Представлены правила для AI-ассистентов, применяемых при разработке ядра Linux Определены следующие ключевые принципы для AI:
Для выделения изменений, подготовленных с использованием AI, к коммиту предписывается прикреплять тег "Co-developed-by: $AI_NAME $AI_MODEL $AI_VERSION". Например: "Co-developed-by: Claude claude-3-opus-20240229", "Co-developed-by: GitHub-Copilot GPT-4 v1.0.0" и "Co-developed-by: Cursor gpt-4-turbo-2024-04-09". При этом AI-ассистент не должен добавлять себя в тег "Signed-off-by". Данный тег должен добавляться только человеком для юридически значимого подтверждения права на передачу кода под открытой лицензией.
Документация, которую должен учитывать AI-ассистент:
Источник: https://www.opennet.ru/opennews/art.shtml?num=63631
opennet rss
Повышение производительности Btrfs в ядре Linux 6.17 Дополнительно отмечаются изменения в ioctl дефрагментации и активация ранее разработанного механизма предотвращения разрушения файловых систем, ограничивающего запись в блочное устройство с примонтированной ФС.
Источник: https://www.opennet.ru/opennews/art.shtml?num=63630
Выпуск дистрибутива Tails 6.18 В новой версии реализована возможность использования сетевых мостов на базе транспорта WebTunnel для подключения к сети Tor. WebTunnel имитирует типовой web-трафик и может применяться там, где не работает транспорт obfs4. Обновлены Tor Browser 14.5.5 и Thunderbird 128.12.0.
Источник: https://www.opennet.ru/opennews/art.shtml?num=63629
Каталог PyPI убрал блокировку регистрации с email-адресов inbox.ru Напомним, что на прошлой неделе в PyPI было заблокировано использование почтовых адресов @inbox.ru при создании новых проектов из-за регистрации более 1500 проектов, которые предположительно могли использоваться для атак на пользователей, следующих рекомендациям чат-ботов или ошибающихся при написании названий пакетов. В проектах использовались имена несуществующих библиотек, ошибочно рекомендуемых большими языковыми моделями (слопсквоттинг) или похожих на названия популярных проектов.
Источник: https://www.opennet.ru/opennews/art.shtml?num=63628
Инициатива Maintenance Fee, предлагающая взимать плату за доступ к релизам открытых проектов Суть Maintenance Fee в ведении ежемесячного платежа для пользователей и компаний, которые получают коммерческую выгоду и прямо или косвенно зарабатывают на использовании открытого проекта. Стимулирование оплаты производится через добавление сопровождающим пользовательского соглашения (EULA), регламентирующего доступ к инфраструктуре, бинарным сборкам и готовым пакетам. Для перечисления платы предлагается использовать систему GitHub Sponsorship.
В соответствии с EULA, загружать бинарные сборки релизов, участвовать в обсуждениях и отправлять заявки по решению проблем могут лишь платные подписчики, а также пользователи, не получающие коммерческую выгоду от применения проекта. Доступ к исходным текстам остаётся без изменений и производится в соответствии с применяемыми проектами открытыми лицензиями. Если компания, получающая выгоду от проекта, не желает перечислять ежемесячную плату, то она может использовать код из репозитория и самостоятельно формировать для себя сборки, но не имеет права пользоваться готовыми сборками релизов, предоставляемыми основным проектом (среди прочего запрещается использовать официальные сборки пакетов в числе зависимостей, подключаемых через пакетные менеджеры, такие как NPM и NuGet).
Отмечается, что сопровождающие выполняют большую работу, но часто ничего не получают взамен и рассматриваются многими компаниями как бесплатная рабочая сила. Подобное отношение приводит к выгоранию и потере интереса к развиваемым проектам. Зарабатывание на поддерживаемом другими людьми открытом коде, ничего не возвращая взамен, воспринимается как паразитирование. Перечисление сопровождающим небольшой доли от получаемого дохода рассматривается как справедливое и взаимовыгодное решение, при котором компании напрямую финансируют сопровождающих проектов, от которых зависят их продукты.
Предполагается, что плата за сопровождение повысит устойчивость открытых проектов и даст возможность уделять больше внимание разбору сообщений об ошибках, ответам на вопросы пользователей, поддержанию сборочной инфраструктуры, обновлению зависимостей, отслеживанию уязвимостей и выполнению рутинных действий, таких как модерирование дискуссий и обновление сертификатов для цифровых подписей.
Источник: https://www.opennet.ru/opennews/art.shtml?num=63627
В Android встроена возможность запуска графических Linux-приложений Для запуска графического окружения в приложение Linux Terminal добавлена кнопка "Display", включающая перенаправление графики через компоненты в основном окружении Android. После активации кнопки "Display" в терминале можно запустить композитный сервер Weston, предоставляющий минималистичный оконный сеанс, а затем использовать его для запуска любых графических приложений, например, продемонстрирован запуск текстового редактора Gedit.
Разработка приложения Linux Terminal ведётся в репозитории AOSP (Android Open Source Project) в основном составе платформы Android. Функциональность виртуальной машины c Linux развивается в рамках проекта Ferrochrome. В гостевом окружении запускается Debian GNU/Linux 12. Для виртуализации используется фреймворк AVF (Android Virtualization Framework), реализованный на базе гипервизора KVM и инструментария crosvm. Графическое окружение использует протокол Wayland и основано на композитном сервере Weston. Запуск приложений, собранных для X11, производится при помощи DDX-компонента XWayland.
В создаваемом окружении реализована возможность задействования аппаратного ускорения графики, что позволяет запускать ресурсоёмкие графические приложения, такие как игры. Для ускорения графики задействован VirGL - виртуальный GPU Virgil3D для QEMU/KVM. По умолчанию аппаратное ускорение отключено и для его активации необходимо в каталоге /sdcard/linux создать пустой файл с именем "virglrenderer", после чего проследить за появлением сообщения "VirGL enabled" при открытии терминала.
Источник: https://www.opennet.ru/opennews/art.shtml?num=63626
Обновление редактора кода CudaText 1.226.0 Среди новых возможностей, реализованных после прошлого анонса:
Источник: https://www.opennet.ru/opennews/art.shtml?num=63625
Первый выпуск Wayback, прослойки для запуска рабочих столов X11, используя компоненты Wayland Проект создан разработчиками дистрибутива Alpine для упрощения ухода от поставки классического X.org Server и развивается в инфраструктуре freedesktop.org. В дистрибутиве Alpine намерены оставить только компоненты, необходимые для Wayland и Xwayland, и реализовать запуск сред рабочего стола X11 поверх них, что позволит исключить из репозиториев обособленный X-сервер и снизить затраты на сопровождение X11-приложений.
Код Wayback основан на tinywl, эталонном композитном сервере от разработчиков библиотеки wlroots, функциональность которого урезана до минимума, достаточного для обособленного запуска Xwayland. Предполагается, что в будущем Wayback сможет использоваться в качестве полной замены исполняемого файла Xorg (/usr/bin/X).
Первый выпуск Wayback преподносится как альфа-версия, позволяющая ознакомиться с реализуемой проектом концепцией. На данном этапе пока отсутствует поддержка таких возможностей, как многомониторные конфигурации, гашение экрана через DPMS, захват указателя мыши (запрет перемещения за определённую область на экране), многие опции Xorg. Пакеты для тестирования Wayback собраны для Alpine Linux, Nix, T2, Arch Linux, ALT Linux и Fedora.
Из изменений по сравнению с первым анонсом отмечается разделение Wayback на отдельные компоненты: композитный сервер wayback-compositor; интерфейс командной строки Xwayback, совместимый с Xorg и предназначенный для запуска Xwayland и wayback-compositor; менеджер сеансов wayback-session, предоставляющий интерфейс запуска сеанса в стиле startx. Кроме того, в Wayback реализован более централизованный механизм ведения логов и новый парсер опций, напоминающий getopt.
Источник: https://www.opennet.ru/opennews/art.shtml?num=63623
Выпуск дистрибутива для создания межсетевых экранов OPNsense 25.7 Начинка дистрибутива основывается на коде FreeBSD. Среди возможностей OPNsense: полностью открытый сборочный инструментарий, поддержка установки в форме пакетов поверх обычного FreeBSD, средства балансировки нагрузки, web-интерфейс для организации подключения пользователей к сети (Captive portal), наличие механизмов отслеживания состояний соединений (stateful firewall на основе pf), система ограничения пропускной способности, фильтрация трафика, создание VPN на базе IPsec, OpenVPN и PPTP, интеграция с LDAP и RADIUS, поддержка DDNS (Dynamic DNS), система наглядных отчётов и графиков.
На базе дистрибутива могут создаваться отказоустойчивые конфигурации, основанные на использовании протокола CARP и позволяющие запустить помимо основного межсетевого экрана запасной узел, который будет автоматически синхронизирован на уровне конфигурации и примет на себя нагрузку в случае сбоя первичного узла. Для администратора предлагается web-интерфейс для настройки межсетевого экрана, построенный с использованием web-фреймворка Bootstrap и Phalcon MVC.
Среди изменений:
Источник: https://www.opennet.ru/opennews/art.shtml?num=63622
В http-сервере Apache 2.4.65 устранена проблема, ломающая работу mod_rewrite Проблема вызвана некорректным изменением в прошлом выпуске и проявляется только в версии Apache httpd 2.4.64. В версии 2.4.64 для определения результата проверки было добавлено перечисление cond_return_type, которое могло принимать значения COND_RC_NOMATCH, COND_RC_MATCH и COND_RC_STATUS_SET. При этом в коде выставлялось только значение COND_RC_MATCH, вне зависимости от результата обработки регулярного выражения (проверялось только отрицательное значение с кодом ошибки, но не учитывалось нулевое значение, выдаваемое при несовпадении).
Источник: https://www.opennet.ru/opennews/art.shtml?num=63621
Проект XLibre интегрирует драйверы в основную ветку X-сервера Часть сообщества критикует данное решение, опасаясь усложнения разработки новых драйверов для XLibre, но Энрико настаивает на нужности такого подхода. В качестве аргументов упоминается аналогичная модель разработки ядра Linux, фактически не имеющего стабильного ABI, а также «сырое» состояние кодовой базы XLibre, которая всё ещё проходит через полномасштабный рефакторинг. Впрочем, в будущем с ростом зрелости проекта разработчики не исключают стабилизацию ABI. Разработка новых драйверов для X11 вне дерева XLibre возможна, однако синхронизация ABI остаётся на совести разработчика. Для не желающих ставить все драйверы вместе с сервером обещают реализовать флаги сборки.
Также можно отметить появление порта XLibre для FreeBSD и обсуждение перевода XLibre на Rust. Разработчики высказались против переписывания частей XLibre на Rust, аргументируя это длительностью процесса, падением производительности, недостатком преимуществ и крайней сложностью поддержки двуязычной кодовой базы.
Источник: https://www.opennet.ru/opennews/art.shtml?num=63618
В Fedora предложено задействовать FlatHub в атомарных редакциях дистрибутива В настоящее время по умолчанию в Fedora предлагается собственный flatpak-репозиторий, содержимое которого формируется на основе пересборки rpm-пакетов. По умолчанию загрузку пакетов из FlatHub можно включить лишь после установки, активировав в менеджере приложений GNOME опцию "Enable Third-Party Repositories", но даже в этом случае пакеты из репозитория Fedora являются более приоритетными.
По мнению Майкла большинство пользователей предпочло бы установку пакетов из каталога FlatHub, собираемых основными разработчиками приложений, а не сопровождающими Fedora (80% участников дискуссии высказались за использование FlatHub). Предполагается, что разработчики приложений лучше знают нюансы своих проектов и собирают более качественно работающие flatpak-пакеты, тщательнее протестированные сообществом. При этом сопровождающие rpm-пакеты в Fedora не проявляют ожидаемого интереса к поддержанию вариантов пакетов в формате flatpak и не уделяют должного внимания сообщениям об ошибках в таких пакетах, что приводит к тому, что качество flatpak-пакетов от Fedora ниже, чем размещённых во FlatHub пакетах от основных проектов.
Многие пользователи не в курсе, что устанавливая flatpak-пакет через менеджер приложений Fedora, он устанавливается не из FlatHub, как в других дистрибутивах, а из репозитория Fedora, пакеты в котором отличаются от вариантов с FlatHub. Из-за этого проблемы, специфичные для пакетов из репозитория Fedora, воспринимаются как проблемы в официальных пакетах с FlatHub и претензии направляются основным разработчикам, а не сопровождающим Fedora. Например, поставка проблемного flatpak-пакета OBS Studio в Fedora, который являлся более приоритетным, чем пакет из FlatHub, в феврале привела к конфликту с проектом OBS Studio.
Применение собственного Flatpak-репозитория обусловлено необходимостью сборки в заслуживающем доверия окружении. Для пакетов во FlatHub, даже если рассматривать только верифицированные пакеты, за публикацию которых отвечают основные проекты, сборка производится во внешних инфраструктурах, безопасность которых может вызывать сомнение.
Из достоинств поддержания собственного репозитория в Fedora упоминаются гарантии, что пакет собран из заявленного исходного кода и содержит только компоненты под открытыми лицензиями, одобренными к использованию Fedora. Пакеты в Fedora-репозитории также могут включать патчи, доступные только для RPM-пакетов в Fedora и пока не принятые в основную кодовую базу проектов.
Предложение Майкла сводится к включению по умолчанию в атомарной редакции Fedora Workstation поддержки установки пакетов из FlatHub, находящихся в категории "свободное ПО". Возможность установки из FlatHub коснётся только пакетов, устанавливаемых пользователями через менеджер приложений GNOME Software. Все предустанавливаемые по умолчанию flatpak-пакеты продолжат загружаться из собственного репозитория Fedora, но для не применяемых по умолчанию пакетов в качестве источника для загрузки предлагается задействовать FlatHub.
Перед переходом на FlatHub предлагается совместно внедрить во FlatHub возможности для сборки пакетов в заслуживающей доверие инфраструктуре и задействовать проверки на базе воспроизводимых сборок. Кроме того, следует решить вопрос с применением в пакетах устаревших версий Flatpak Runtime, в которые уже прекращён перенос исправлений уязвимостей. В настоящее время 994 из 3438 (почти треть) проверенных пакетов из FlatHub используют Runtime, время поддержки которых истекло. Проблемы с безопасностью также возникают из-за устаревших внутренних зависимостей, включаемых в состав пакетов, и применения недостаточных мер sandbox-изоляции (разработчики некоторых пактов отключают режимы защиты). Проблемы предлагается решить через реализацию автоматизированных проверок устаревших runtime и зависимостей, и форсирование применения полноценной sandbox-изоляции.
Кроме Майкла, с похожим предложением также выступил Тимоти Равье (Timothée Ravier): в Fedora 43 предлагается
продолжить поставку предустановленных flatpak-пакетов из репозитория Fedora, но добавить фильтр, допускающий установку из FlatHub избранных проверенных приложений. В качестве достоинств предложенного решения называется снижение путаницы у пользователей и разработчиков основных проектов (разработчикам приходится разбирать сообщения ошибках, специфичных для Flatpak-пакетов Fedora, отправленных под видом, что они присутствуют в официальном flatpak-пакете). Изменение также снизит нагрузку на сопровождающих и позволит им сфокусироваться на передаче исправлений в основные проекты и тестировании предустаналиваемых по умолчанию Flatpak-пакетов.
Источник: https://www.opennet.ru/opennews/art.shtml?num=63617
Основные изменения в MySQL 9.4:
charset
clear
connect
edit
ego
exit
go
help
nopager
notee
nowarning
pager
print
prompt
query_attributes
quit
rehash
resetconnection
ssl_session_data_print
source
status
system
tee
\u
warnings
Источник: https://www.opennet.ru/opennews/art.shtml?num=63616
Основные новшества в Firefox 141:
Кроме новшеств и исправления ошибок в Firefox 141 устранено 27 уязвимостей. 13 уязвимостей вызваны проблемами работы с памятью, такими как переполнения буферов и обращение к уже освобождённым областям памяти. Потенциально данные проблемы способны привести к выполнению кода злоумышленника при открытии специально оформленных страниц.
Источник: https://www.opennet.ru/opennews/art.shtml?num=63615
Google представил проект OSS Rebuild для выявления скрытых изменений в пакетах В настоящее время в OSS Rebuild реализована поддержка верификации пакетов из репозиториев NPM (JavaScript/TypeScript), PyPI (Python) и
Crates.io (Rust). В будущем число поддерживаемых репозиториев планируют расширить. На практике инструментарий позволяет выявлять варианты атаки класса "supply chain", в ходе которых после компрометации учётных записей сопровождающих или диверсии внутри проекта в репозитории публикуется вредоносное обновление. При этом код в исходном репозитории основного проекта остаётся корректным, а вредоносные изменения вносятся только в готовые пакеты.
Система по возможности автоматически формирует сценарий для воспроизводимой сборки выбранного пакета, используя эвристику и подбирая параметры, позволяющие добиться идентичности артефактов, поставляемых в пакете. Если автоматически не удаётся воспроизвести размещённый в репозитории пакет, возможно ручное добавление сборочной спецификации. После того как удалось воспроизвести пакет, инструментарий OSS Rebuild сохраняет описание процесса сборки для последующей проверки новых версий пакета. Дополнительно публикуется информация для верификации с использованием фреймворка SLSA.
После проведения проверки конкретной версии пакета формируются данные аттестации, которые могут использоваться другими для оценки уже верифицированных пакетов. Проверку можно осуществить через запуск утилиты командной строк или сверку хэша, сохранённого в отдельном облачном хранилище. Инфраструктуру для проверки пакетов можно развернуть на собственном сервере. Так же можно воспользоваться информацией о проверках, выполненяемых в Google для нескольких тысяч пакетов.
В качестве примеров разных методов атак, от которых мог бы защитить OSS Rebuild, приводится добавление бэкдора в XZ, внедрение вредоносного кода в официальный JavaScript-клиент для криптовалюты Solana и подстановка изменений через Actions-обработчик changed-files:
Источник: https://www.opennet.ru/opennews/art.shtml?num=63613
Доступна библиотека OpenAPV 0.2 с эталонной реализацией видеокодека APV Формат APV обеспечивают высокую пропускную способность и низкую сложность внутрикадрового кодирования, а также гарантирует отсутствие потерь в качестве при повторном кодировании. Поддерживаются разрешения 2K, 4K и 8K, стандарт HDR10/10+ для использования расширенного динамического диапазона в видео, разбивка кадров (tiling) для распараллеливания кодирования/декодирования, различные форматы дискретизации цвета, многоракурсное видео (multi-view), добавление метаданных (глубина, прозрачность, данные для предпросмотра). Для ускорения работы в библиотеке OpenAPV поддерживается многопоточное кодирование и декодирование, а также задействованы оптимизации с использованием расширенных наборов команд NEON (ARM) и SEE/AVX (x86).
В новой версии добавлена поддержка семейств APV (APV family), определяющих типовые конфигурации кодека, отвечающие определённым требованиям к размеру и битрейту. Учтены последние доработки спецификации. Добавлена поддержка профилей 422-12, 444-10, 444-12, 4444-10, 4444-12 и 400-10. Внесены оптимизации для сокращения времени кодирования и декодирования. Реализованы защищённые методы доступа к буферу битового потока (bitstream) и управления метаданными. Расширен API.
Источник: https://www.opennet.ru/opennews/art.shtml?num=63612
Фишинг позволил получить контроль над несколькими популярными NPM-пакетами Отправленное сопровождающим сообщение было стилизовано под типовые уведомления NPM, отправляемые с адреса "support@npmjs.org", но в качестве ссылки для перехода был указан домен "npnjs.com" вместо "npmjs.com" (третья буква "n" вместо "m"). Атакующие воспользовались психологическим эффектом, из-за которого мозг, предвосхищая ожидаемый результат, не замечает незначительные искажения, такие как замена букв на похожие или изменение порядка следования букв в слове. При переходе по ссылке открывалась полная копия сайта npmjs.com (вероятно был настроен прокси, перехватывающий токен доступа).
В ходе атаки были сформированы новые версии пакетов:
В сформированные выпуски был добавлен вредоносный код для атаки на пользователей, использующих платформу Windows. Внесённые изменения загружали библиотеку node-gyp.dll, содержащую функциональность для удалённого выполнения команд в системе.
Сопровождающий заметил, что стал жертвой фишинга примерно через час после поступления первой жалобы о публикации подозрительных релизов. Он сразу отозвал токен доступа, поменял пароли и пометил проблемные версии устаревшими для предотвращения загрузки автоматизированными сборочными системами и отправил запрос на удаление проблемных версий из репозитория в службу поддержки NPM.
Не уточняется сколько пользователей успело загрузить вредоносные версии (например, вредоносная версия пакета eslint-plugin-prettier оставалась в репозитории около двух дней). За прошлую неделю пакет eslint-config-prettier насчитывал 30 млн загрузок и использовался в качестве зависимости у 11762 тысячи пакетов, пакет eslint-plugin-prettier - 21 млн загрузок (8468 зависимых пакетов), synckit - 18 млн, @pkgr/core - 16 млн и napi-postinstall - 10 млн.
Источник: https://www.opennet.ru/opennews/art.shtml?num=63610
Впуск DXVK-Sarek 1.11.0, реализации Direct3D 8/9/10/11 для GPU без поддержки Vulkan 1.3 DXVK-Sarek продолжает использовать кодовую базу ветки DXVK 1.10.x (последняя ветка серии DXVK 1.x), в которую из новых выпусков DXVK переносятся изменения, связанные с поддержкой игр и исправлением ошибок. Параллельно проектом сопровождается ответвление Proton-Sarek, развивающее вариант пакета для запуска Windows-игр Proton (на базе GE-Proton 10 и Proton 10-beta) для устройств и систем без поддержки Vulkan 1.3.
Кроме того, автор DXVK-Sarek на днях выпустил релиз приложения volt-gui 1.0, предоставляющего графический интерфейс для настройки параметров графических драйверов, Mesa и ядра Linux с целью оптимизации работы игр в Linux. Например, предоставляются опции для выбора режима работы планировщика задач, управления использованием VSync, кэшированием шейдеров, включением различных оптимизаций и подменой выдаваемой информации о версиях OpenGL и Vulkan.
Дополнительно можно отметить принятие в кодовую базу Mesa, на основе которой формируется релиз 25.2, большой порции исправлений для старых GPU AMD Radeon HD 2000/3000/4000, предшествующих GPU HD 5000 семейства Evergreen. Одно из исправлений позволило наладить прохождение примерно 120 тестов из пакета Piglit, нацеленного на выявление регрессий в поддержке OpenGL.
Источник: https://www.opennet.ru/opennews/art.shtml?num=63608