Применение двухфакторной аутентификации позволит усилить защиту процесса разработки и обезопасить проекты от внесения вредоносных изменений в результате утечки учётных данных, использования того же пароля на скомпрометированном сайте, взломов локальной системы разработчика или применения методов социального инжиниринга. Получение злоумышленниками доступа в результате захвата учётных записей является одной из наиболее опасных угроз, так как в случае успешной атаки может быть осуществлена подстановка вредоносных изменений в другие продукты и библиотеки, использующие скомпрометированный пакет в качестве зависимости.

В качестве предпочтительного способа двухфакторной аутентификации заявлена схема на базе совместимых со спецификацией FIDO U2F аппаратных токенов и протокола WebAuthn, которая позволяет добиться более высокого уровня безопасности по сравнению с генерацией одноразовых паролей. Кроме токенов также можно использовать приложения для аутентификации на базе одноразовых паролей, поддерживающих протокол TOTP, например, Authy, Google Authenticator и FreeOTP. При загрузке пакетов разработчикам дополнительно рекомендовано перейти на использование метода аутентификации 'Trusted Publishers' на базе стандарта OpenID Connect (OIDC) или применять API-токены.

1. OpenNews: PyPI пересмотрит политику в отношении персональных данных и прекратит поддержку PGP-подписей
2. OpenNews: PyPI из-за вредоносной активности приостановил регистрацию новых пользователей и проектов
3. OpenNews: В PyPI реализована возможность публикации пакетов без привязки к паролям и токенам API
4. OpenNews: Внедрение двухфакторной аутентификации в PyPI привело к инциденту с удалением популярного пакета
5. OpenNews: В каталоге PyPI выявлены вредоносные библиотеки, использующие CDN PyPI для скрытия канала связи

Большинство встраиваемых платформ в случае повреждения прошивки предоставляют работающие через USB или UART интерфейсы для восстановления работы и передачи загрузочного образа, но данные интерфейсы специфичны для каждой платформы и требует применения для восстановления утилит, привязанных к продуктам отдельных производителей. Snagboot выступает аналогом специализированных, в основном проприетарных, утилит для восстановления и перепрошивки устройств, таких как STM32CubeProgrammer, SAM-BA ISP, UUU и sunxi-fel.

Snagboot рассчитан на работу с широким спектром плат и встраиваемых устройств, что избавляет разработчиков встраиваемых систем от необходимости изучения специфики использования разных утилит. Например, первый выпуск snagboot может применяться для восстановления устройств на базе SoC ST STM32MP1, Microchip SAMA5, NXP i.MX6/7/8, Texas Instruments AM335x, Allwinner SUNXI и Texas Instruments AM62x.

Инструментарий включает две утилиты для загрузки и перепрошивки:

• snagrecover - использует специфичные для различных производителей механизмы работы с кодом в ПЗУ для инициализации внешней оперативной памяти и запуска загрузчика U-Boot без изменения содержимого постоянной памяти.
• snagflash - взаимодействует с запущенным U-Boot для прошивки системного образа в неизменяемую память, используя DFU (Device Firmware Upgrade), UMS (USB Mass Storage) или Fastboot.

1. OpenNews: Релиз flashrom 1.0, утилиты для перепрошивки Flash-чипов
2. OpenNews: Пре-релиз WHDD - Linux-утилиты диагностики и восстановления данных
3. OpenNews: Выпуск утилиты восстановления данных ddrescue 1.23
4. OpenNews: FREE SAS судится с Free Electrons за использование слова Free в названии компании

Целью проекта является предоставление высококачественных, эффективных и простых в использовании функций шумоподавления, которые можно применять для повышения качества результатов трассировки лучей. Предложенные фильтры позволяют на основании результата сокращённого цикла трассировки лучей получить итоговый уровень качества, сопоставимый с результатом более затратного и длительного процесса детализированного рендеринга.

Open Image Denoise обеспечивает отсеивание случайного шума, возникающего, например, при трассировке лучей на основе численного интегрирования по методу Монте-Карло (MCRT). Для достижения высокого качества рендеринга в подобных алгоритмах требуется проведение трассировки очень большого числа лучей, иначе на результирующем изображении появляются заметные артефакты в виде случайного шума.

Применение Open Image Denoise позволяет на несколько порядков сократить количество необходимых вычислений при расчёте каждого пикселя. В итоге, можно значительно быстрее сгенерировать изначально зашумлённое изображение, но затем довести его до приемлемого качества при помощи быстрых алгоритмов подавления шумов. При наличии соответствующего оборудования предложенный инструментарий можно применять даже для интерактивной трассировки лучей c устранением шумов на лету.

Библиотека может применяться на различных классах устройств, от ноутбуков и ПК, до узлов в кластерах. Реализация оптимизирована для различных классов 64-разрядных CPU Intel с поддержкой инструкций SSE4, AVX2, AVX-512 и XMX (Xe Matrix Extensions), чипов Apple Silicon и систем с GPU Intel Xe (серии Arc, Flex и Max), NVIDIA (на базе архитектур Volta, Turing, Ampere, Ada Lovelace и Hopper) и AMD (на базе архитектур RDNA2 (Navi 21) и RDNA3 (Navi 3x)). В качестве минимального требования заявлена поддержка SSE4.1.

Основные изменения в выпуске Open Image Denoise 2.0:

• Поддержка ускорения операций подавления шума, используя GPU. Реализована поддержка выноса вычислений на сторону GPU при помощи систем SYCL, CUDA и HIP, которые можно использовать с GPU на базе архитектуры Intel Xe, AMD RDNA2, AMD RDNA3, NVIDIA Volta, NVIDIA Turing, NVIDIA Ampere, NVIDIA Ada Lovelace и NVIDIA Hopper.
• Добавлен новый API для управления буфером, позволяющий выбирать тип хранилища, копировать данные с хоста и импортировать внешние буферы из графических API, таких как Vulkan и Direct3D 12.
• Добавлена поддержка асинхронного режима выполнения (функции oidnExecuteFilterAsync и oidnSyncDevice).
• Добавлен API для отправки запросов присутствующим в системе физическим устройствам.
• Добавлена функция oidnNewDeviceByID для создания нового устройства на основе идентификатора физического устройства, например, UUID или адреса PCI.
• Добавлены функции для организации переносимости с SYCL, CUDA и HIP.
• Добавлены новые параметры проверки устройств (systemMemorySupported, managedMemorySupported, externalMemoryTypes).
• Добавлен параметр для задания уровня качества работы фильтров.

1. OpenNews: Intel выпустил движок распределённой трассировки лучей OSPRay 2.0
2. OpenNews: Компания Intel опубликовала библиотеку для шумоподавления и фильтрации изображений
3. OpenNews: Компания Intel представила OpenSWR, систему программной отрисовки OpenGL
4. OpenNews: NoiseTorch, приложение для подавления шумов микрофона
5. OpenNews: Системы машинного обучения для синтеза изображений и подавления шумов на ночных фото

Поддерживается интеграция с платформами Kubernetes и OpenShift, а также использование различных runtime для выполнения контейнеров, таких как Podman Engine, Podman Lima, crc и Docker Engine. Окружение на локальной системе разработчика может отзеркаливать конфигурацию рабочего окружения, в котором выполняются готовые приложения (среди прочего на локальной системе можно симулировать многоузловые кластеры Kubernetes и окружения OpenShift). Поддержка дополнительных движков для запуска контейнеров, провайдеров Kubernetes и инструментариев может быть реализована в форме дополнений к Podman Desktop. Например, доступны дополнения для локального запуска одноузлового кластера OpenShift Local и подключения к облачному сервису OpenShift Developer Sandbox.

Предоставляются инструменты для управления образами контейнеров, работы с pod-ами и разделами, сборки образов из Containerfile и Dockerfile, подключения к контейнерам через терминал, загрузки образов из реестров контейнеров OCI и публикации своих образов в них, управления доступными в контейнерах ресурсами (память, CPU, хранилище).

Podman Desktop также может применяться для конвертации образов контейнеров и подключения как к локальным движкам контейнерной изоляции, так и к внешней инфраструктуре на базе Kubernetes для размещения в ней своих pod-ов и генерации YAML-файлов для Kubernetes или запуска Kubernetes YAML на локальной системе без Kubernetes.

Возможно сворачивание приложения в системный лоток для быстрого управления через виджет, позволяющий, не отвлекаясь от разработки оценить состояние контейнеров, останавливать и запускать контейнеры, управлять окружениями на базе инструментариев Podman и Kind.

1. OpenNews: Docker Desktop доступен для Linux
2. OpenNews: Amazon опубликовал инструментарий для Linux-контейнеров Finch
3. OpenNews: Компания SUSE выпустила Rancher Desktop 1.0
4. OpenNews: Выпуск Bastille 0.8, системы управления контейнерами на основе FreeBSD Jail
5. OpenNews: Первый выпуск GNOME Boxes, интерфейса для доступа к виртуальным и удалённым системам

Так как Python Software Foundation и PyPI выступают за свободу, безопасность и конфиденциальность пользователей, действуя в интересах сообщества решено пересмотреть применяемые в организации стандарты в области раскрытия данных и обеспечения конфиденциальности. В частности, планируется минимизировать хранимые и получаемые от пользователей персональные данные, а также ограничить время хранения логов со сведениями о подключениях пользователей, что также снизит ущерб в случае утечек в результате компрометации инфраструктуры или ошибки персонала.

Кроме того, разработчики PyPI объявили о решении прекратить поддержку PGP-подписей для верификации пакетов, так как они не решают возложенные на них задачи и в текущем виде бесполезны. Из-за имевшихся проблем ранее показ подписей уже был убран из web-интерфейса. Для разработчиков возможность загрузки PGP-подписей будет сохранена, но эти подписи будут игнорироваться. Доступ пользователей к ранее загруженным подписям будет сохранён, но новые подписи перестанут отдаваться, а в поле "has_sig" в API всегда будет выставлено в значение "False".

За последние три года вместе с пакетами в PyPI было загружено около 50 тысяч цифровых подписей, связанных с 1069 PGP-ключами. 29% ключей отсутствуют на крупных публичных серверах ключей, т.е. не могут рассматриваться как заслуживающие доверия. Из оставшихся 71% достоверность около половины на момент проведения аудита оказалось невозможно подтвердить. Верифицировано было только 36% ключей, а достоверные подписи, созданные за последние три года, охватывали лишь 0.3% от всех файлов.

1. OpenNews: PyPI из-за вредоносной активности приостановил регистрацию новых пользователей и проектов
2. OpenNews: В PyPI реализована возможность публикации пакетов без привязки к паролям и токенам API
3. OpenNews: В пакетах, размещённых в PyPI, выявлено 57 забытых ключей доступа к AWS
4. OpenNews: Внедрение двухфакторной аутентификации в PyPI привело к инциденту с удалением популярного пакета
5. OpenNews: GitHub опубликовал отчёт о блокировках в 2022 году

Выявленные проблемы:

• CVE-2023-32254, CVE-2023-32250, CVE-2023-32257, CVE-2023-32258 - удалённое выполнение кода с правами ядра из-за отсутствия должных блокировок объектов при обработке внешних запросов, содержащих команды SMB2_TREE_DISCONNECT, SMB2_SESSION_SETUP, SMB2_LOGOFF и SMB2_CLOSE, что приводит к эксплуатируемому состоянию гонки. Атака может быть осуществлена без прохождения аутентификации.
• CVE-2023-32256 - утечка содержимого областей памяти ядра из-за состояния гонки при обработке команд SMB2_QUERY_INFO и SMB2_LOGOFF. Атака может быть осуществлена без прохождения аутентификации.
• CVE-2023-32252, CVE-2023-32248 - удалённый отказ в обслуживании из-за разыменования нулевого указателя при обработке команд SMB2_LOGOFF, SMB2_TREE_CONNECT и SMB2_QUERY_INFO. Атака может быть осуществлена без прохождения аутентификации.
• CVE-2023-32249 - возможность перехвата сеанса с пользователем из-за отсутствия должной изоляции при обработке идентификатора сеанса в многоканальном режиме.
• CVE-2023-32247, CVE-2023-32255 - отказ в обслуживании из-за утечки памяти при обработке команды SMB2_SESSION_SETUP. Атака может быть осуществлена без прохождения аутентификации.
• CVE-2023-2593 - отказ в обслуживании из-за исчерпания доступной памяти, вызванный ошибкой, приводящей к невозвращению памяти при обработке новых TCP-соединений. Атака может быть осуществлена без прохождения аутентификации.
• CVE-2023-32253 - отказ в обслуживании из-за возникновения взаимной блокировки при обработке команды SMB2_SESSION_SETUP. Атака может быть осуществлена без прохождения аутентификации.
• CVE-2023-32251 - отсутствие защиты от атак по подбору параметров аутентификации (brute force).
• CVE-2023-32246 - локальный пользователь системы, имеющий право выгрузки модуля ksmbd, может добиться выполнения своего кода на уровне ядра Linux.

Кроме того, ещё 5 уязвимостей выявлены в пакете ksmbd-tools, включающем утилиты для управления и работы с ksmbd, выполняемые в пространстве пользователя. Наиболее опасные уязвимости (ZDI-CAN-17822, ZDI-CAN-17770, ZDI-CAN-17820, CVE пока не назначены) позволяют удалённому неаутентифицированному атакующему выполнить свой код с правами root. Уязвимости вызваны отсутствием проверки размера принимаемых внешних данных перед их копированием в буфер в коде сервиса WKSSVC и в обработчиках опкодов LSARPC_OPNUM_LOOKUP_SID2 и SAMR_OPNUM_QUERY_USER_INFO. Ещё две уязвимости (ZDI-CAN-17823, ZDI-CAN-17821) могут привести к удалённому отказу в обслуживании без прохождения аутентификации.

Ksmbd преподносится как высокопроизводительное и готовое для применения на встраиваемых устройствах расширение к Samba, при необходимости интегрируемое с инструментами и библиотеками Samba. Поддержка обеспечения работы SMB-сервера при помощи модуля ksmbd присутствует в пакете Samba, начиная с выпуска 4.16.0. В отличие от SMB-сервера, работающего в пространстве пользователя, ksmbd более эффективен с точки зрения производительности, потребления памяти и интеграции с расширенными возможностями ядра. Авторами кода ksmbd являются Namjae Jeon из компании Samsung и Hyunchul Lee из LG, а сопровождением в составе ядра занимается Стив Френч (Steve French) из компании Microsoft, мэйнтейнер подсистем CIFS/SMB2/SMB3 в ядре Linux и давний участник команды разработчиков Samba, внёсший значительный вклад в реализацию поддержки протоколов SMB/CIFS в Samba и Linux.

Дополнительно можно отметить две уязвимости в графическом драйвере vmwgfx, применяемом для реализации 3D-ускорения в окружениях VMware. Первая уязвимость (ZDI-CAN-20292) позволяет локальному пользователю повысить свои привилегии в системе. Уязвимость вызвана отсутствием проверки состояния буфера перед освобождением при обработке объекта vmw_buffer_object, что может привести к двойному вызову функции free. Вторая уязвимость (ZDI-CAN-20110 приводит к утечке содержимого памяти ядра из-за ошибок при организации блокировки объектов GEM.

1. OpenNews: Уязвимость в модуле ksmbd ядра Linux, позволяющая удалённо выполнить свой код
2. OpenNews: Уязвимости в OpenSSL, Glibc, util-linux, драйверах i915 и vmwgfx
3. OpenNews: Для ядра Linux предложена реализация SMB-сервера
4. OpenNews: Релиз ядра Linux 5.15
5. OpenNews: Выпуск Samba 4.16.0

Проблема вызвана отсутствием должной проверки поступающих извне данных в процессе, отвечающем за обработку запросов IPv6 RA (Router Advertisement), что позволило добиться записи данных за границу выделенного буфера и организовать выполнение своего кода с привилегиями root. Уязвимость проявляется в ветках MikroTik RouterOS v6.xx и v7.xx, при включении в настройках получения сообщений IPv6 RA ("ipv6/settings/ set accept-router-advertisements=yes" или "ipv6/settings/set forward=no accept-router-advertisements=yes-if-forwarding-disabled").

Возможность эксплуатации уязвимости на практике была продемонстрирована на соревнованиях Pwn2Own в Торонто, в ходе которых выявившие проблему исследователи получили вознаграждение, размером $100,000 за многоэтапный взлом инфраструктуры с атакой на маршрутизатор Mikrotik и использованием его в качестве плацдарма для атаки на другие компоненты локальной сети (в дальнейшем атакующие получили управление над принтером Canon, сведения об уязвимости в котором также раскрыты).

Информация об уязвимости изначально была опубликована до формирования исправления производителем (0-day), но в настоящее время уже опубликованы обновления RouterOS 7.9.1, 6.49.8, 6.48.7, 7.10beta8 с устранением уязвимости. По информации от проекта ZDI (Zero Day Initiative), проводящего соревнования Pwn2Own, производитель был уведомлен об уязвимости 29 декабря 2022 года. Представители MikroTik утверждают, что не получали уведомления и узнали о проблеме только 10 мая, после отправки финального предупреждения о раскрытии информации. Кроме того, в отчёте об уязвимости упоминается, что информация о сути проблемы была передана представителю MikroTik в личном порядке во время проведения соревнований Pwn2Own в Торонто, но по заявлению MikroTik сотрудники компании не принимали участия в мероприятии ни в каком качестве.

1. OpenNews: На соревновании Pwn2Own в Торонто продемонстрированы эксплоиты для 63 новых уязвимостей
2. OpenNews: Новые уязвимости в маршрутизаторах MikroTik и TP-Link
3. OpenNews: Более 7500 маршрутизаторов MikroTik вовлечены в атаку с перехватом трафика
4. OpenNews: Удалённая уязвимость в IPv6-стеке OpenBSD
5. OpenNews: Удалённая уязвимость в systemd-networkd

Основные изменения:

• GUI Zenmap и утилита Ndiff переведены на использование Python 3. В Zenmap для формирования графического интерфейса задействована библиотека PyGObject вместо PyGTK.
• Обновлены базы сигнатур для определения сетевых приложений и операционных систем. Добавлены 22 новых сигнатуры операционных систем, определяющие свежие версии Windows, iOS, macOS, Linux и BSD-систем. Общее число сигнатур доведено 5700.
• До версии 1.75 обновлена библиотека Npcap, применяемая для захвата и подстановки пакетов на платформе Windows. Библиотека развивается проектом Nmap в качестве замены WinPcap, построена с использованием современного Windows API NDIS 6 LWF и демонстрирует более высокую производительность, безопасность и надёжность.
• Обеспечен вывод имён производителей на основе MAC-адресов с префиксами MA-S (24-bit), MA-M (28-bit) и MA-L (36-bit). Ранее для определения производителя использовался только 3-байтовый префикс из MAC-адреса.
• В установщик для платформы Windows добавлена поддержка "тихого" режима установки (/S).
• Оптимизировано потребление памяти и повышена производительность кода для определения операционной системы, поиска имён сервисов, сопоставления и проверок повторной передачи. Сокращено время запуска.
• Добавлен новый NSE-скрипт tftp-version, запрашивающий у TFTP-сервера несуществующий файл и на основе текста ошибки определяющий название и версию tftp-сервера.
• В утилите Ncat разрешён приём "соединений" от нескольких хостов по UDP при использовании режима listen с опцией "--keep-open". Изменение позволяет использовать в Ncat режимы "--broker" и "--chat" через UDP.
• В готовых сборках обновлены версии библиотек OpenSSL 3.0.8, zlib 1.2.13, Lua 5.4.4, libpcap 1.10.4.
• Режимы сканирования портов UDP (-sU) и определения версий (-sV) переведены на использование общего источника данных nmap-service-probes.
• В режиме сканирования сервисов (-sV) появилась возможность определения UDP-сервисов, доступных через туннель DTLS (по аналогии с TCP-сервисами, для которых используется шифрование SSL/TLS).
• В утилите Ncat, при работе в режиме listen и указании опций "--udp --ssl", для защиты входящих соединений обеспечено использование DTLS.
• На платформах, функция getaddrinfo на которых поддерживает флаг AI_IDN, реализована поддержка интернационализированных имён доменов, таких как "Яндекс.рф".
• Улучшен разбор доменных имён, возвращаемых серверами DNS. Для противостояния проведению атак через манипуляцию ответами DNS-серверов добавлена защита от рекурсии и реализовано ограничение размера доменного имени.
• Значительно ускорена передача данных через Ncat на платформе Windows (решена проблема с возникновением задержки в 125ms при каждом чтении из STDIN).
• Обновлён текст лицензии NPSL (Nmap Public Source License), в которую добавлено уточнение, что требования к производным работам и другие условия лицензии применимы только к сторонам, принявшим лицензию в обмен на получение особых прав, таких как право на редистрибуцию Nmap. При этом участвующая сторона может делать всё что ей необходимо в соответствии с положениями авторского права, такими как добросовестное использование, и разработчики Nmap не будут пытаться установить контроль над их работой.

1. OpenNews: Выпуск сканера сетевой безопасности Nmap 7.93, приуроченный к 25-летию проекта
2. OpenNews: Google опубликовал код сканера безопасности Tsunami
3. OpenNews: Армия США открыла код системы анализа сетевого трафика Dshell
4. OpenNews: CERT опубликовал сетевой анализатор Tapioca 2.0
5. OpenNews: Выпуск сетевого анализатора Wireshark 4.0

Тройка лидеров:

• Frontier - размещён в Ок-Риджской национальной лаборатории Министерства энергетики США. Кластер насчитывает почти 9 миллионов процессорных ядер (CPU AMD EPYC 64C 2GHz, ускоритель AMD Instinct MI250X) и обеспечивает производительность 1.102 экзафлопс, что почти в три раза больше, чем в кластере, занимающем второе место (при этом энергопотребление Frontier на 30% ниже).
• Fugaku - размещён в Институте физико-химических исследований RIKEN (Япония). Кластер построен с использованием процессоров ARM (158976 узлов на базе SoC Fujitsu A64FX, оснащённых 48-ядерным CPU Armv8.2-A SVE 2.2GHz). Fugaku обеспечивает производительность 442 петафлопс.
• LUMI - размещён в Европейском суперкомпьютерном центре (EuroHPC) в Финляндии и обеспечивающий производительность 151 петафлопс. Кластер построен на той же платформе HPE Cray EX235a, что и лидер рейтинга, но включает 1.1 млн процессорных ядер (AMD EPYC 64C 2GHz, ускоритель AMD Instinct MI250X, сеть Slingshot-11).

Что касается отечественных суперкомпьютеров, то созданные компанией Яндекс кластеры Chervonenkis, Galushkin и Lyapunov опустились с 25, 44 и 47 мест на 27, 46 и 52 места. Данные кластеры созданы для решения задач машинного обучения и обеспечивают производительность 21.5, 16 и 12.8 петафлопс соответственно. Кластеры работают под управлением Ubuntu 16.04 и оснащены процессорами AMD EPYC 7xxx и GPU NVIDIA A100: кластер Chervonenkis насчитывает 199 узлов (193 тысячи ядер AMD EPYC 7702 64C 2GH и 1592 GPU NVIDIA A100 80G), Galushkin - 136 узлов (134 тысячи ядер AMD EPYC 7702 64C 2GH и 1088 GPU NVIDIA A100 80G), Lyapunov - 137 узлов (130 тысяч ядер AMD EPYC 7662 64C 2GHz и 1096 GPU NVIDIA A100 40G).

Развёрнутый Сбербанком кластер Christofari Neo опустился с 50 на 55 место. Christofari Neo работает под управлением NVIDIA DGX OS 5 (редакция Ubuntu) и демонстрирует производительность 11.95 петафлопс. Кластер насчитывает более 98 тысяч вычислительных ядер на базе CPU AMD EPYC 7742 64C 2.25GHz и поставляется с GPU NVIDIA A100 80GB. Второй кластер Сбербанка (Christofari) за полгода сместился с 87 на 96 место в рейтинге.

В рейтинге также остаются ещё два отечественных кластера: Lomonosov 2 - сместился с 290 на 329 место (в 2015 году кластер Lomonosov 2 занимал 31 место, а его предшественник Lomonosov в 2011 году - 13 место) и MTS GROM - сместился с 352 на 395 место. Таким образом число отечественных кластеров в рейтинге не изменилось и как шесть месяцев назад составляет 7 систем (для сравнения в 2020 году в рейтинге было 2 отечественные системы, в 2017 году - 5, а в 2012 году - 12).

Наиболее интересные тенденции:

• Распределение по количеству суперкомпьютеров в разных странах:
  • США: 150 (127 - полгода назад). Суммарная производительность оценивается в 45.8% всей производительности рейтинга (полгода назад - 43.6%);
  • Китай: 134 (162). В сумме китайские кластеры генерируют 8.9% от всей производительности (полгода назад - 10%);
  • Германия: 36 (34). Суммарная производительность - 7.2%;
  • Япония: 33 (31). Суммарная производительность - 14.8%;
  • Франция: 24 (24). Суммарная производительность - 4.8%;
  • Великобритания: 14 (15);
  • Канада 10 (10);
  • Бразилия 9 (8);
  • Нидерланды: 8 (8);
  • Южная Корея 8 (8)
  • Россия 7 (7);
  • Италия: 7 (7);
  • Саудовская Аравия 6 (6);
  • Швеция 6 (6);
  • Австралия 5 (5);
  • Ирландия 5 (5);
  • Швейцария 4 (4);
  • Индия: 4 (3);
  • Норвегия: 4 (3).
  • Финляндия: 3 (3).
  • Сингапур: 3 (3);
  • Польша: 3 (3);
• В рейтинге операционных систем, используемых в суперкомпьютерах, c ноября 2017 года остаётся только Linux;
• Распределение по дистрибутивам Linux (в скобках - 6 месяцев назад):
  • 47% (47.8%) не детализируют дистрибутив;
  • 16% (17.2%) используют CentOS;
  • 10.8% (9.6%) - RHEL;
  • 9.2% (9%) - Cray Linux;
  • 6.4% (5.4%) - Ubuntu;
  • 4.6% (3.8%) - SUSE;
  • 1.6% (0.8%) - Rocky Linux;
  • 1.2% (0.8%) - Alma Linux;
  • 0.2% (0%) - Amazon Linux;
  • 0.2% (0.2%) - Scientific Linux.
• Минимальный порог производительности для вхождения в Top500 за 6 месяцев составил 1.87 петафлопс (полгода назад - 1.73 петафлопс). Четыре года назад лишь 272 кластера показывали производительность более петафлопса, пять лет назад - 138, шесть лет назад - 94). Для Top100 порог вхождения вырос с 5.38 до 6.32 петафлопс;
• Суммарная производительность всех систем в рейтинге за 6 месяцев возросла с 4.8 до 5.2 экзафлопсов (три года назад было 1.650 экзафлопсов, а пять лет назад - 749 петафлопсов). Система, замыкающая нынешний рейтинг, в прошлом выпуске находилась на 445 месте;
• Общее распределение по количеству суперкомпьютеров в разных частях света выглядит следующим образом: 192 суперкомпьютера находится в Азии (218 - полгода назад), 160 в Северной Америке (137) и 133 в Европе (131), 9 в Южной Америке (8), 5 в Океании (5) и 1 в Африке (1);
• В качестве процессорной основы лидируют CPU Intel - 69.8% (полгода назад было 75.6%), на втором месте AMD 24.2% (20.2%), на третьем IBM Power - 1.4% (было 1.4%).
• 21.6% (полгода назад 22.2%) всех используемых процессоров имеют 24 ядра, 18.8% (15.8%) - 64 ядра, 12% (14.2%) - 20 ядер, 7.2% (8.4%) - 16 ядер, 7.2% - 32 ядра, 7% (7.6%) - 18 ядер, 5.8% (6%) - 28 ядер, 4.2% (5%) - 12 ядер.
• 185 из 500 систем (полгода назад - 177) дополнительно используют ускорители или сопроцессоры, при этом в 168 (161) системе задействованы чипы NVIDIA, в 11 (9) - AMD, в 2 (2) - Intel Xeon Phi, 1 (1) - PEZY, в 1 (1) - MN-Core, 1 (1) - Matrix-2000;
• Среди производителей кластеров на первом месте закрепилась компания Lenovo - 33.6% (полгода назад 32%), на втором месте компания Hewlett-Packard Enterprise - 20% (20.2%), на третьем месте компания Inspur - 8.6% (10%), далее следуют Atos - 8.6% (8.6%), Dell EMC 4.8% (3.6%), Sugon 4.6% (6.8%), NVIDIA 3.2% (2.8%) Fujitsu 2.4% (2%), NEC 2% (2.4%), MEGWARE 1.6% (1.2%), Microsoft Azure - 1.25 (0%), IBM 1.2% (1.2%), Penguin Computing - 1% (1.2%), Huawei 0.4% (0.4%).
• Для связи узлов в 45.4% (полгода назад 46.6%) кластеров используется Ethernet, InfiniBand применяется на 40% (38.8%) кластеров, Omnipath - 7% (7.2%). Если рассматривать суммарную производительность, то системы на базе InfiniBand охватывают 35.3% (33.6%) всей производительности Top500, а Ethernet - 45.5% (46.2%).

В ближайшее время ожидается публикация нового выпуска альтернативного рейтинга кластерных систем Graph 500, ориентированного на оценку производительности суперкомпьютерных платформ, связанных с симулированием физических процессов и задач по обработке больших массивов данных, свойственных для таких систем. Рейтинги Green500, HPCG (High-Performance Conjugate Gradient) и HPL-AI объединены с Top500 и отражаются в основном рейтинге Top500.

1. OpenNews: Опубликована 60 редакция рейтинга самых высокопроизводительных суперкомпьютеров
2. OpenNews: Ядру Linux исполнился 31 год
3. OpenNews: Выпуск кластерной ФС Lustre 2.15
4. OpenNews: Опубликована 59 редакция рейтинга самых высокопроизводительных суперкомпьютеров
5. OpenNews: Опубликована 58 редакция рейтинга самых высокопроизводительных суперкомпьютеров

Эффективность атаки продемонстрирована для 10 Android-устройств разных производителей (Samsung, Xiaomi, OnePlus, Vivo, OPPO, Huawei), на подбор отпечатка пальца для разблокировки которых потребовалось от 40 минут до 36 часов. Атака требует физического доступа к устройству и подключения к плате специального оборудования, стоимость изготовления которого оценивается в 15 долларов. Например, метод может быть использован для разблокировки изъятых, похищенных или потерянных телефонов.

При проведении атаки могут использоваться две неисправленные уязвимости в инструментарии SFA (Smartphone Fingerprint Authentication) в сочетании с отсутствием должной защиты протокола SPI. Первая уязвимость (CAMF, Cancel-After-Match-Fail) приводит к тому, что в случае передачи некорректной контрольной суммы данных отпечатка проверка сбрасывается на финальной стадии без регистрации неудачной попытки, но с возможностью определения результата. Вторая уязвимость (MAL, Match-After-Lock) позволяет по сторонним каналам определить результат проверки, если система биометрической аутентификации переведена в режим временной блокировки после определённого числа неудачных попыток.

Указанные уязвимости можно эксплуатировать через подключение специальной платы между датчиком отпечатков пальцев и TEE-чипом (Trusted Execution Environment). Исследователями выявлена недоработка в организации защиты данных, передаваемых по шине SPI (Serial Peripheral Interface), позволившая вклиниться в канал передачи данных между датчиком и TEE, и организовать перехват снятых отпечатков и их подмену на собственные данные. Кроме организации подбора, подключение через SPI даёт возможность произвести аутентификацию по имеющейся фотографии отпечатка жертвы без создания его макета для датчика.

После снятия ограничений на число попыток для подбора был использован словарный метод, основанный на использовании коллекций изображений с отпечатками пальцев, попавших в открытый доступ в результате утечек, например, в своё время были скомпрометированы БД биометрической аутентификации Antheus Tecnologia и BioStar 2. Для повышения эффективности работы с разными изображениями отпечатков и увеличения вероятности ложной идентификации (FAR, False Acceptance Rate) задействована нейронная сеть, формирующая унифицированный поток данных с отпечатками в формате, совпадающем с форматом датчика (симуляция, что данные отсканированы родным датчиком).

1. OpenNews: Уязвимость в Android, позволяющая обойти блокировку экрана
2. OpenNews: Представлена техника воссоздания отпечатков пальцев по изображению рук на фотографии
3. OpenNews: Метод создания фиктивных отпечатков пальцев для разблокировки смартфонов
4. OpenNews: Техника использования 3D-принтера для обхода аутентификации по отпечаткам пальцев
5. OpenNews: Метод клонирования отпечатков пальцев при помощи лазерного принтера

Архитектура JunoDB основана на использовании балансировщика нагрузки, принимающего запросы от клиентских приложений и распределяющего их между прокси-серверами, одновременно обращающимися к группе серверов хранения при выполнении запроса. Каждый прокси-сервер устанавливает соединения сразу со всеми серверами хранения и перенаправляет запросы к группе серверов хранения на основе индекса секционирования, который хранится в распределённой системе хранения конфигурации etcd.

Данные секционируются и привязываются к узлам хранения с использованием хэширования, что позволяет уменьшить перемещение данных при увеличении или уменьшении узлов в кластере. Для обеспечения отказоустойчивости каждая порция данных реплицируется на нескольких узлах хранения, что позволяет сохранить информацию при выходе из строя отдельных серверов. Поддерживается создание территориально распределённых хранилищ, в которых группы узлов размещены в разных датацентрах.

На узлах хранения данных размещаются в оперативной памяти или в локальном хранилище на базе библиотеки RocksDB. При постоянном хранении данные размещаются в зашифрованном виде (ключ шифрования может определять как клиентом, так и задаваться на уровне прокси).

Для обращения к БД из приложений поставляется клиентская библиотека, предоставляющая API для приложений на языках Java, Go и C++. Клиентская часть максимально упрощена, а сложная логика и настройки по возможности вынесены на сторону СУБД. Взаимодействие между клиентом и балансировщиком или прокси осуществляется через шифрованный канал связи. Для управления и отправки запросов можно использовать интерфейс командной строки, который воспроизводит все возможности клиентского API.

Система спроектирована для обработки запросов с предсказуемыми низкими задержками, например, кластер из трёх узлов хранения и одного прокси, сформированный из окружений n1-highmem-32 (32 CPU Intel Xeon 2.30GHz, 214G ОЗУ и 450G хранилище на базе SSD), смог предоставить фиксированное ожидание выполнения запроса не превышающие 2.5 мс в 95% случаев и 16 мс в 99% при обработке 200 тысяч одновременных TLS-соединений и потоке в 15 тысяч запросов в секунду (при 3000 одновременных соединений и потоке в 80 тысяч запросов в секунду ожидание не превысило 6 мс в 95% случаев и 15 мс в 99%). В PayPal сервирсы на базе JunoDB обслуживают около 350 миллиардов запросов в день.

1. OpenNews: Разработка распределённого хранилища etcd переведена в организацию CNCF
2. OpenNews: Выпуск распределенной системы хранения конфигурации etcd 3.3
3. OpenNews: Атака на зависимости позволила выполнить код на серверах PayPal, Micrоsoft, Apple, Netflix, Uber и ещё 30 компаний
4. OpenNews: Яндекс открыл YTsaurus, платформу для обработки и хранения больших объёмов данных
5. OpenNews: Facebook открыл код NoSQL БД RocksDB, оптимизированной для Flash-накопителей

По данным системы мониторинга вредоносной активности от компании Sonatype в марте 2023 года в каталоге PyPI найдено 6933 вредоносных пакета, а всего с 2019 года число выявленных вредоносных пакетов превысило 115 тысяч. В декабре 2022 года в результате атаки на каталоги NuGet, NPM и PyPI была зафиксирована публикация 144 тысяч пакетов с кодом для фишинга и спама.

Большинство вредоносных пакетов маскируются под популярные библиотеки при помощи тайпсквотинга (назначение похожих имён, отличающихся отдельными символами, например, exampl вместо example, djangoo вместо django, pyhton вместо python и т.п.) - злоумышленники рассчитывают на невнимательных пользователей, совершивших опечатку или не заметивших отличий в названии при поиске. Вредоносные действия обычно сводятся к отправке конфиденциальных данных, найденных на локальной системе в результате определения типовых файлов с паролями, ключами доступа, криптокошельками, токенами, сессионными Cookie и другой конфиденциальной информацией.

1. OpenNews: В PyPI реализована возможность публикации пакетов без привязки к паролям и токенам API
2. OpenNews: В пакетах, размещённых в PyPI, выявлено 57 забытых ключей доступа к AWS
3. OpenNews: В репозитории PyPI выявлены вредоносные пакеты, нацеленные на кражу криптовалюты
4. OpenNews: Внедрение двухфакторной аутентификации в PyPI привело к инциденту с удалением популярного пакета
5. OpenNews: Опубликован анализатор, выявивший 200 вредоносных пакетов в NPM и PyPI

Подготовка новых выпусков осуществляется в соответствии с циклом разработки, подразумевающим формирование релизов раз в полгода в заранее определённое время. До 2024 года ветка 8.x будет находиться на стадии полной поддержки, подразумевающей включение функциональных улучшений, после чего перейдёт на стадию сопровождения, на которой приоритеты сместятся в сторону исправления ошибок и безопасности, с внесением незначительных улучшений, связанных с поддержкой важных аппаратных систем.

Ключевые изменения:

• Обновлены серверные и системные пакеты: nginx 1.22, Libreswan 4.9, OpenSCAP 1.3.7, Grafana 7.5.15, powertop rebased 2.15, tuned 2.20.0, NetworkManager 1.40.16, mod_security 2.9.6, samba 4.17.5.
• В состав включены новые версии компиляторов и инструментов для разработчиков: GCC Toolset 12, LLVM Toolset 15.0.7, Rust Toolset 1.66, Go Toolset 1.19.4, Python 3.11, Node.js 18.14, PostgreSQL 15, Git 2.39.1, Valgrind 3.19, SystemTap 4.8, Apache Tomcat 9.
• Настройки FIPS-режима изменены для соответствия требованиям стандарта FIPS 140-3. Отключены 3DES, ECDH и FFDH, минимальный размер ключей HMAC ограничен 112 битами, а ключей RSA - 2048 битами, в генераторе псевдослучайных чисел DRBG отключены хэши SHA-224, SHA-384, SHA512-224, SHA512-256, SHA3-224 и SHA3-384.
• Политики SELinux обновлены для обеспечения работы systemd-socket-proxyd.
• В пакетном менеджере yum реализована команда offline-upgrade для применения обновлений к системе в offline-режиме. Суть offline-обновления в том, что вначале новые пакеты загружаются командной "yum offline-upgrade download", после чего выполняется команда "yum offline-upgrade reboot" для перезагрузки системы в минимальное окружение и установки в нём имеющихся обновлений, не мешая рабочим процессам. После завершения установки обновлений система перезагружается в обычное рабочее окружение. При загрузке пакетов для offline-обновления можно применять фильтры, например, "--advisory", "--security", "--bugfix".
• Добавлен новый пакет synce4l для использования технологии синхронизации частоты SyncE (Synchronous Ethernet), поддерживаемой в некоторых сетевых картах и сетевых коммутаторах, и позволяющей повысить эффективность обмена данными в приложениях RAN (Radio Access Network) за счёт более точной синхронизации времени.
• Во фреймворк fapolicyd (File Access Policy Daemon), позволяющий определить какие программы можно запускать определённому пользователю, а какие нет, добавлен новый файл конфигурации /etc/fapolicyd/rpm-filter.conf для настройки списка файлов с БД для пакетного менеджера RPM, которые обрабатывает fapolicyd. Например, новый файл конфигурации может использоваться для исключения из политик доступа отдельных приложений, установленных через пакетный менеджер RPM.
• В ядре при сбросе в лог информации о выявленном SYN flood-е обеспечено указание сведений о принявшем соединение IP-адресе, чтобы упростить определения цели флуда на системах с обработчиками, привязанными к разным IP-адресам.
• Добавлена системная роль для инструментария podman, позволяющая управлять настройками Podman, контейнерами и сервисами systemd, запускающими контейнеры Podman. В Podman добавлена поддержка генерации событий аудита, подключения обработчиков перед запуском (/usr/libexec/podman/pre-exec-hooks и /etc/containers/pre-exec-hooks) и использования формата Sigstore для хранения цифровых подписей вместе с образами контейнеров.
• Обновлён инструментарий для управления изолированными контейнерами container-tools, включающий такие пакеты, как Podman, Buildah, Skopeo, crun и runc.
• Добавлена утилита toolbox, позволяющий запустить дополнительное изолированное окружение, которое может быть обустроено произвольным образом при помощи обычного пакетного менеджера DNF. Разработчику достаточно выполнить команду "toolbox create", после чего в любой момент можно войти в сформированное окружение командой "toolbox enter" и установить любые пакеты при помощи утилиты yum.
• Добавлена поддержка формирования образов в формате vhd, применяемом в Microsoft Azure, для архитектуры ARM64.
• В SSSD (System Security Services Daemon) добавлена поддержка приведения имён домашних каталогов к нижнему регистру символов (через использование подстановки "%h" в атрибуте override_homedir, указываемом в /etc/sssd/sssd.conf). Кроме того, пользователям разрешена смена пароля, хранимого в LDAP (включается через выставление значения shadow для атрибута ldap_pwd_policy в /etc/sssd/sssd.conf).
• В glibc реализован новый алгоритм сортировки при динамическом связывании DSO, использующий метод поиска в глубину (DFS) для решения проблем с производительностью при обработке зацикленных зависимостей. Для выбора алгоритма сортировки DSO предложен параметр glibc.rtld.dynamic_sort=2, которому можно присвоить значение "1" для отката на старый алгоритм.
• В утилите rteval обеспечен показ сводной информации о загрузках программы, потоках и CPU, задействованных для выполнения этих потоков.
• В утилите oslat добавлены дополнительные опции для измерения задержек.
• Добавлены новые драйверы для SoC Intel Elkhart Lake, Solarflare Siena, NVIDIA sn2201, AMD SEV, AMD TDX, ACPI Video, Intel GVT-g для KVM, HP iLO/iLO2.
• Добавлена экспериментальная поддержка дискретных видеокарт Intel Arc (DG2/Alchemist). Для включения аппаратного ускорения на подобных видеокартах следует при загрузке указать PCI-идентификтор карты через параметр ядра "i915.force_probe=pci-id".
• Пакет inkscape inkscape1 заменён на inkscape1, в котором используется Python 3. Версия Inkscape обновлена с 0.92 до 1.0.
• В режиме киоска предоставлена возможность использования экранной клавиатуры GNOME.
• В библиотеке libsoup и почтовом клиенте Evolution добавлена поддержка аутентификации в Microsoft Exchange Server с использованием протокола NTLMv2.
• В GNOME предоставлена возможность настройки контекстного меню, показываемого при нажатии правой кнопки мыши на рабочем столе. Пользователь теперь может добавить в меню элементы для запуска произвольных команд.
• В GNOME разрешено отключение смены виртуальных рабочих столов через движение вверх или вниз тремя пальцами на тачпаде.
• Продолжено предоставление экспериментальной (Technology Preview) поддержки AF_XDP, XDP hardware offloading, Multipath TCP (MPTCP), MPLS (Multi-protocol Label Switching), DSA (data streaming accelerator), KTLS, dracut, kexec fast reboot, nispor, DAX в ext4 и xfs, systemd-resolved, accel-config, igc, OverlayFS, Stratis, Software Guard Extensions (SGX), NVMe/TCP, DNSSEC, GNOME на системах ARM64 и IBM Z, AMD SEV для KVM, Intel vGPU, Toolbox.

1. OpenNews: Релиз дистрибутива Red Hat Enterprise Linux 9.2
2. OpenNews: Релиз дистрибутива Red Hat Enterprise Linux 8.7
3. OpenNews: Третий прототип платформы ALP, идущей на смену SUSE Linux Enterprise
4. OpenNews: Доступен дистрибутив SUSE Linux Enterprise 15 SP4
5. OpenNews: Представлен дистрибутив Red Hat Enterprise Linux 9

Процессоры с новой архитектурой будут запускаться сразу в 64-разрядном режиме, минуя промежуточные переключения в 16- и 32-разрядные режимы в процессе инициализации. В x86S также реализована возможность переключения на использование 5-уровневой структуры таблицы страниц памяти, без предварительного отключения страничной адресации и минуя переход в бесстраничный режим.

Особенности архитектуры x86S:

• Прекращение поддержки 16-разрядной адресации и возможности переопределения размера адреса.
• Использование упрощённой 64-разрядной модели сегментной адресации памяти для поддержки сегментной адресации в 32-разрядных приложениях, что соответствует практике, используемой в современных операционных системах.
• Прекращение поддержи 1 и 2 колец защиты, которые не применяются в современном ПО.
• Прекращение поддержки 32-разрядного режима в нулевом кольце защиты.
• Удаление 16- и 32-разрядных защищённых режимов.
• Прекращение поддержки доступа к портам ввода/вывода из 3 кольца защиты.
• Прекращение поддержки строковых операций с портами ввода/вывода (INS/OUTS)
• Прекращение поддержки контроллеров прерываний 8259 и использование только программируемых контроллеров X2APIC.
• Удаление некоторых неиспользуемых битов режимов операционной системы.

1. OpenNews: openSUSE Tumbleweed прекращает официальную поддержку архитектуры x86-64-v1
2. OpenNews: Архитектура ia64 оставлена в ядре Linux без сопровождения
3. OpenNews: Доступен ELKS 0.4, вариант ядра Linux для старых 16-разрядных процессоров Intel
4. OpenNews: Разработчики ядра Linux обсуждают вопрос удаления субархитектуры x32
5. OpenNews: Intel развивает новую открытую архитектуру прошивок Universal Scalable Firmware

Для повышения эффективности рабочего процесса браузер оптимизирован для управления с клавиатуры и поддерживает типовые клавиатурные комбинации Emacs, vi и CUA. Проект не привязан к конкретному браузерному движку и использует минимальный API для взаимодействия с web-движками. На базе данного API имеются прослойки для подключения движков WebKit и Blink (по умолчанию применяется WebKitGTK), но при желании браузер можно портировать и на другие движки. В состав входит встроенная система блокирования рекламы. Поддерживается подключение дополнений, написанных на Common Lisp (в планах реализация поддержки WebExtensions, по аналогии с Firefox и Chrome).

Основные возможности:

• Поддержка вкладок (буферов) и возможность быстрого переключения между открытыми вкладками, используя встроенный поиск (например, чтобы перейти к вкладке с сайтом www.example.com достаточно начать вводить "exa.." и будут показаны имеющиеся вкладки. Каждая вкладка в Nyxt полностью изолирована и может иметь отдельные настройки.
• Возможность одновременного выделения разных объектов на странице для их использования в качестве аргументов команд. Например, пользователь может одновременно выбрать и совершить действия с несколькими изображениями на странице.
• Система закладок с поддержкой классификации и группировки по тегам.
• Возможность поиска по содержимому, охватывая сразу несколько вкладок.
• Древовидный интерфейс для просмотра истории посещений, позволяющий проследить историю переходов и ветвление.
• Поддержка тем оформления (например, имеется тёмная тема) и возможность изменения элементов интерфейса через CSS. Режим "dark-mode" позволяющий автоматически применить к текущей странице тёмное оформление, даже если сайт не предоставляет тёмную тему.
• Строка состояния Nyxt Powerline, через которую можно быстро получить любые данные о состоянии и настройке.
• Профили данных, дающие возможность изолировать разные типы деятельности, например, в разные профили можно вынести активность, связанную с работой и развлечениями. В каждом профиле используется своя база Cookie, не пересекающаяся с другими профилями.
• Режим блокировки отслеживания (reduce-tracking-mode), позволяющий ограничить активность различных счётчиков и виджетов, используемых для отслеживания перемещения пользователя между сайтами.
• По умолчанию включена sandbox-изоляция web-движка - каждая вкладка обрабатывается в отдельном sandbox-окружении.
• Управление сеансами, пользователь может сохранить часть истории в файл и затем восстановить состояние по этому файлу.
• Поддержка автозаполнения форм с использованием предопределённого или вычисленного содержимого. Например, можно настроить добавление в поле текущей даты.
• Возможность загрузки обработчиков, настроек и режимов в зависимости от маски URL. Например, можно настроить включение тёмного режима для Wikipedia при открытии сайта после 10 часов вечера.
• Возможность вызова внешнего редактора для редактирования определённых полей в web-формах. Например, при необходимости набора объёмного текста можно вызвать текстовый редактор.
• Режимы принудительного отключения звука и WebGL в выбранных вкладках.
• Режим визуального выделения текста с использование только клавиатуры.
• Режим отслеживания изменений (watch-mode), позволяющий автоматически перезагружать страницу через определённое время.
• Режим визуализации изменений между двумя состояниями страницы.
• Возможность замены нескольких страниц/вкладок на одну сводную страницу.
• Поддержка пакетной загрузки по ссылкам на странице (например, разом можно загрузить все изображения).
• Возможность использования разных цветов для внутренних и внешних ссылок. Поддержка показа URL, на который ведёт ссылка, рядом с текстом ссылки. Поддержка скрытия ссылок для уже ранее открытых URL.
• Возможность сортировки таблиц на web-страницах по произвольным столбцам.

Основные новшества, предложенные в Nyxt 3.0.0:

• Изменено оформление буфера с подсказками продолжения ввода команд (prompt buffer). Задействован новый алгоритм формирования рекомендаций, предлагающий более релевантные подсказки. Добавлены новые команды управления буфером рекомендаций.
• Предложен новый интерактивный интерфейс для просмотра встроенной справки.
• Обеспечено формирование пакетов в формате Flatpak.
• Добавлена новая команда migration-guide для упрощения адаптации настроек к новой значительной версии браузера.
• Файл с автоматическими настройками (auto-config) теперь привязан к значительной версии браузера и игнорируется после обновления до нового значительного выпуска.
• Добавлена поддержка прикрепления пользовательских скриптов-обработчиков, таких как GreaseMonkey.
• Изменено оформление строки состояния и предоставлена возможность настройки её содержимого на свой вкус. Для изменения местоположения строки состояния предложена команда status-buffer-position.
• Добавлена поддержка протоколов Gopher и Gemini.
• Добавлен режим запуска без монитора, включаемый при помощи опции "--headless".
• Добавлена поддержка инструмента для определения цвета (Color-picker).
• Добавлена настройка hinting-type для выбора стиля подсказок для ссылок.
• По умолчанию обеспечено восстановление прошлого сеанса после перезапуска.
• Добавлена команда execute-command для выполнения любого кода на Lisp.
• Реализован режим предсказания ввода следующих команд, учитывающий прошлую активность.
• В интерфейсе к менеджеру паролей KeePassXC добавлена поддержка файлов с ключами и возможность блокировки Yubikey.
• Предоставлена возможность привязки своей истории посещений к каждому буферу (вкладке).
• Добавлены новые режимы: record-input-field-mode для записи и восстановления полей ввода и remembrance-mode для автоматического кэширования содержимого открытых страниц.
• Полностью изменено оформление интерактивной среды для Lisp REPL.
• Добавлены новые команды next-heading, previous-heading, toggle-message-buffer, toggle-status-buffer, toggle-maximize, repeat-key.

1. OpenNews: Выпуск перенастраиваемого web-браузера Nyxt 2.0.0
2. OpenNews: Доступен Vieb 9.4, web-браузер в стиле редактора Vim
3. OpenNews: Представлен Carbonyl, консольный браузер на основе движка Chromium
4. OpenNews: Доступен браузер Thorium 110, более быстрый форк Chromium
5. OpenNews: Tor и Mullvad VPN подготовили новый web-браузер Mullvad Browser