fa poc es a donar a conèixer l'alliberament de la nova versió de Flatpak 1.12 en la qual s'han realitzat alguns canvis i millores de les quals es destaquen ara les millores per Steam, la correcció d'errors i també el suport per a aplicacions TUI.
Per als qui desconeixen de Flatpak, han de saber que aquest fa possible que els desenvolupadors d'aplicacions simplifiquin la distribució dels seus programes que no estan inclosos en els repositoris de distribució estàndard a l'preparar un contenidor universal sense formar acoblaments separats per a cada distribució.
Per als usuaris preocupats per la seguretat, Flatpak permet que una aplicació inexacta s'executi en un contenidor a l'proporcionar accés només a les funcions de xarxa de l'usuari i els arxius associats amb l'aplicació. Per als usuaris interessats en nous productes, Flatpak els permet instal·lar les últimes versions de prova i estables d'aplicacions sense la necessitat de realitzar canvis en el sistema.
Per reduir la mida de l'paquet, només inclou dependències específiques de l'aplicació, i el sistema bàsic i les biblioteques gràfiques (biblioteques GTK, Qt, GNOME i KDE, etc.) estan dissenyades com a entorns de temps d'execució estàndard connectables.
La diferència clau entre Flatpak i Snap és que Snap usa els components de l'entorn de sistema principali l'aïllament basat en el filtrat de trucades a sistema, mentre que Flatpak crea un contenidor separat de sistema i opera amb grans conjunts de temps d'execució, proporcionant no paquets com dependències, sinó estàndard. Entorns de sistema (per exemple, totes les biblioteques necessàries per a executar programes GNOME o KDE).
A més de l'entorn de sistema típic (temps d'execució) instal·lat a través d'un repositori especial, es proporcionen dependències addicionals (paquet) necessàries perquè l'aplicació funcioni. En resum, el temps d'execució i el paquet formen l'ompliment de l'contenidor, tot i que el temps d'execució s'instal·la per separat i s'uneix a diversos contenidors a la vegada, el que elimina la necessitat de duplicar arxius de sistema comuns a els contenidors.
Principals novetats de Flatpak 1.12
En aquesta nova versió es destaca la gestió millorada d'entorns sandbox niats utilitzats en un paquet flatpak amb un client per al servei de lliurament de jocs Steam. A les sanbox niades, es permet crear jerarquies separades dels directoris / usr i / app, que Steam utilitza per executar jocs en un contenidor separat amb la seva pròpia secció / usr, aïllat de l'entorn amb el client Steam.
A més, totes les instàncies de paquets amb el mateix ID d'aplicació comparteixen els directoris / tmp i $ XDG_RUNTIME_DIR i opcionalment, usant l'indicador «-allow = per-app-dev-shm», es pot habilitar l'ús de directori compartit / dev / shm.
També en aquesta nova versió es destaca el suport millorat per a aplicacions d'interfície d'usuari de text (TUI) com gdb, a més que també s'ha afegit una implementació més ràpida de la comanda «ostree prune» a la utilitat build-update-repo, optimitzada per treballar amb repositoris en mode d'arxiu.
D'altra banda s'esmenta que es va corregir la vulnerabilitat CVE-2021-41133 en la implementació de l'mecanisme de l'portal, relacionada amb la manca de bloqueig de noves crides a sistema relacionades amb el muntatge de particions en regles seccomp. La vulnerabilitat va permetre que l'aplicació creés una caixa de sorra imbricada per evitar els mecanismes de verificació de l' «portal» que s'utilitzen per proporcionar accés a recursos fora de l'contenidor.
Com a resultat, un atacant podria eludir el mecanisme d'aïllament de la zona de proves executant crides a sistema relacionades amb el muntatge i obtenir accés complet a el contingut de l'entorn de l'amfitrió. La vulnerabilitat només pot explotar-se en paquets que brinden a les aplicacions accés directe als sockets AF_Unix, com els utilitzats per Wayland, Pipewire i pipewire-premi. La vulnerabilitat no es va corregir per complet en la versió 1.12.0, de manera que l'actualització 1.12.1 es va llançar en persecució.
Finalment si estàs interessat en conèixer més a l'respecte sobre aquesta nova versió, pots consultar els detalls en el següent enllaç.