на GDBus.
• В системном мониторе (mate-system-monitor) улучшен интерфейс и по умолчанию включена поддержка systemd.
• Внесены изменения для повышения стабильности и эффективности работы просмотрщика изображений eom (Eye of MATE).
• Устранены утечки памяти и внесены косметические изменения в конфигуратор.
• Улучшен интерфейс редактора меню Mozo.
• Проведена чистка кодовой базы от устаревших библиотек и реализована совместимость с актуальными выпусками GTK.

1. Главная ссылка к новости
2. OpenNews: Релиз десктоп-окружения MATE 1.26, форка GNOME 2
3. OpenNews: Дистрибутив Ubuntu MATE сформировал сборки для плат Raspberry Pi
4. OpenNews: Выпуск редакции дистрибутива Slackel 7.7 с рабочим столом MATE
5. OpenNews: Инициатива по портированию приложений MATE для Wayland
6. OpenNews: Релиз дистрибутива Ubuntu 24.04 LTS

Важные изменения

• Добавлена поддержка тёмной темы оформления.
• По умолчанию задействована кодировка UTF-8. В настройках (Document→Settings...→Language) оставлена возможность использования традиционных кодировок. Старые кодировки также продолжат использоваться в уже существующих документах и шаблонах.
• Полностью переписана реализация языка разметки документов DocBook. Добавлена поддержка спецификации DocBook 5 и возможность сохранения документов в форматах DocBook и ePub.
• Реализована поддержка сохранения документов в формате HTML5 с использованием элементов <section> (ранее поддерживался только старый HTML 1).
• Расширены возможности по визуальной компоновке таблиц. Добавлены стили таблиц, которые можно выбрать при вставке новой таблицы (Document→Settings...→Text Layout). Возможно создание собственных стилей. Добавлена поддержка использования слитных или раздельных горизонтальных разделителей для индикации группировки столбцов в таблице.
• Предложен новый диалог для выбора шаблонов (File→New From Template...) и файлов с примерами (File→Open Example...), отображающий информацию в структурированном виде, а также показывающий примеры и шаблоны из каталога пользователя. Упрощён процесс сохранения собственных шаблонов в домашнем каталоге, используя меню "File→Save As Template...".
• Переделан диалог для поиска и замены, который теперь может как прикрепляться в виде встроенной панели в нижней части, так и отсоединяться в отдельное окно. Добавлены режимы поиска по мере набора запроса и поиска/замены только в выделенной области текста.
• Полностью переделан интерфейс для настройки свойств документа.
• Изменён диалог с настройками Bib(la)TeX, в котором теперь в одном месте отображается как доступные, так и выбранные библиографические базы данных. Добавлена возможность выбора кодировки текста в привязке к отдельным файлам.
• Переработан диалог выбора модулей (Document→Settings...→Modules). Обеспечен показ доступных модулей с разделением на категории. Добавлена функция быстрого поиска по имени модуля и имени файла.
• Повышено удобство редактирования математических уравнений,
• Добавлена возможность выбора различных форм вставки даты и времени.
• Предоставлена возможность определения режима выравнивания для всего плавающего содержимого.
• В панели инструментов для кнопок изменения свойств текста и вставки из буфера обмена реализован показ истории прошлых операций. Добавлена возможность выбора через панель инструментов собственных стилей символов.
• Добавлена опция (Document→Settings→Numbering & TOC→Line numbering) для отображения номеров строк в документе.
• Расширены возможности для отслеживания изменений в документе.
• Добавлена возможность выбора для отдельных документов собственных словарей для проверки правописания. Реализована поддержка построения списка отдельных слов или фраз, игнорируемых при проверке правописания.
• Расширен перечень поддерживаемых команд и шрифтов LaTeX. При использовании пакета многоязычной вёрстки LaTeX-документов Polyglossia реализована поддержка русского языка.
  1. Главная ссылка к новости
  2. OpenNews: Выход текстового процессора LyX 2.3.0
  3. OpenNews: Релиз визуального редактора LaTeX-документов LyX 2.0.0
  4. OpenNews: Выпуск TeX-дистрибутива TeX Live 2023 и пакета a2ps 4.15
  5. OpenNews: Завершена публикация каталога пакетов LaTeX
  6. OpenNews: Выпуск LaTeX2HTML 2018