Ostatnio ogłoszono wydanie nowej wersji Flatpak 1.12 w którym dokonano pewnych zmian i ulepszeń, z których wyróżniają się ulepszenia dla Steama, korekta błędów, a także wsparcie dla aplikacji TUI.
Dla tych, którzy nie znają Flatpak, powinniście wiedzieć, że to umożliwia twórcom aplikacji uproszczenie dystrybucji ich programów które nie są zawarte w standardowych repozytoriach dystrybucji, przygotowując uniwersalny kontener bez tworzenia oddzielnych zestawów dla każdej dystrybucji.
Dla użytkowników dbających o bezpieczeństwo, Flatpak pozwala na uruchomienie niedokładnej aplikacji w kontenerze poprzez zapewnienie dostępu tylko do funkcji sieciowych użytkownika i plików powiązanych z aplikacją. Użytkownikom zainteresowanym nowymi produktami Flatpak umożliwia zainstalowanie najnowszych stabilnych i próbnych wersji aplikacji bez konieczności wprowadzania zmian systemowych.
Aby zmniejszyć rozmiar pakietu, zawiera on tylko zależności specyficzne dla aplikacji, a podstawowe biblioteki systemowe i graficzne (biblioteki GTK, Qt, GNOME i KDE itp.) są zaprojektowane jako standardowe środowiska uruchomieniowe z możliwością podłączenia.
LKluczowa różnica między Flatpak a Snap polega na tym, że Snap wykorzystuje podstawowe komponenty środowiska systemowegol oraz izolacja oparta na filtrowaniu wywołań systemowych, podczas gdy Flatpak tworzy osobny kontener z systemu i działa z dużymi zestawami runtime, dostarczanie nie pakietów jako zależności, ale standardowe. Środowiska systemowe (na przykład wszystkie biblioteki potrzebne do uruchamiania programów GNOME lub KDE).
Oprócz typowego środowiska systemowego (runtime) instalowanego poprzez specjalne repozytorium, dostarczane są dodatkowe zależności (pakiety) wymagane do działania aplikacji. Krótko mówiąc, środowisko wykonawcze i pakiet tworzą populację kontenerów, mimo że środowisko wykonawcze jest instalowane oddzielnie i łączy wiele kontenerów jednocześnie, eliminując potrzebę duplikowania wspólnych plików systemowych do kontenerów.
Główne nowe funkcje Flatpak 1.12
W tej nowej wersji podświetlone ulepszone zarządzanie zagnieżdżonymi piaskownicami używany w pakiecie flatpak z klientem za usługę dostarczania gier Steam. W zagnieżdżonych sanboksach dozwolone jest tworzenie osobnych hierarchii katalogów /usr i /app, których Steam używa do uruchamiania gier w osobnym kontenerze z własną sekcją /usr, wyizolowaną od środowiska klientem Steam.
Ponadto wszystkie instancje pakietów z tym samym identyfikatorem aplikacji współdzielą katalogi /tmp i $XDG_RUNTIME_DIR i opcjonalnie, używając flagi „–allow = per-app-dev-shm”, możesz włączyć korzystanie z katalogu współdzielonego / dev / shm.
Również w tej nowej wersji rozszerzona obsługa aplikacji tekstowego interfejsu użytkownika (TUI) podświetlona podobnie jak gdb, plus szybsza implementacja polecenia „ostree prune” została również dodana do narzędzia build-update-repo, zoptymalizowanego do pracy z repozytoriami w trybie plików.
Z drugiej strony jest o tym mowa w implementacji mechanizmu portalu naprawiono lukę CVE-2021-41133, związane z nie blokowaniem nowych wywołań systemowych związanych z montowaniem partycji w regułach seccomp. Luka umożliwiła aplikacji utworzenie zagnieżdżonego sandboxa, aby ominąć mechanizmy weryfikacji „portalu” służące do zapewnienia dostępu do zasobów poza kontenerem.
W rezultacie atakujący może ominąć mechanizm izolacji piaskownicy wykonywanie wywołań systemowych związanych z montowaniem i uzyskaj pełny dostęp do treści w środowisku hosta. Luka może być wykorzystana tylko w pakietach, które dają aplikacjom bezpośredni dostęp do gniazd AF_UNIX, takich jak te używane przez Wayland, Pipewire i pipewire-pulse. Luka nie została w pełni naprawiona w wersji 1.12.0, dlatego w ramach pościgu została wydana aktualizacja 1.12.1.
W końcu jeśli chcesz dowiedzieć się więcej na ten temat o nowej wersji możesz sprawdzić szczegóły W poniższym linku.