nylig udgivelsen af den nye version af Flatpak 1.12 blev annonceret hvor der er foretaget nogle ændringer og forbedringer, hvoraf forbedringerne til Steam, rettelse af fejl og også understøttelse af TUI -applikationer skiller sig ud.
For dem, der ikke kender Flatpak, skal du vide, at dette gør det muligt for applikationsudviklere at forenkle distributionen af deres programmer der ikke er inkluderet i standardfordelingslagrene ved at forberede en universalbeholder uden at danne separate samlinger til hver distribution.
Til sikkerhedsbevidste brugere, Flatpak tillader en unøjagtig applikation at køre i en container ved kun at give adgang til brugerens netværksfunktioner og filer, der er knyttet til applikationen. For brugere, der er interesseret i nye produkter, giver Flatpak dem mulighed for at installere de nyeste stabile og prøveversioner af applikationer uden behov for systemændringer.
For at reducere pakkestørrelsen inkluderer den kun applikationsspecifikke afhængigheder, og de grundlæggende system- og grafikbiblioteker (GTK-, Qt-, GNOME- og KDE-biblioteker osv.) Er designet som pluggbare standard runtime-miljøer.
LDen vigtigste forskel mellem Flatpak og Snap er, at Snap bruger kernesystemmiljøkomponenternel og isolation baseret på systemopkaldsfiltrering, mens Flatpak opretter en separat beholder fra systemet og opererer med store runtime -sæt, giver ikke pakker som afhængigheder, men standard. Systemmiljøer (f.eks. Alle de biblioteker, der er nødvendige for at køre GNOME- eller KDE -programmer).
Ud over det typiske systemmiljø (runtime), der er installeret via et særligt lager, leveres der yderligere afhængigheder (pakke), der kræves for, at applikationen fungerer. Kort sagt udgør runtime og pakke containerpopulationen, selvom runtime installeres separat og slutter sig til flere containere på én gang, hvilket eliminerer behovet for at duplikere fælles systemfiler til containerne.
Vigtigste nye funktioner i Flatpak 1.12
I denne nye version forbedret styring af indlejrede sandkasser fremhævet bruges i en flatpak -pakke med en klient til spilleveringstjenesten Steam. I indlejrede sanboxer er det tilladt at oprette separate hierarkier for / usr og / app -mapper, som Steam bruger til at køre spil i en separat beholder med sin egen / usr -sektion, isoleret fra miljøet med Steam -klienten.
Også alle pakkeforekomster med det samme program -id deler mapperne / tmp og $ XDG_RUNTIME_DIR og eventuelt ved hjælp af "–allow = per-app-dev-shm" -flaget kan du aktivere brugen af det delte bibliotek / dev / shm.
Også i denne nye version forbedret understøttelse af tekstbrugergrænseflade (TUI) applikationer fremhævet ligesom gdb, plus en hurtigere implementering af kommandoen "ostree prune" er også blevet tilføjet til build-update-repo-værktøjet, der er optimeret til at arbejde med filtilstandslager.
På den anden side nævnes det sårbarheden CVE-2021-41133 blev rettet i implementeringen af portalmekanismen, relateret til ikke-blokering af nye systemopkald relateret til montering af partitioner i seccomp-regler. Sårbarheden tillod applikationen at oprette en indlejret sandkasse for at omgå de 'portal' -verifikationsmekanismer, der bruges til at give adgang til ressourcer uden for containeren.
Som følge heraf kunne en angriber omgå sandkassens isoleringsmekanisme udførelse af mount-relaterede systemopkald og få fuld adgang til indhold i værtsmiljøet. Sårbarheden kan kun udnyttes i pakker, der giver applikationer direkte adgang til AF_UNIX-sockets, f.eks. Dem, der bruges af Wayland, Pipewire og pipewire-pulse. Sårbarheden blev ikke fuldstændig rettet i version 1.12.0, så opdatering 1.12.1 blev frigivet i hot jagt.
Endelig hvis du er interesseret i at vide mere om det om denne nye version kan du kontrollere detaljerne I det følgende link.