Система поддерживает как прямой обмен сообщениями между двумя людьми, так и проведение групповых обсуждений. Zulip можно сравнить с сервисом Slack и рассматривать как внутрикорпоративный аналог Twitter, применяемый для общения и обсуждений рабочих вопросов в больших группах сотрудников. Предоставляются средства для отслеживания состояния и участия одновременно в нескольких обсуждениях с использованием нитевидной модели отображения сообщений, которая является оптимальным компромиссом между привязкой к комнатам в Slack и единым публичным пространством Twitter. Одновременное нитевидное отображение всех обсуждений позволяет в одном месте охватить все группы, при этом сохранив логическое разделение между ними.

Из возможностей Zulip также можно отметить поддержку отправки сообщений пользователю в offline-режиме (сообщения будут доставлены после появления в online), сохранение полной истории обсуждений на сервере и средства для поиска в архиве, возможность отправки файлов в режиме Drag-and-drop, автоматическую подсветку синтаксиса для передаваемых в сообщениях блоков кода, встроенный язык разметки для быстрого оформления списков и форматирования текста, средства для групповой отправки уведомлений, возможность создания закрытых групп, интеграция с Trac, Nagios, Github, Jenkins, Git, Subversion, JIRA, Puppet, RSS, Twitter и другими сервисами, средства для привязки к сообщениям наглядных меток.

Основные новшества:

• Изменено оформление пользовательского интерфейса, в котором задействованы более крупные шрифты и заметные межстрочные отступы. Старый стиль оформления можно вернуть в разделе настроек, выбрав компактный режим. Предоставлена возможность скрытия боковых панелей, даже при работе в полноэкранном режиме. В правой панели реализовано наглядное выделение пользователей, присутствующих в текущем канале или в личном чате. Значительно ускорена загрузка тем и сообщений при открытии web-интерфейса или десктоп-приложения.
• Модернизировано оформление блока написания сообщений. Предоставлена возможность сохранения набранного текста в качестве черновика и перехода к написанию нового сообщения. При начале набора обеспечен показ недавно редактируемого черновика в текущем обсуждении. При вставке из буфера обмена реализовано сохранение стиля и форматирования текста (дополнительно имеется возможность вставки голого текста). Вставляемые ссылки на темы и сообщения теперь автоматически форматируются должным образом. Добавлена возможность выделения текста для ответа с цитированием части другого сообщения.
  
  
• Упрощена навигация. Предложены три режима компоновки списка обсуждений - "Комбинированная лента" (было "Все сообщения"), "Лента каналов" и "Лента личных сообщений". Упрощён непрерывный просмотр разных тем сообщений (в левой панели предоставлены ссылки для перехода к первому сообщению каждой темы). Обеспечено автоматическое переключение на обсуждение при отправке в него сообщения.
• Изменено оформление основной строки поиска, в которой реализовано отображения заданных поисковых фильтров. Добавлена возможность выборки всех сообщений с реакциями и быстрого просмотра выставленных реакций на сообщения пользователя. Также появилась возможность поиска только в отслеживаемых темах и непрочитанных сообщениях. Добавлена возможность показа в боковой панели только личных чатов или обсуждений с участием определённого пользователя.
• Изменено оформление всех меню. Предоставлена возможность переключения тем оформления через личное меню.
• Изменено оформление экрана с историей редактирования сообщений.
• Добавлены настройки для выбора метода предпросмотра анимированных изображений (можно отключить анимацию или показывать только при наведении курсора).
• Добавлена возможность отключения индикаторов набора текста другими пользователями.
• В интерфейсе администратора сервера предложена новая комбинированная панель управления пользователями, в которой также отображаются сведения об отключённых пользователях и отправленных приглашениях новым пользователям. В настройках помимо имён пользователей обеспечен показ аватаров. Добавлены новые настройки для определения прав на отправку прямых сообщений. Поля в профиле теперь могут помечаться обязательными к заполнению по желанию администратора. Расширены возможности управления каналами.
• Переработано приглашение, знакомящее новых пользователей с основными особенностями платформы.
• Задействована более привычная для мессенджеров терминология - потоки ("Streams") переименованы в каналы ("Channels").
• Предоставлена возможность автоматической отправки пользователям связанных с проектом анонсов, например, объявлений об изменениях в новых версиях. Подобные анонсы отправляются в тему "Zulip updates" в канале, выбранном администратором сервера.
• В сервер Zulip встроены средства для генерации миниатюр для ускорения предпросмотра загруженных изображений.
• Внесены оптимизации, повышающие масштабирование серверов в больших организациях, насчитывающих тысячи сотрудников.
• Добавлена поддержка развёртывания сервера Zulip в Ubuntu 24.04 и прекращена поддержка Ubuntu 20.04.
• Добавлены компоненты для интеграции с Patreon и GitHub Sponsors. Улучшена интеграция с GitHub и Grafana.

1. Главная ссылка к новости
2. OpenNews: Доступна платформа обмена сообщениями Zulip 8
3. OpenNews: Опубликован мессенджер Delta Chat 1.42, использующий email в качестве транспорта
4. OpenNews: Проект Revolt развивает открытую альтернативу платформе Discord
5. OpenNews: Первый выпуск коммуникационной платформы Fosscord, совместимой с Discord
6. OpenNews: Доступна система обмена сообщениями Mattermost 7.0

• Обновлены рекомендации по оформлению элементов пользовательского интерфейса KDE (HIG, Human Interface Guidelines), которые определяют общие шаблоны и правила оформления интерфейса приложений KDE, позволяющие разработчикам унифицировать внешний вид своих приложений с общим оформлением платформы KDE и добиться его гармоничного сочетания с другими приложениями. Руководство сосредоточено на использовании фреймворка Kirigami на базе Qt Quick, позволяющего создавать универсальные интерфейсы, пригодные как для десктопов, так и для мобильных устройств. Из наиболее заметных изменений выделяется расширение страницы с рекомендациями по выбору пиктограмм и их стилей.
• В KWin при выводе крупных окон, минимальный размер которых не вмещается по высоте, заголовок теперь не выходит за рамки видимой области, чтобы окно можно было переместить не прибегая к возможности перетаскивания за край с удержанием клавиши Alt, о которой знают не все пользователи.
• В эмулятор терминала Konsole добавлена кнопка для автоматического сохранения в отдельный файл всей информации, выводимой в терминал.
• В программу Info Center добавлена отдельная страница с информацией о памяти.
• Для дистрибутивов предоставлена возможность настройки набора рекомендованных приложений, показываемого по умолчанию в Kickoff, Kicker и Application Dashboard.
• В KRunner улучшено качество поиска информации, имеющейся на страницах конфигуратора.
• В интерфейс настройки графических планшетов добавлено предупреждение, показываемое если планшет не поддерживает смену ориентации экрана.
• Повышена производительность эффекта затухания на экране завершения работы, который теперь также учитывает настройки скорости анимации.
• В боковой панели Places (Точки входа) файлового менеджера, а также в диалогах сохранения и открытия файлов, при сборке с Qt 6.8 добавлено отображение всплывающих подсказок с дополнительной информацией.
• В окружениях на базе Wayland добавлена опция для отключения механизма "sticky keys" при удержании двух клавиш. Механизм "sticky keys" позволяет людям c нарушением мелкой моторики пальцев рук пользоваться клавиатурными комбинациями, требующими одновременного нажатия нескольких клавиш (нажатие клавиши-модификатора запоминается и применяется к следующей клавише).
• В менеджер приложений Discover добавлена встроенная возможность установки и обновления пакетов для дистрибутива PostmarketOS.
• С целью повышения безопасности KAuth переведён на использование файловых дексрипторов вместо файловых путей при организации доступа к привилегированным операциям в конфигураторе.

1. Главная ссылка к новости
2. OpenNews: В KDE устранены крахи и улучшена поддержка Wayland
3. OpenNews: В KDE решены проблемы с производительностью KWin на старом оборудовании
4. OpenNews: Релиз среды рабочего стола KDE Plasma 6.1
5. OpenNews: Новые рекомендации по оформлению интерфейса приложений KDE
6. OpenNews: В KDE повышена эффективность кэширования и включено ускорение отрисовки курсора на системах с GPU Intel

Методы работы с памятью в Rust избавляют разработчика от ошибок при манипулировании указателями и защищают от проблем, возникающих из-за низкоуровневой работы с памятью, таких как обращение к области памяти после её освобождения, разыменование нулевых указателей, выход за границы буфера и т.п. Для распространения библиотек, обеспечения сборки и управления зависимостями проектом развивается пакетный менеджер Cargo. Для размещения библиотек поддерживается репозиторий crates.io.

Безопасная работа с памятью обеспечивается в Rust во время компиляции через проверку ссылок, отслеживание владения объектами, учёт времени жизни объектов (области видимости) и оценку корректности доступа к памяти во время выполнения кода. Rust также предоставляет средства для защиты от целочисленных переполнений, требует обязательной инициализации значений переменных перед использованием, лучше обрабатывает ошибки в стандартной библиотеке, применяет концепцию неизменяемости (immutable) ссылок и переменных по умолчанию, предлагает сильную статическую типизацию для минимизации логических ошибок.

Основные новшества:

• Добавлены структуры LazyCell и LazyLock, позволяющие отложить инициализацию данных до первого доступа (вызов функции инициализации осуществляется при попытке доступа к значению). LazyLock отличается от LazyCell поддержкой средств синхронизации для использования в многопоточном коде.

  
     use std::sync::LazyLock;
     use std::time::Instant;
  
     static LAZY_TIME: LazyLock<Instant> = LazyLock::new(Instant::now);
  
     fn main() {
         let start = Instant::now();
         std::thread::scope(|s| {
             s.spawn(|| {
                 println!("Thread lazy time is {:?}", LAZY_TIME.duration_since(start));
             });
             println!("Main lazy time is {:?}", LAZY_TIME.duration_since(start));
         });
     }
  

• В компиляторе rustc стабилизирована опция "--check-cfg", которая задействована в пакетном менеджере для проверки всех имён и значений, задаваемых через cfg, включая имена из Cargo.toml.

  
     fn main() {
         println!("Hello, world!");
  
         #[cfg(feature = "crayon")]
         rayon::join(
             || println!("Hello, Thing One!"),
             || println!("Hello, Thing Two!"),
         );
     }
  
     warning: unexpected `cfg` condition value: `crayon`
      --> src/main.rs:4:11
       |
     4 |     #[cfg(feature = "crayon")]
       |           ^^^^^^^^^^--------
       |                     |
       |                     help: there is a expected value with a similar name: `"rayon"`
  

• В шаблонах разрешено указание диапазонов в форматах "a..b" и "..b", которые аналогичны использованию выражений Range и RangeTo.

  
     pub fn size_prefix(n: u32) -> &'static str {
         const K: u32 = 10u32.pow(3);
         const M: u32 = 10u32.pow(6);
         const G: u32 = 10u32.pow(9);
         match n {
             ..K => "",
             K..M => "k",
             M..G => "M",
             G.. => "G",
         }
  }
  

• В разряд стабильных переведена новая порция API, в том числе стабилизированы методы и реализации типажей:
  • impl Default for Rc<CStr>
  • impl Default for Rc<str>
  • impl Default for Rc<[T]>
  • impl Default for Arc<str>
  • impl Default for Arc<CStr>
  • impl Default for Arc<[T]>
  • impl IntoIterator for Box<[T]>
  • impl FromIterator for Box<str>
  • impl FromIterator<char> for Box<str>
  • LazyCell
  • LazyLock
  • Duration::div_duration_f32
  • Duration::div_duration_f64
  • Option::take_if
  • Seek::seek_relative
  • BinaryHeap::as_slice
  • NonNull::offset
  • NonNull::byte_offset
  • NonNull::add
  • NonNull::byte_add
  • NonNull::sub
  • NonNull::byte_sub
  • NonNull::offset_from
  • NonNull::byte_offset_from
  • NonNull::read
  • NonNull::read_volatile
  • NonNull::read_unaligned
  • NonNull::write
  • NonNull::write_volatile
  • NonNull::write_unaligned
  • NonNull::write_bytes
  • NonNull::copy_to
  • NonNull::copy_to_nonoverlapping
  • NonNull::copy_from
  • NonNull::copy_from_nonoverlapping
  • NonNull::replace
  • NonNull::swap
  • NonNull::drop_in_place
  • NonNull::align_offset
  • <[T]>::split_at_checked
  • <[T]>::split_at_mut_checked
  • str::split_at_checked
  • str::split_at_mut_checked
  • str::trim_ascii
  • str::trim_ascii_start
  • str::trim_ascii_end
  • <[u8]>::trim_ascii
  • <[u8]>::trim_ascii_start
  • <[u8]>::trim_ascii_end
  • Ipv4Addr::BITS
  • Ipv4Addr::to_bits
  • Ipv4Addr::from_bits
  • Ipv6Addr::BITS
  • Ipv6Addr::to_bits
  • Ipv6Addr::from_bits
  • Vec::<[T; N]>::into_flattened
  • <[[ T; N]]>::as_flattened
  • <[[ T; N]]>::as_flattened_mut
• Признак "const", определяющий возможность использования в любом контексте вместо констант, применён в функциях:
  • <[T]>::last_chunk
  • BinaryHeap::new
• Реализован третий уровень поддержки для платформы x86_64-unknown-linux-none. Третий уровень подразумевает базовую поддержку, но без автоматизированного тестирования, публикации официальных сборок и проверки возможности сборки кода.

1. Главная ссылка к новости
2. OpenNews: Выпуск Rust 1.79. Создан консорциум для разработки высоконадёжных систем на Rust
3. OpenNews: В каждом пятом пакете на языке Rust используется ключевое слово unsafe
4. OpenNews: Выпуск Rust 1.78. Язык Borgo, сочетающий сильные стороны Go и Rust
5. OpenNews: Движок Servo прошёл тесты Acid2. Сrash Reporter в Firefox переписан на Rust

В параметрах ключа указывалось, что он не заслуживает доверия и его не следует поставлять в своих продуктах. Подразумевалось, что данный тестовый ключ следует заменить на собственный, но производители не обратили внимание на предупреждение и использовали в итоговых прошивках типовой общий ключ, отправляемый всем партнёрам и клиентам компании AMI.

Закрытая часть тестового ключа AMI, необходимая для создания цифровых подписей, оказалась доступна публично после утечки информации у одного из производителей оборудования, сотрудник которого по ошибке разместил в публичном репозитории на GitHub код, содержащий данный ключ. Закрытый ключ был размещён в зашифрованном файле, при шифровании которого использовался простой 4-символьный пароль, который удалось легко подобрать методом перебора.

Ключ платформы используется в качестве корня доверия для заверения БД с ключами для Secure Boot. Получение закрытой части ключа платформы приводит к компрометации всей цепочки доверия, задействованной при проверке валидности компонентов загружаемой системы - зная ключ платформы можно обойти защиту Secure Boot и организовать подстановку при загрузке собственных компонентов через манипуляцию ключом KEK (Key Exchange Key) и базами данных "db" (Signature Database) и "dbx" (Forbidden Signature Database). KEK отвечает за создание цепочки доверия между прошивкой и операционной системой, "db" содержит сертификаты и подписи для загрузчика и сторонних компонентов UEFI, а "dbx" включает отозванные подписи известных вредоносных компонентов.

Для совершения атаки достаточно сгенерировать новые ключи и сертификаты для KEK и db, после чего использовать попавший в открытый доступ тестовый ключ платформы для загрузки в UEFI-прошивку созданного KEK-сертификата. Загрузив в прошивку KEK-сертификат, можно использовать связанный с ним закрытый ключ для загрузки в БД db нового сертификата. После загрузки сертификата db, связанный с ним закрытый ключ может применяться для заверения загружаемых EFI-компонентов.

   openssl req -newkey rsa:4096 -nodes -keyout KEK.key -new -x509 -sha256 -days 3650 -subj "/CN=BRLY KEK/" -out KEK.crt
   openssl req -newkey rsa:4096 -nodes -keyout db.key -new -x509 -sha256 -days 3650 -subj "/CN=BRLY db/" -out db.crt

   efi-updatevar -a -c KEK.crt -k PK.key KEK
   efi-updatevar -a -c db.crt -k KEK.key db
   sbsign --key db.key --cert db.crt --output rogue.efi.signed rogue.efi

Для проверки корректности ключа платформы достаточно запустить утилиту "efi-readvar -v PK" из пакета efitools и убедиться, что ключ платформы не является тестовым:

   efi-readvar -v PK

   Variable PK, length 862
   PK: List 0, type X509
       Signature 0, size 834, owner 26dc4851-195f-4ae1-9a19-fbf883bbb35e
           Subject:
               CN=DO NOT TRUST - AMI Test PK
           Issuer:
               CN=DO NOT TRUST - AMI Test PK

1. Главная ссылка к новости
2. OpenNews: 67% публичных серверов Apache Superset используют ключ доступа из примера настроек
3. OpenNews: PixieFAIL - уязвимости в сетевом стеке прошивок UEFI, применяемом для PXE-загрузки
4. OpenNews: LogoFAIL - атака на UEFI-прошивки через подстановку вредоносных логотипов
5. OpenNews: Уязвимость в UEFI-прошивках Phoenix, затрагивающая многие устройства с CPU Intel
6. OpenNews: Прошивка IVI-системы Hyundai оказалась заверена ключом из руководства по OpenSSL

Основные изменения:

• Модернизирован графический интерфейс. Предоставлена возможность выбора между режимами для обычных и продвинутых пользователей - в режиме для обычных пользователей часть расширенных функций интерфейса скрыта. GUI переведён на новую версию библиотеки Qt.
• Добавлен новый движок для трансляции адресов (NAT), поддерживающий IPv6.
• В дополнениях для гостевых систем и хостов на базе Linux реализована возможность использования совместного буфера обмена в графических окружениях на базе протокола Wayland.
• Повышена производительность создания скринкастов.
• Для EFI добавлены новые сертификаты Microsoft DB/KEX, применяемые в новых виртуальных машинах.
• В компонентах для интеграции с OCI (Oracle Cloud Infrastructure) реализованы функции для клонирования и сброса экземпляров виртуальных машин. В информационную панель добавлены данные о потреблении ресурсов локальными виртуальными машинами.
• В VRDE (Virtual Remote Desktop Extension), расширении для удалённого подключения к виртуальной машине с использованием протокола RDP, реализовано применение и поддержание в актуальном виде самоподписанных сертификатов для TLS, если пользователь явно не добавил собственный сертификат.
• В хост окружениях с macOS, развёрнутых на системах с процессорами на базе архитектуры ARM, обеспечено использование доступных в ARM расширений для виртуализации при запуске виртуальных машин с Linux и BSD-системами.

1. Главная ссылка к новости
2. OpenNews: Обновление VirtualBox 7.0.20
3. OpenNews: Релиз системы виртуализации VirtualBox 7.0
4. OpenNews: Релиз системы виртуализации VirtualBox 6.0
5. OpenNews: Релиз системы виртуализации VirtualBox 6.1

Базовая начинка дистрибутива основывается на коде FreeBSD. Среди возможностей OPNsense можно выделить полностью открытый сборочный инструментарий, возможность установки в форме пакетов поверх обычного FreeBSD, средства балансировки нагрузки, web-интерфейс для организации подключения пользователей к сети (Captive portal), наличие механизмов отслеживанием состояний соединений (stateful firewall на основе pf), задание ограничений пропускной способности, фильтрация трафика, создание VPN на базе IPsec, OpenVPN и PPTP, интеграция с LDAP и RADIUS, поддержка DDNS (Dynamic DNS), система наглядных отчётов и графиков.

В дистрибутиве предоставляются средства создания отказоустойчивых конфигураций, основанных на использовании протокола CARP и позволяющих запустить помимо основного межсетевого экрана запасной узел, который будет автоматически синхронизирован на уровне конфигурации и примет на себя нагрузку в случае сбоя первичного узла. Для администратора предлагается современный и простой интерфейс для настройки межсетевого экрана, построенный с использованием web-фреймворка Bootstrap и Phalcon MVC.

Среди изменений:

• Осуществлён переход на кодовую базу FreeBSD 14.1 (ранее использовался код FreeBSD 13.2).
• Предложена новая реализация информационной страницы (dashboard), примечательная современным оформлением и переходом на новый формат виджетов (поддержка старых виджетов прекращена).
• Значительно ускорена установка соединений в VPN на базе WireGuard. Добавлена поддержка генерации QR-кодов для быстрой настройки мобильных клиентов.
• Для OpenVPN реализована поддержка механизма DCO (Data Channel Offload) для выноса операций шифрования, обработки пакетов и управления каналом связи на сторону модуля, работающего на уровне ядра. DCO избавляет от накладных расходов, связанных с переключением контекста, оптимизирует работу за счёт прямого обращения к внутренним API ядра и исключает медленную передачу данных между ядром и пространством пользователя (шифрование, расшифровка и маршрутизация выполняется модулем без отправки трафика в обработчик в пространстве пользователя).
• Интерфейсы для управления туннелями GIF и GRE, а также настройки цепочки доверия, отказоустойчивости и прямой трансляции адресов (NAT "1-в-1") переведены на использование MVC-фреймворка. Добавлены Web API для автоматизации управления сетевой конфигурацией.
• Расширена поддержка DHCPv6.
• Добавлена поддержка динамического создания туннелей IPsec VTI (Virtual Tunnel Interface).
• Обновлены версии Python 3.11, hostapd 2.11, libpfctl 0.12, phalcon 5.8.0, openvpn 2.6.12, wpa_supplicant 2.11.
• Обновлены плагины: os-acme-client 4.4, os-caddy 1.6.1, os-dec-hw 1.1, os-etpro-telemetry 1.7, os-freeradius 1.29.4, os-nginx 1.34, os-theme-cicada 1.37 и os-theme-vicuna 1.47.

1. Главная ссылка к новости
2. OpenNews: Выпуск дистрибутива для создания межсетевых экранов OPNsense 24.1
3. OpenNews: Релиз дистрибутива для создания межсетевых экранов pfSense 2.7.1
4. OpenNews: Релизы дистрибутивов для создания межсетевых экранов IPFire 2.29 Core 186 и NethSecurity 8.0

Multipass самостоятельно извлекает необходимый образ операционной системы и поддерживает его в актуальном состоянии. Для настройки может применяться cloud-init. Предусмотрена возможность как монтирования дисковых разделов в виртуальное окружение (команда "multipass mount"), так и передачи отдельных файлов между хост-системой и виртуальной машиной (команда "multipass transfer"). Поддерживается полная интеграция установленной виртуальной машины с основным рабочим столом (добавляются пиктограммы приложений, системное меню и уведомления).

Основные изменения:

• Добавлен графический интерфейс для взаимодействия с сервисами multipass, упрощающий управление виртуальными машинами.
• Реализована возможность добавления внешнего сетевого моста к существующему экземпляру виртуальной машины.
• Добавлена опция для принудительного завершения экземпляров виртуальной машины: "multipass stop --force <instance-name>".
• Для бэкенда VirtualBox добавлена поддержка снапшотов, которые ранее были доступны только для QEMU и Hyper-V.
• Добавлены дополнительные ограничения при монтировании каталогов из хост-окружения в гостевые системы. Реализована защита от пересечения идентификаторов пользователей при монтировании.
• Размер snap-пакета сокращён на 48% (c 122MB до 64MB).
• При сборке vcpkg вместо gRPC задействована библиотека POCO.

1. Главная ссылка к новости
2. OpenNews: Выпуск Kata Containers 3.4 с изоляцией на основе виртуализации
3. OpenNews: Для Xen развивается механизм паравиртуализации IOMMU
4. OpenNews: Релиз Proxmox VE 8.0, дистрибутива для организации работы виртуальных серверов
5. OpenNews: Опубликован MyBee 13.1.0, дистрибутив FreeBSD для организации работы виртуальных машин

Дистрибутив предназначен для установки как на новое оборудование, так и на уже использующиеся серверы, как внутри, так и вне инфраструктуры Selectel. В настоящее время сборки доступны только для процессоров с архитектурой x86, но в дальнейшем планируется добавить поддержку и других аппаратных архитектур. В ходе тестирования Selectel планирует отработать процесс миграции пользователей на новый дистрибутив, чтобы подготовить продукт к коммерческому запуску, который планируют провести до конца 2024 года.

В ходе бета-тестирования предлагается оценить работу пакетов для систем виртуализации (KVM, QEMU, libvirt), веб-серверов (Apache httpd и nginx), LDAP, мониторинга (Zabbix, Prometheus), СУБД (MariaDB, PostgreSQL, MongoDB), резервного копирования (Bacula) и работы с контейнерами (Kubernetes, Docker). Обеспечена интеграция с облачными сервисами Selectel и объектным хранилищем S3. Из особенностей продукта отмечается гарантируемая Selectel поддержка по SLA.

1. Главная ссылка к новости
2. OpenNews: Опубликована одиннадцатая платформа ALT
3. OpenNews: Вышел дистрибутив Calculate Linux 23
4. OpenNews: Прототип отечественной ОС Phantom на базе Genode будет готов до конца года
5. OpenNews: Доступен защищённый российский дистрибутив Astra Linux Special Edition 1.7
6. OpenNews: Выпуск дистрибутива ROSA Fresh 12.5

Основные изменения в Linux Mint 22:

• Пользовательское окружение Cinnamon обновлено до выпуска 6.2, обзор изменений в котором был предложен в отдельном анонсе.
• Для файлового менеджера Nemo предложен инструмент "Layout Editor", позволяющий на свой вкус настроить размещение действий в меню. Поддерживается создание вложенных подменю, привязка или переопределение пиктограмм, использование разделителей, переименование элементов и компоновка в режиме drag&drop. "Действия" представляют собой дополнения к файловому менеджеру Nemo, позволяющие подключить обработчики, вызываемые через контекстное меню и загружаемые по аналогии с апплетами и темами оформления.
• Оптимизирована установка языковых пакетов. После завершения установки обеспечено удаление лишних языковых пакетов для высвобождения занимаемого не используемыми языковыми пакетами дискового пространства. После завершения установки оставляются только пакеты для английского и дополнительно выбранного языка. В установочном iso-образе поставляются языковые пакеты только для 8 языков, включая английский и русский, а пакеты для остальных языков при необходимости загружаются динамически при наличии сетевого соединения на стадии установки.
• Осуществлён переход на пакетную базу Ubuntu 24.04 и ядро Linux 6.8. Настройки активных репозиториев переведены на использование формата deb822, поддержка которого добавлена в графический интерфейс управления пакетами Software Sources.
• По умолчанию задействован звуковой сервер Pipewire.
• В темах оформления обеспечена поддержка GTK4.
• Из-за перевода некоторых штатных GNOME-приложений на libAdwaita и прекращения поддержки системной темы Mint, приложения Celluloid, GNOME Calculator, Simple Scan, Baobab, System Monitor, GNOME Calendar, File Roller и Zenity заменены в Linux Mint 22 на более ранние версии, использующие GTK3, а приложение GNOME Font Viewer удалено из дистрибутива.
• Добавлено XApp-приложение "GNOME Online Accounts GTK", представляющее интерфейс для управления подключением к облачным сервисам, таким как Google Drive, и получения доступа к сохранённым там данным. В отличие от штатного GNOME Online Account новое приложение доступно в вариантах для GTK4 и GTK3 (используются разные версии библиотеки libgoa), а также адаптировано для работы в различных дистрибутивах и пользовательских окружениях, например, работоспособно не только в GNOME, но и в Cinnamon, Budgie, Unity, MATE и Xfce.
• В интерфейсе установки программ Software Manager по умолчанию скрыты Flatpak-пакеты, не верифицированные в каталоге FlatHub, т.е. формируемые сторонними энтузиастами (например, пакет Chrome во FlatHub формирует неизвестный под ником refi64). В настоящее время во FlatHub примерно 42% пакетов помечены как верифицированные, т.е. публикуемые основными проектами или лицами, связанными с ними. Показ неверифицированных пакетов можно вернуть в настройках, но они будут явно помечены как не заслуживающие доверия и иметь нулевой рейтинг.

  Из изменений в Software Manager также отмечается значительное сокращение времени запуска - основной экран со списком категорий рекомендованных приложений теперь появляется почти мгновенно. Кроме того, в приложении улучшено выполнение в многопоточном режиме, добавлена новая страница с настройками и реализована возможность показа слайдшоу в области баннера.

  
• После сворачивания разработки IRC-клиента Hexchat проект перешёл на использование сети Matrix, для работы с которой в состав добавлен Matrix-клиент Element, реализованный в виде самодостаточного web-приложения.
• Сохранена поставка классического deb-пакета с почтовым клиентом Thunderbird, который в Ubuntu 24.04 был заменён на snap-пакет.
• В менеджер фотографий Pix и инструментарий для генерации миниатюр добавлена поддержка формата JPEG XL.
• В репозиторий добавлен новый генератор миниатюр xapp-thumbnailer-gimp для формата изображений, используемого в GIMP.
• Все приложения, использующие библиотеку libsoup2 для работы с протоколом HTTP, переведены на ветку libsoup3.
• В загрузочной заставке Plymouth и экране входа в систему Slick-Greeter улучшена поддержка экранов с высокой плотностью пикселей (HiDPI).
• В приложении для ведения заметок Stick предоставлена возможность настройки позиции по умолчанию при создании новой заметки. Добавлена возможность создания заметки из командной строки.
• В текстовый редактор Xed в меню Edit добавлена кнопка "Duplicate" и комбинация клавиш Ctrl+Shift+D для дублирования выделенного текста. В настройки добавлена опция, определяющая выходить или нет из программы при закрытии последней вкладки.
• В секции со списком недавно открытых файлов число элементов увеличено с 5 до 10.
• В программе для резервного копирования Timeshift реализован запрос подтверждения операции при попытке удаления снапшота.
• В web-приложениях, создаваемых через WebApp Manager и запускаемых в Firefox, реализовано адаптивное отображение меню и панели инструментов, которые скрыты по умолчанию, но становятся видимыми при открытии вкладки.
• В Xfce предоставлена возможность настройки размера символьных и цветных пиктограмм в системном лотке
• В ISO-образе реализована совместимость с FAT32 в режиме FST (File System Transposition).

1. Главная ссылка к новости
2. OpenNews: Релиз дистрибутива Linux Mint 21.3
3. OpenNews: Linux Mint развивает новое приложение для чата после сворачивания IRC-клиента HexChat
4. OpenNews: Выпуск дистрибутива Linux Mint Debian Edition 6
5. OpenNews: Релиз дистрибутива Linux Mint 21
6. OpenNews: Релиз дистрибутива Ubuntu 24.04 LTS

Для трансляции задействован компилятор SWC (Speedy Web Compiler), написанный на языке Rust. Для того, чтобы не добавлять дополнительные зависимости к Node.js, задействовано представление компилятора swc/wasm-typescript, поставляемое в промежуточном коде WebAssembly и уже применяемое для тех же целей в платформе Deno. Изменение добавлено в ответ на многочисленные просьбы пользователей реализовать возможность запуска кода на TypeScript без установки внешних загрузчиков и дополнительных зависимостей. В конкурирующих платформах Deno и Bun поддержка TypeScript была реализована изначально.

Ключевым отличием TypeScript от JavaScript является явное определение типов. Статическая типизация позволяет избежать многих ошибок в процессе разработки, даёт возможность задействовать дополнительные техники оптимизации, упрощает отладку и делает код более читаемым и простым для доработки и поддержки сторонними разработчиками. В добавленной в Node.js реализации данные возможности TypeScript теряются, так как в процессе трансляции исходных текстов в JavaScript проверка типов не осуществляется.

1. Главная ссылка к новости
2. OpenNews: Доступна JavaScript-платформа Node.js 22.0.0
3. OpenNews: Доступна серверная JavaScript-платформа Bun 1.0, более быстрая, чем Deno и Node.js
4. OpenNews: Фреймворк Turbo прекращает использование языка TypeScript
5. OpenNews: Доступен язык TypeScript 2.0, продвигаемый Microsoft в качестве дополнения к JavaScript
6. OpenNews: Автор Node.js представил защищённую JavaScript-платформу Deno 1.0

Регистрация и приём работ осуществляется до 15 августа 2024 года. К участию приглашаются педагоги и сотрудники учреждений высшего образования, среднего профессионального образования и дополнительного профессионального образования. Возможно как индивидуальное участие, так и формирование команд единомышленников  для совместной разработки проекта.

Жюри конкурса:

• Владимир Рубанов, член Правления ИТ-ассоциаций АПКИТ и РУССОФТ;
• Егор Бугаенко, директор лаборатории создания инструментов разработки ПО, основатель Zerocracy, автор книги «Элегантные объекты»;
• Сергей Шалашный, учредитель АНО Центр развития инновационных технологий «ИТ-Планета»;
• Александр Белоцерковский, директор по технологическому евангелизму, GitVerse;
• Андрей Баженов, директор по разработке системного ПО, СберТех;
• Дмитрий Варенов, технический лидер сообщества OpenScaler.

1. Главная ссылка к новости
2. OpenNews: СберТех запустил платформу совместной разработки GitVerse и AI-ассистент GigaCode
3. OpenNews: СберТех и ИТ-Планета проводят конкурс программирования для Linux-дистрибутива OpenScaler
4. OpenNews: Huawei опубликовал новый Linux-дистрибутив openEuler
5. OpenNews: Выпуск Linux-дистрибутива openEuler 20.03, развиваемого компанией Huawei
6. OpenNews: Компания Huawei передала дистрибутив openEuler некоммерческой организации Open Atom

Возможность доступа к коммитам по хэшу во всех связанных форками репозиториях вызвано тем, что GitHub в целях оптимизации и исключения дубликатов хранит вместе все объекты из основного репозитория и форков, лишь логически разделяя принадлежность коммитов. Подобное хранение позволяет просмотреть в основном репозитории любой коммит из любого форка, явно указав его хэш в URL. Например, пользователь может создать форк репозитория "/torvalds/linux" и добавить в него любой код, после чего этот код станет доступен по прямой хэш-ссылке в репозитории "/torvalds/linux". В случае удаления репозитория, если имеется хотя бы один публичных форк, данные из удалённого репозитория остаются доступны по хэшу коммита.

Предлагается три сценария, представляющих угрозу безопасности:

• Первый сценарий затрагивает ситуации, когда разработчики создают форки публичных репозиториев, добавляют в них изменения, экспериментируют, а затем удаляют. Помимо утечки кода, который не предназначен для публикации, опасность представляет ситуация, когда в экспериментах в код файлов с примерами добавляются рабочие ключи доступа к API. В этом случае атакующий может получить доступ к изменению по хэшу коммита, адресуемому после удаления форка через основной репозиторий. Например, предложенным способом исследователи смогли определить 30 рабочих ключей доступа к API, изучив три связанных с машинным обучением репозитория с большим числом форков.
• Второй сценарий касается возможности получения доступа к данным после удаления первичного репозитория, если для этого репозитория были созданы форки. В качестве примера приводится случай, когда в публичном репозитории одной компании были случайно опубликованы закрытые ключи одного из сотрудников, позволяющие получить полный доступ ко всем репозиториям данной компании на GitHub. Компания удалила репозиторий через который была утечка, но ключи по-прежнему остались доступны для извлечения через обращения по хэшу коммита в репозиториях с форками.
  
  
• Третий сценарий связан с моделью разработки проектов, которые развивают базовую открытую версию в публичном репозитории и расширенную проприетарную версию в приватном. Если компания изначально развивала проект в приватном репозитории, а затем после открытия кода проекта перевела его в разряд публичных, но продолжила разработку закрытой внутренней или расширенной версии в приватном форке, имеется возможность доступа к добавленным в приватный форк изменениям по хэшам коммитов через публичный репозиторий. При этом доступ возможен только к изменениям, добавленным в приватный форк до перевода основного репозитория в разряд публичных (хранилища приватных и публичных репозиториев разделяются, но, когда два репозитория были приватными, коммиты хранились совместно, поэтому остались в репозитории после его перевода в разряд публичных).

Трюк, позволяющий получить доступ к коммитам в форках репозитория через ссылку на основной репозиторий, известен уже много лет и периодически используется для различных шуток и ввода в заблуждение разработчиков (например, шутники периодически подобным образом создают видимость подстановки бэкдоров в репозиторий с ядром Linux на GitHub). В качестве меры для противодействия подобным шуткам GitHub добавил предупреждение о том, что запрошенный коммит не относится к веткам в текущем репозитории и возможно принадлежит форку. При этом сама возможность доступа к коммитам по хэшу в любых связанных форками репозиториях рассматривалась как безобидная, так как для обращения к данным в удалённых и приватных форках требуется знание хэша коммита.

Подобрать хэш коммита, формируемый на базе алгоритма SHA-1 и включающий 32 символа, не реально, но оказалось, что это и не требуется. GitHub поддерживает сокращённую форму обращения к коммитам, позволяющую адресовать изменения по нескольким первым символам хэша, если отсутствуют пересечения с другими коммитами. Минимальное число символов для сокращённой адресации хэша - 4, что соответствует перебору всего 65 тысяч комбинаций (16^4). При этом перебор может и не потребоваться, так как API GitHub позволяет подключать обработчики для перехвата событий, которые используются сторонними проектами, ведущими архив с полным логом всех операций, в котором информация о хэшах коммитов остаётся и после удаления репозиториев.

1. Главная ссылка к новости
2. OpenNews: Особенность отображения проектов на GitHub создала видимость внедрения бэкдора в ядро Linux
3. OpenNews: В GitHub устранена уязвимость, допускающая внедрение кода в любой репозиторий
4. OpenNews: Через уязвимость в GitHub от имени Линуса Торвальдса создан фиктивный репозиторий linux-ng
5. OpenNews: В сеть попали исходные коды GitHub и GitHub Enterprise
6. OpenNews: Трюк с определением персональных данных через SSH

Миссия проекта охватывает такие ценности, как важность сообщества, приверженность модели разработки на основе открытого кода, соблюдение конфиденциальности, открытые и прозрачные методы управления. Ранее действовавший управляющий комитет OpenSSL Management Committee (OMC) упразднён, а принятие решений возложено на совместную работу советов директоров, избираемых отдельно в OpenSSL Foundation и OpenSSL Corporation. Обе организации имеют по 10 голосующих участников.

Кроме того, в OpenSSL Foundation и OpenSSL Corporation из представителей сообщества и заинтересованных коммерческих компаний избираются надзорные комитеты - Technical Advisory Committee (TAC) и Business Advisory Committee (BAC), которые могут напрямую представлять интересы сообщества в разработке планов. Комитет BAC будет сформирован в конце октября 2024 года, а TAC - в конце апреля 2025 года.

Проект отныне не ограничивается только библиотекой OpenSSL и открыт для других связанных с криптографией разработок. Первыми двумя присоединившимися проектами стали библиотеки Bouncy Castle (крипто-API для API Java и C#) и cryptlib (высокоуровневый API для упрощения добавления шифрования и аутентификации в программы), которые теперь будут развиваться под покровительством OpenSSL Foundation и OpenSSL Corporation.

1. Главная ссылка к новости
2. OpenNews: Выпуск криптографической библиотеки OpenSSL 3.3.0
3. OpenNews: Прошивка IVI-системы Hyundai оказалась заверена ключом из руководства по OpenSSL
4. OpenNews: Устаревание корневого сертификата AddTrust привело к сбоям в системах с OpenSSL и GnuTLS
5. OpenNews: Ошибка в OpenSSL нарушила работу некоторых приложений openSUSE Tumbleweed после обновления
6. OpenNews: Проект OpenSSL переходит на лицензию Apache и меняет схему нумерации выпусков

Основные изменения:

• Ядро приложения, связывающее все компоненты, переведено на использование цикла обработки событий в неблокирующем режиме, реализованного на основе библиотеки libuv, применяемой в таких проектах, как Node.js, Knot DNS, H2O, Luvit и MoarVM. В ветке 9.16 на libuv был переведён менеджер сетевых соединений в BIND, а теперь и части, используемые для взаимодействия внутренних компонентов инфраструктуры, а также длительно выполняемые в отдельных потоках вспомогательные обработчики (threadpool), используемые для верификации DNSSEC, трансфера зон, поддержания каталога зон и обработки RPZ (Response Policy Zone). Для сборки BIND теперь требуется как минимум выпуск libuv 1.34.0.
• Предложен новый бэкенд для работы с БД - "QP trie", который пришёл на смену RBTDB (Red-Black Tree Database) и задействован по умолчанию для хранения кэша и базы DNS-зон. Для многопоточной работы в QP trie задействована библиотека liburcu с реализацией в пространстве пользователя структур, не использующих блокировки, благодаря применению механизма синхронизации RCU (read-copy-update) и метода безопасного освобождения памяти QSBR (Quiescent-State-Based Reclamation).
• Задействован обновлённый механизм сжатия доменных имён, использующий более компактный метод кодирования имён с большим числом меток.
• Расширены возможности DNSSEC: "dnssec-policy" разрешено применять для управления подписанными зонами (опция auto-dnssec удалена); при использовании "inline-signing" добавлена поддержка RFC 8901 (DNSSEC multi-signer model 2); возобновлена поддержка PKCS#11 на базе OpenSSL 3.0.0 Engine API; в "dnssec-policy" добавлена поддержка HSM (Hardware Security Module).
• Добавлена поддержка второй версии каталога зон (Catalog Zone, RFC 9432), упрощающего поддержание вторичных DNS-серверов за счёт того, что вместо определения на вторичном сервере отдельных записей для каждой вторичной зоны, между первичным и вторичным серверами организуется передача каталога вторичных зон. После настройки передачи каталога по аналогии с передачей отдельных зон, заводимые на первичном сервере зоны, помеченные как входящие в каталог, автоматически создаются на вторичном сервере без необходимости правки файлов конфигурации.
• Добавлена поддержка механизма расширенных ошибок (Extended DNS Errors, RFC 8914), позволяющего возвращать дополнительную информацию о причине ошибки, возникшей при выполнении DNS-запроса.
• Реализация технологий "DNS поверх HTTPS" (DoH, DNS over HTTPS) и DNS поверх TLS (DoT, DNS over TLS), применяемых для шифрования запросов клиентов к резолверу и шифрованного обмена данными между серверами, переведена на использование унифицированного транспорта.
• Добавлена возможность использования протокола PROXYv2 со всеми транспортами, поддерживаемыми в BIND. Протокол PROXY позволяет передавать информацию о соединении для сохранения сведений об исходном IP-адресе и номере порта при пробросе DNS-запросов через другие бэкенды, балансировщики нагрузки и прокси-серверы.
• Добавлена поддержка режима USDT (User Statically Defined Tracing), дающего возможность выполнять трассировку приложения при помощи команды perf, не создавая дополнительные накладные расходы, когда трассировка отключена.
• В собираемой статистике реализовано отражения информации о незавершённых входящих операциях передачи зон.
• Проведена работа по сокращению задержек, уменьшению потребления памяти и снижению нагрузки на CPU при резолвинге, работе DNS-over-TLS и формировании ответов по UDP и TCP.
  
  
  
  
  
  
• Устранены 4 уязвимости, приводящие к аварийному завершению, излишней нагрузке на CPU, замедлению работы или проблемам со стабильностью.

1. Главная ссылка к новости
2. OpenNews: Уязвимости KeyTrap и NSEC3, затрагивающие большинство реализаций DNSSEC
3. OpenNews: DNS-сервер Trust-DNS переименован в Hickory и будет задействован в инфраструктуре Let's Encrypt
4. OpenNews: Выпуск DNS-сервера KnotDNS 3.3.0 с поддержкой DNS поверх QUIC
5. OpenNews: Выпуск DNS-сервера BIND 9.18.0 с поддержкой DNS-over-TLS и DNS-over-HTTPS
6. OpenNews: Выпуск PowerDNS Authoritative Server 4.7

Основные новшества:

• Из базовой системы удалён интерпретатор языка программирования Perl (для использования Perl теперь требуется его установка из портов). Аналогично из базовой системы удалены brainfuck и subversion.
• Предоставлена возможность использования системы пакетов Ravenports в окружениях на базе архитектуры amd64 (для окружений i386 доступен только инструментарий mports). Пакеты загружаются при помощи утилиты ravensw и устанавливаются в каталог /raven. В отличие от mports в Ravenports поставляются более свежие версии некоторых приложений, а также имеются пакеты, пока не собранные для mports. Например, в Ravenports доступны свежие версии Firefox. Ravenports и mports можно использовать по отдельности, выбрав желаемую систему во время установки, или применять их вместе бок о бок.
• Пакетный менеджер mport обновлён до версии 2.6.2.
• В библиотеке libarchive включена поддержка алгоритма сжатия zstd.
• Из поставки удалён telnetd.
• Для улучшения совместимости с Linux в состав включён заголовочный файл endian.h.
• Обновлены сторонние компоненты: expat 2.6.2, ldns 1.8.3, sendmail 8.18.1, libarchive 3.7.2, zstd 1.5.2, Unbound 1.19.3, xz / lzma 5.4.5, tzdata 2023d, mandoc 1.14.6, OpenSSH 9.3p2, nvi 2.2.1 и openssl 1.1.1w.
• Обновлён список идентификаторов поддерживаемых PCI-устройств.
• Добавлена поддержка датчиков температуры, используемых в процессорах AMD zen4.
• В драйвер ahci добавлена поддержка использования чипсета AMD KERNCZ в режиме RAID.

1. Главная ссылка к новости
2. OpenNews: Выпуск операционной системы MidnightBSD 3.1
3. OpenNews: Проект NixBSD развивает вариант NixOS с ядром из FreeBSD
4. OpenNews: Выпуск GhostBSD 24.04.1
5. OpenNews: SmolBSD - инструментарий для создания микро-сборок NetBSD
6. OpenNews: Выпуск дистрибутива NomadBSD 141