مؤخرا تم الإعلان عن إصدار الإصدار الجديد من Flatpak 1.12 تم فيها إجراء بعض التغييرات والتحسينات ، من بينها تحسينات Steam وتصحيح الأخطاء ودعم تطبيقات TUI.
بالنسبة لأولئك الذين ليسوا على دراية بـ Flatpak ، يجب أن تعرف أن هذا يجعل من الممكن لمطوري التطبيقات تبسيط توزيع برامجهم التي لم يتم تضمينها في مستودعات التوزيع القياسية من خلال إعداد حاوية عالمية دون تكوين تجميعات منفصلة لكل توزيع.
للمستخدمين المهتمين بالأمن، يسمح Flatpak بتشغيل تطبيق غير دقيق في حاوية من خلال توفير الوصول فقط إلى وظائف شبكة المستخدم والملفات المرتبطة بالتطبيق. للمستخدمين المهتمين بالمنتجات الجديدة ، تسمح Flatpak لهم بتثبيت أحدث الإصدارات الثابتة والتجريبية من التطبيقات دون الحاجة إلى تغييرات النظام.
لتقليل حجم الحزمة ، فإنها تتضمن فقط التبعيات الخاصة بالتطبيقات ، وقد تم تصميم النظام الأساسي ومكتبات الرسومات (مكتبات GTK و Qt و GNOME و KDE ، وما إلى ذلك) كبيئات تشغيل قياسية قابلة للتوصيل.
Lيتمثل الاختلاف الرئيسي بين Flatpak و Snap في أن Snap يستخدم مكونات بيئة النظام الأساسيةl والعزلة على أساس تصفية مكالمات النظام ، بينما تنشئ Flatpak حاوية منفصلة عن النظام وتعمل بمجموعات وقت تشغيل كبيرة ، لا تقدم حزمًا على أنها تبعيات ، بل قياسية. بيئات النظام (على سبيل المثال ، جميع المكتبات اللازمة لتشغيل برامج جنوم أو كيدي).
بالإضافة إلى بيئة النظام النموذجية (وقت التشغيل) المثبتة من خلال مستودع خاص ، يتم توفير التبعيات الإضافية (الحزمة) المطلوبة لكي يعمل التطبيق. باختصار ، يشكل وقت التشغيل والحزمة مجتمع الحاوية ، على الرغم من تثبيت وقت التشغيل بشكل منفصل وضم عدة حاويات في وقت واحد ، مما يلغي الحاجة إلى نسخ ملفات النظام الشائعة إلى الحاويات.
الميزات الرئيسية الجديدة لـ Flatpak 1.12
في هذا الإصدار الجديد تمييز الإدارة المحسّنة لصناديق الحماية المتداخلة المستخدمة في حزمة flatpak مع العميل لخدمة توصيل اللعبة Steam. في Sanboxes المتداخلة ، يُسمح بإنشاء تسلسلات هرمية منفصلة لأدلة / usr و / app ، والتي يستخدمها Steam لتشغيل الألعاب في حاوية منفصلة بقسم / usr الخاص به ، معزولًا عن البيئة مع عميل Steam.
أيضا ، كل شيء تشارك مثيلات الحزمة التي لها نفس معرف التطبيق في الدلائل / tmp و $ XDG_RUNTIME_DIR وبشكل اختياري ، باستخدام علامة "–allow = per-app-dev-shm" ، يمكنك تمكين استخدام الدليل المشترك / dev / shm.
أيضا في هذا الإصدار الجديد إبراز الدعم المعزز لتطبيقات واجهة المستخدم النصية (TUI) مثل gdb ، بالإضافة إلى تنفيذ أسرع لأمر "ostree prune" تمت إضافته أيضًا إلى الأداة المساعدة build-update-repo ، المحسّن للعمل مع مستودعات وضع الملفات.
من ناحية أخرى ذكر ذلك تم إصلاح الثغرة الأمنية CVE-2021-41133 في تنفيذ آلية البوابة ، المتعلقة بعدم حظر مكالمات النظام الجديدة المتعلقة بتركيب الأقسام في قواعد seccomp. سمحت الثغرة الأمنية للتطبيق بإنشاء صندوق رمل متداخل لتجاوز آليات التحقق من "البوابة" المستخدمة لتوفير الوصول إلى الموارد خارج الحاوية.
نتيجة لذلك ، يمكن للمهاجم تجاوز آلية عزل آلية الحماية تنفيذ استدعاءات النظام المتعلقة بالحامل والحصول على حق الوصول الكامل إلى المحتوى في البيئة المضيفة. لا يمكن استغلال الثغرة الأمنية إلا في الحزم التي تمنح التطبيقات وصولاً مباشرًا إلى مآخذ AF_UNIX ، مثل تلك المستخدمة بواسطة Wayland و Pipewire و pipewire-pulse. لم يتم إصلاح الثغرة الأمنية بالكامل في الإصدار 1.12.0 ، لذلك تم إصدار التحديث 1.12.1 في المطاردة الساخنة.
أخيرا إذا كنت مهتمًا بمعرفة المزيد عنها حول هذا الإصدار الجديد ، يمكنك التحقق من التفاصيل في الرابط التالي.