Nedávno bylo oznámeno vydání nové verze Flatpak 1.12 ve kterých byly provedeny některé změny a vylepšení, z nichž vyniká vylepšení pro Steam, oprava chyb a také podpora aplikací TUI.
Pro ty, kteří Flatpak neznají, byste měli vědět, že toto umožňuje vývojářům aplikací zjednodušit distribuci svých programů které nejsou zahrnuty ve standardních distribučních úložištích přípravou univerzálního kontejneru bez vytváření samostatných sestav pro každou distribuci.
Pro uživatele dbající na bezpečnost, Flatpak umožňuje spuštění nepřesné aplikace v kontejneru poskytováním přístupu pouze k síťovým funkcím a souborům uživatele přidruženým k aplikaci. Uživatelům, kteří mají zájem o nové produkty, umožňuje Flatpak nainstalovat nejnovější stabilní a zkušební verze aplikací bez nutnosti změn systému.
Aby se zmenšila velikost balíčku, obsahuje pouze závislosti specifické pro aplikaci a základní systémové a grafické knihovny (knihovny GTK, Qt, GNOME a KDE atd.) Jsou navrženy jako připojitelná standardní runtime prostředí.
LKlíčový rozdíl mezi Flatpak a Snap je v tom, že Snap používá základní součásti systémového prostředíl a izolace na základě filtrování systémových volání, zatímco Flatpak vytváří samostatný kontejner ze systému a pracuje s velkými běhovými sadami, neposkytující balíčky jako závislosti, ale standardní. Systémová prostředí (například všechny knihovny potřebné ke spouštění programů GNOME nebo KDE).
Kromě typického systémového prostředí (runtime) instalovaného prostřednictvím speciálního úložiště jsou k dispozici další závislosti (balíček) požadované pro fungování aplikace. Stručně řečeno, modul runtime a balíček tvoří populaci kontejnerů, přestože je modul runtime nainstalován samostatně a spojuje více kontejnerů najednou, což eliminuje potřebu duplikovat běžné systémové soubory do kontejnerů.
Hlavní nové funkce Flatpak 1.12
V této nové verzi zvýrazněna vylepšená správa vnořených sandboxů použitý v balíčku flatpak s klientem pro službu doručování her Steam. Ve vnořených sanboxech je povoleno vytvářet samostatné hierarchie adresářů / usr a / app, které Steam používá ke spouštění her v samostatném kontejneru s vlastní sekcí / usr, izolovanou od prostředí s klientem Steam.
Také všechny instance balíčků se stejným ID aplikace sdílejí adresáře / tmp a $ XDG_RUNTIME_DIR a volitelně můžete pomocí příznaku „–allow = per-app-dev-shm“ povolit použití sdíleného adresáře / dev / shm.
Také v této nové verzi zvýrazněna vylepšená podpora pro aplikace textového uživatelského rozhraní (TUI) jako gdb, plus rychlejší implementace příkazu „ostree prune“ byla také přidána do obslužného programu build-update-repo, optimalizovaného pro práci s úložišti režimů souborů.
Na druhé straně je uvedeno, že chyba zabezpečení CVE-2021-41133 byla opravena při implementaci portálového mechanismu, související s neblokováním nových systémových volání souvisejících s připojováním oddílů v pravidlech seccomp. Tato chyba zabezpečení umožnila aplikaci vytvořit vnořenou karanténu pro obejití mechanismů ověřování „portálu“ používaných k zajištění přístupu ke zdrojům mimo kontejner.
V důsledku toho by útočník mohl obejít mechanismus izolace izolovaného prostoru provádění systémových volání souvisejících s připojením a získat plný přístup k obsahu v hostitelském prostředí. Tuto chybu zabezpečení lze zneužít pouze v balíčcích, které dávají aplikacím přímý přístup k zásuvkám AF_UNIX, jako jsou ty, které používají Wayland, Pipewire a pipewire-pulse. Tato chyba zabezpečení nebyla ve verzi 1.12.0 plně vyřešena, takže aktualizace 1.12.1 byla vydána v plném proudu.
Konečně pokud máte zájem o tom vědět více o této nové verzi můžete zkontrolovat podrobnosti Na následujícím odkazu.