The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

18.11.2017 В ядро Linux добавлена поддержка архитектуры RISC-V (49 +35)
  В состав ядра Linux принят код для обеспечения работы на системах с архитектурой RISC-V. Пользователи смогут воспользоваться RISC-V начиная с ядра 4.15. Также ожидается включение поддержки новой архитектуры в состав glibc.

После выхода ядра 4.15, ориентировочно в начале февраля 2018 года, RISC-V Linux ABI будет переведён в разряд стабильных интерфейсов, сохраняющих обратную совместимость и готовых для повсеместного использования. До февраля разработчики намерены устранить остающиеся недоработки в ABI. Дистрибутивы, желающие приступить к обеспечению поддержки RISC-V до выхода ядра 4.15 и новой версии Glibc, могут воспользоваться бэкпортами, размещёнными в репозитории freedom-u-sdk (для сборки следует использовать команду "make sim").

RISC-V предоставляет открытую и гибкую систему машинных инструкций, позволяющую создавать микропроцессоры для произвольных областей применения, не требуя при этом отчислений и не налагая условий на использование. RISC-V позволяет создавать полностью открытые SoC и процессоры. В настоящее время на базе спецификации RISC-V разными компаниями и сообществами развивается 7 вариантов ядер микропроцессоров (Rocket, ORCA, PULPino, OPenV/mriscv, VexRiscv, Roa Logic RV12, SCR1) и три SoC (lowRISC, Rocket Chip, Briey), которые разрабатываются под различными свободными лицензиями (BSD, MIT, Apache 2.0).

  1. OpenNews: Выпуск CoreBoot 4.6
  2. OpenNews: Open-V может стать первым массово производимым открытым чипом с архитектурой RISC-V
  3. OpenNews: Поддержка архитектуры ARMv6 в Linux, ядро 2.6 и встраиваемые системы.
  4. OpenNews: Во втором кандидате в релизы Linux ядра 2.6.30 появилась поддержка архитектуры MicroBlaze
  5. OpenNews: Компания ARM представила патчи для ядра Linux с поддержкой 64-битной архитектуры ARMv8
Обсуждение (49 +35) | Тип: К сведению |
17.11.2017 Проект Pale Moon представил новый браузер Basilisk и платформу UXP (123 +32)
  Разработчики Pale Moon представили первый публичный выпуск нового браузера Basilisk, который основан на движке Goanna (ранее созданный проектом форк Gecko) и платформе UXP (Unified XUL Platform), в рамках которой выполнено ответвление остальных компонентов Firefox из репозитория Mozilla Central, избавленных от привязок к коду на языке Rust. Сборки нового браузера подготовлены для Linux (только 64-бит) и Windows.

В браузере обеспечена поддержка старых дополнений на языке XUL, оставлена возможность загрузки любых плагинов с интерфейсом NPAPI (в том числе Unity, Flash и Java), возвращена поддержка звуковой подсистемы ALSA, обеспечена отрисовка шрифтов через библиотеку Graphite. При этом Basilisk также полностью поддерживает современные технологии, включая стандарт ECMAscript 6, API WebExtensions, WebAssembly (WASM), HSTS и TLS 1.3.

В отличие от Pale Moon в Basilisk используется интерфейс пользователя Australis, в виде, соответствующем Firefox 56. Из не принятых возможностей отмечается отключение проверки дополнений по цифровой подписи, отключение многопроцессного режима (Electrolysis), отказ от компонентов на языке Rust и наработок по модернизации интерфейса, подготовленных в рамках проекта Photon и представленных в Firefox 57.

Basilisk позиционируется как экспериментальный браузер, выступающий полигоном для развития платформы UXP, поэтому разработчики не гарантируют стабильность проекта - все релизы будут иметь уровень качества beta-выпусков. В 2018 году браузер Pale Moon планируют перевести на новую платформу UXP, но до этого перехода требуется довести эту платформу до желаемого вида, поэтому и создан ещё один браузер Basilisk, который позволит вести разработку новой платформы параллельно с текущей веткой Pale Moon (по сути Basilisk можно рассматривать как экспериментальную ветку Pale Moon).

  1. OpenNews: Выпуск браузера Pale Moon 27.6.0
  2. OpenNews: Pale Moon на пути создания нового браузерного продукта
  3. OpenNews: Выпуск браузера Pale Moon 26.0 с новым браузерным движком Goanna
  4. OpenNews: Проект Pale Moon создал форк браузерного движка Gecko
  5. OpenNews: Firefox-сборка Pale Moon не будет поддерживать DRM и оформление Australis
Обсуждение (123 +32) | Тип: Программы |
17.11.2017 GitHub добавил средства информирования об уязвимостях в репозиториях (6 +8)
  GitHub реализовал отображение меток, информирующих об использовании проектами зависимостей с неисправленными уязвимостями. Вместе с меткой также выводятся сведения о путях устранения проблемы и версиях, в которых уязвимость уже устранена. В настоящее время выставление меток добавлено только для проектов на языках Javascript и Ruby, которые составляют 75% от кода с зависимостями, размещённого на GitHub. В 2018 году ожидается вывод аналогичных меток для проектов на языке Python. Вывод уведомлений об уязвимостях и построение графа зависимостей по умолчанию включено для всех публично доступных проектов.

Дополнительно можно отметить публикацию отчёта о состоянии безопасности открытого кода, составленного с учётом существенного увеличения числа библиотек в репозиториях. Например, за год число пакетов в NPM увеличилось на 57%, в PyPi на 32%, а в RubyGems на 10.3%. Соответственно на 53.8% увеличилось число уязвимостей в библиотеках из подобных репозиториев, при том, что число уязвимостей в пакетах из состава RHEL наоборот уменьшилось на 65%.

По данным составителей отчёта вызывающие уязвимости ошибки в среднем находятся в коде два с половиной года и в 75% случаев выявляются не мэйнтенерами, а сторонними исследователями. В среднем на исправление проблемы после получения уведомления об уязвимости уходит 16 дней, при том, что 34% мэйнтенеров реагируют на проблему в течение первого дня, а 60% в течение недели. Для 14% проанализированных библиотек выявленные уязвимости так и не были устранены. Только в 16.1% случаев исправления были портированы для прошлых выпусков библиотек.

10% проектов запрашивают для уязвимостей идентификатор CVE, а 25% практикуют умалчивание связи исправленных проблем с уязвимостями. Лишь 11% уязвимостей в Node.js занесены в базу NVD (National Vulnerability Database), для Rubygems этот показатель сооставляет 67%.

  1. OpenNews: Незащищённость NPM к атакам по внедрению вредоносных модулей-червей
  2. OpenNews: В RubyGems устранена уязвимость, позволявшая подменять файлы в репозитории
  3. OpenNews: В каталоге Python-пакетов PyPI выявлено 10 вредоносных библиотек
  4. OpenNews: Применение тайпсквоттинга для распространения вредоносных модулей NPM, PyPI и Gems
  5. OpenNews: Более половины npm-пакетов могли быть скомпрометированы из-за ненадёжных паролей доступа
Обсуждение (6 +8) | Тип: Проблемы безопасности |
17.11.2017 Компания IBM представила открытый набор шрифтов Plex (67 +21)
  Компания IBM открыла набор шрифтов Plex, доступный в пропорциональном (с засечками и без засечек) и моноширинном вариантах в 9 начертаниях (Bold, Italic, Light, ExtraLight, Medium, Regular, SemiBold, Text и Thin). Plex позиционируются как шрифты широкого назначения, которые могут применяться в различных областях, от Web и подготовки документов до редакторов кода. В компании IBM шрифт уже применяется на сайте, в рекламных материалах и в документообороте в качестве замены проприетарному семейству шрифтов Helvetica Neue, требующему выплаты отчислений.

Исходные тексты шрифта распространяются под свободной лицензией SIL Open Font License, позволяющей неограниченно модифицировать шрифт, использовать его в том числе для коммерческих целей, печати и на сайтах в Web. Для загрузки подготовлены различные форматы, включая ttf, otf, eot, woff и woff2. В настоящий момент в базовый состав не включены символы национальных алфавитов, но шрифт позиционируется как многоязычный с обещанием поддержки 110 языков. По словам разработчиков реализация символов кириллицы находится на финальной стадии и скоро будет опубликована.

  1. OpenNews: Шрифты, разработанные для офисного пакета "МойОфис", опубликованы под открытой лицензией
  2. OpenNews: Проект Go опубликовал собственный шрифт для программистов
  3. OpenNews: Astra Linux и ПараТайп представили открытые шрифты PT Astra Sans и PT Astra Serif
  4. OpenNews: Представлена техника отрисовки шрифтов при помощи GPU
  5. OpenNews: Представлен открытый шрифт Hack 2.0, оптимизированный для отображения кода
Обсуждение (67 +21) | Тип: К сведению |
16.11.2017 Facebook открыл реализацию платформы и протокола маршрутизации Open/R (45 +7)
  Facebook открыл наработки, связанные с платформой маршрутизации Open/R, которая изначально развивалась как распределённая система маршрутизации для динамически меняющихся беспроводных mesh-сетей, но затем была перенесена для других сетевых применений, включая опорную сеть Facebook Express Backbone. Код эталонной реализации Open/R написан на языке C++ и распространяется под лицензией MIT. Для определения RPC-вызовов используется язык описания интерфейсов Apache Thrift, а для обмена сообщениями между узлами - шина ZeroMQ.

Для управления доступен расширяемый CLI-интерфейс Breeze, написанный на языке Python. Для интеграции с централизованными системами управления трафиком предоставляется API, позволяющих внешним обработчикам получать сведения о состоянии линков или отслеживать обновления БД, например, получать информацию об изменении пропускной способности. Также доступен эмулятор для тестирования при помощи виртуальных сетей на базе Open/R, поддерживающий симуляцию различных видов сбоев, трафика и характеристик работы участков сети (возникновения потери пакетов, перегрузки, задержек, jitter и т.п.).

Протокол Open/R подходит для создания автономных сетевых решений с построением оптимальных маршрутов на основе построения реплицируемой базы данных о состоянии каналов. Open/R может применяться как альтернатива OSPF и IS-IS, легко адаптируемая для различных применений. Распределённая система маршрутизации является одним из таких применений. Вместо реализации собственных механизмов согласования соединений, оформления кадров и других низкоуровневых элементов протокола, в Open/R применяется идея задействования языка Thrift для кодирования всех связанных с Open/R сообщений и применения для их передачи уже проверенной временем библиотеки ZeroMQ, позволяющей использовать такие расширенные схемы, как издатель-подписчик.

Open/R также изначально спроектирован как универсальная платформа, не привязанная к конкретным аппаратным системам и маршрутизаторам. Логика построения маршрутов и обмена информацией с другими узлами полностью отделена от средств установки маршрутов через специальную прослойку (модуль Platform). В качестве основной платформы для Open/R применяется сетевое оборудование на базе открытой платформы FBOSS, такое как коммутаторы Wedge 100. При этом Open/R не зависит от ASIC и также может работать как поверх обычного сетевого стека Linux, так и с операционными системами Arista EOS и Juniper JunOS (QFX и PTX) через предоставляемый ими API на базе gRPC.

Элементы архитектуры Open/R:

  • KV-STORE - отвечает за ведение распределённого хранилища в формате ключ/значение (in-memory DB на базе CRDT), синхронизацию данных и репликацию состояния между узлами;
  • Spark - выполняет задачи обнаружение соседних узлов при помощи протокола Link-Local Multicast и обрабатывает сведения об активности соседей. Каждый Hello-пакет передаётся с указанием цифровой подписи узла, что позволяет проверить его достоверность;
  • LinkMonitor - выполняет мониторинг сетевых интерфейсов, обращаясь через прослойку Platform, а также управляет сеансами модуля Spark и транслирует выявленные соседние узлы в модуль KV-STORE (поддерживает локальную базу соседних линков и управляет сеансами с соседними узлами);
  • PrefixManager - решает задачи автоматического распределения сетевых префиксов;
  • Decision - вычисляет оптимальные маршруты и строит локальную таблицу маршрутизации на основе информации о топологии сети и базы префиксов, полученных из хранилища KV-STORE;
  • FIB - работает как прокси для программирования вычисленных маршрутов в фактическом системном окружении, обращаясь к нему через модуль Platform. Также занимается поддержанием базы состояний вычисленных маршрутов (forwarding state);
  • Platform - прослойка для низкоуровневого программирования маршрутизации и взаимодействия с сетевыми интерфейсами. Создаётся для каждой целевой аппаратной платформы и абстрагирует доступ к ней.

Основные возможности:

  • Первоочередная поддержка IPv6 и задействование возможностей IPv6 по привязке локальных адресов для автоматической настройки без необходимости явного задания сетевой конфигурации;
  • Полноценная поддержка маршрутизации IPv4 при необходимости;
  • Распределение сетевых префиксов и настройка IP-адресов для узлов самоорганизующихся динамических сетей (Ad hoc);
  • Возможность перезапуска без остановки работы и без нарушения процессов перенаправления трафика, что позволяет организовать применение обновлений на лету;
  • Поддержка подсоединения и вывода из сети узлов и линков;
  • Динамическое вычисление метрик RTT (время приема-передачи) и их уточнение через активные проверки;
  • Возможность установки собственных значений метрик, их статическая привязка или динамическое вычисление;
  • Быстрая конвергенция сети с применением счётчиков отсрочки (backoff) для сбойных линков или узлов;
  • Python-библиотека для взаимодействия со всеми основными процессами Open/R;
  • Возможность расширения платформы путём распространения любых видов дополнительной информации и изменения логики вычисления маршрута;
  • Непрерывный контроль работоспособности сети через отправку проверочных запросов;
  • Наличие API для интеграции с централизованными системами управления.

  1. OpenNews: Facebook представил открытую платформу для создания сетевых коммутаторов
  2. OpenNews: Facebook открыл программные стеки для BMC-контроллеров и сетевых коммутаторов
  3. OpenNews: Компания Microsoft открыла код Linux-системы для сетевых коммутаторов
  4. OpenNews: Facebook запустил проект по созданию открытого оборудования для сотовых сетей
  5. OpenNews: Операционная система OpenSwitch перешла под крыло Linux Foundation
Обсуждение (45 +7) | Интересно
15.11.2017 Уязвимость в Apache CouchDB, позволяющая совершить атаку на реестр пакетов NPM (12 +5)
  Опубликованы сведения о двух уязвимостях, устранённых в недавно опубликованных выпусках документ-ориентированной СУБД Apache CouchDB 2.1.1 и 1.7.1. В своей комбинации уязвимости позволяют провести атаку по удалённому выполнению произвольных shell-команд на сервере с правами процесса CouchDB, имея доступ к БД.

Проблему усугубляет то, что по недосмотру или задумке администраторов многие БД под управлением CouchDB не защищены и открыты для доступа без аутентификации, чем уже пользуются вредоносные программы-шифровальщики. Уязвимости позволяют не только получить контроль над данными, но и продолжить атаку для получения контроля за всем сервером. Так как CouchDB применяется в реестре NPM для упрощение репликации данных на системы пользователей, уязвимости могли использоваться для изменения произвольных пакетов в реестре NPM, с которого еженедельно загружается более трёх миллиардов пакетов.

Первая уязвимость (CVE-2017-12635) проявляется из-за различий в работе используемых в CouchDB двух парсеров JSON, написанных на Erlang и JavaScript. Парсер на Erlang допускает добавление записи в БД "_users" с повторяющимися ключами, используемыми при определении прав доступа. В том числе можно добавить дубликат записи с меткой "_admin", через которую определяются пользователи с правами администратора. При наличии дубликатов ключей парсер на Erlang выдаёт первое совпадение, а JavaScript последнее.

Например, для добавления пользователя с правами администратора можно выполнить:


   curl -X PUT 'http://localhost:5984/_users/org.couchdb.user:oops'
   --data-binary '{
     "type": "user",
     "name": "oops",
     "roles": ["_admin"],
     "roles": [],
     "password": "password"
   }'

В процессе обработки данного запроса, содержащего два ключа "roles", реализация на Erlang обработает права "_admin", а реализация на JavaScript выдаст пустую строку. Подобное поведение приводит к тому, что при наличии в JSON двух повторяющихся ключей "roles", второй ключ будет использован при авторизации операций записи документа, а первый при авторизации только что созданного нового пользователя. Архитектура CouchDB не позволяет пользователям назначать себе права доступа, но из-за выявленной уязвимости обычный пользователь может назначить себе привилегии администратора.

Вторая уязвимость (CVE-2017-12636) присутствует в средствах настройки CouchDB через HTTP(S) и позволяет изменить путь к некоторым исполняемым файлам, вызываемым в процессе работы СУБД (параметр query_server). Пользователь с правами администратора (данные права можно получить при помощи первой уязвимости) может через манипуляцию с данными настройками вызвать любые shell-комманды в окружении операционной системы сервера, с правами под которыми выполняется СУБД. В том числе можно инициировать загрузку из глобальной сети произвольного скрипта и его выполнение на сервере.

  1. OpenNews: Следом за MongoDB начались атаки на CouchDB, Hadoop и ElasticSearch
  2. OpenNews: Выпуск документ-ориентированной БД Apache CouchDB 2.0
  3. OpenNews: Выпуск СУБД Couchbase Server 4.0, сочетающей возможности CouchDB, memcached и Membase
  4. OpenNews: Незащищённость NPM к атакам по внедрению вредоносных модулей-червей
  5. OpenNews: Более половины npm-пакетов могли быть скомпрометированы из-за ненадёжных паролей доступа
Обсуждение (12 +5) | Тип: Проблемы безопасности |
15.11.2017 Linux вытеснил остальные ОС из рейтинга суперкомпьютеров Top500 (190 +31)
  Опубликован 50-й выпуск рейтинга 500 самых высокопроизводительных компьютеров мира. Новый выпуск рейтинга примечателен двумя важными событиями: Во-первых, Linux полностью вытеснил остальные ОС и теперь используется на всех представленных в рейтинге суперкомпьютерах. Во-вторых, наблюдается наращивание мощных вычислительных кластеров в Китае, которые активно вытесняют из рейтинга американские системы, число которых уменьшилось за полгода с 168 до 143, а число китайских систем возросло со 160 до 202. Примечательно, что всего два c половиной года назад в Китае было 37 кластеров, входящих в TOP500.

В пятёрке самых мощных кластеров отмечается только одно изменение: кластер Gyoukou, введённый в строй японским агентством науки и технологий по изучению морских недр, вытеснил с четвёртого места кластер Titan, построенный в Национальной лаборатории Оук-Ридж (министерство энергетики США) на базе платформы Cray XK7.

Рейтинг по-прежнему возглавляет китайский кластер Sunway TaihuLight, работающий в национальном суперкомпьютерном центре Китая и демонстрирующий производительность в 93 петафлопс, что в три раза больше показателей занимающего второе место китайского кластера Tianhe-2, показавшего производительность в 33.9 петафлопс. На третьем месте кластер Piz Daint, развиваемый в швейцарском национальном суперкомпьютерном центре и демонстрирующий производительность в 19.6 петафлопс.

Наиболее интересные тенденции:

  • Самый мощный отечественный кластер Lomonosov 2 сместился с 59 на 63 место в рейтинге. Кластер Lomonosov опустился со 164 на 227 место. Третий по производительности отечественный кластер Tornado опустился с 297 на 412 место. Как и полгода назад в рейтинге остаётся только 3 отечественных кластера (в позапрошлом рейтинге было 5 отечественных систем, а в 2012 году - 12);
  • Распределение по количеству суперкомпьютеров в разных странах:
    • Китай: 202 (160 в прошлой редакции рейтинга);
    • США: 143 (168);
    • Япония: 35 (33);
    • Германия: 21 (28);
    • Франция: 18 (18)
    • Великобритания: 15 (17)
    • Италия: 6 (8);
    • Нидерланды: 6 (4)
    • Южная Корея 5 (8)
    • Швеция: 5 (5)
    • Польша 5 (6)
    • Канада 5 (6);
    • Австрия, Саудовская Аравия, Ирландия, Индия: 4;
    • Россия, Швейцария: 3.
  • В рейтинге операционных систем, используемых на суперкомпьютерах, теперь остался только Linux:

    • Linux - 500 систем, 100%
    • Unix - 0, (полгода назад было 2)
    • Смешанные - 0
    • Windows - 0
    • BSD - 0
  • Распределение по дистрибутивам Linux (в скобках указано значение из прошлой редакции рейтинга):
    • 53.4% (58.8%) не детализируют дистрибутив,
    • 21.8% (16.6%) используют CentOS,
    • 9.2% (8.6%) - Cray Linux,
    • 4.2% (4.2%) - SUSE,
    • 4.4% (3.4%) - RHEL,
    • 1.4% (1.2%) - Ubuntu;
    • 0.8% (0.8%) - Scientific Linux,

  • Минимальный порог пиковой производительности для вхождения в Top500 вырос за полгода с 430.5 до 548.7 терафлопсов, а для Top100 - с 1193 до 1283 терафлопсов. Система, замыкающая нынешний рейтинг, в прошлом выпуске находилась на 368 месте;
  • Суммарная производительность всех систем в рейтинге за полгода возросла с 749 до 845 петафлопсов (три года назад было 309 петафлопсов). В настоящее время 181 кластер демонстрирует производительность более петафлопcа (в прошлом рейтинге - 138, три года назад - 50);
  • Общее распределение по количеству суперкомпьютеров в разных частях света выглядит следующим образом: 252 суперкомпьютера находится в Азии (212 в предыдущем списке), 149 в Америке (176) и 93 в Европе (106);
  • В качестве процессорной основы лидируют CPU Intel - 94.2% (было 92.8%), на втором месте - IBM Power - 2.8% (было 4.2%), на третьем SPARC64 - 1.4%, на четвёртом AMD - 1% (было 1.2%);
  • 27% (31.6%) всех используемых процессоров имеют 12 ядер, 21% (12.8%) - 16 ядер, 10.6% (13.2%) - десять, 10.4% (9.6%) - 14 ядер, 9.2% (11.2%) - 8 ядер, 8% (7%) - 18 ядер, 4.6% - 20 ядер. Процессоры с числом ядер меньше 6 в рейтинг не попали;
  • 102 из 500 систем (в прошлом рейтинге - 91) дополнительно используют ускорители или сопроцессоры, при этом в 86 системах задействованы чипы NVIDIA (было 74), в 12 - Intel Xeon Phi (было 17), в 0 - GPU AMD (было 1), 5 - PEZY (2), в 2 используются гибридные решения (было 13);
  • Среди производителей кластеров на первом месте компания Hewlett-Packard 24.4% (28.6%), на втором месте - Lenovo 16.2% (17%), на третьем месте - Inspur 11.2%, на четвёртом - Cray 10.6% (11.4%), на пятом - Sugon 10.2% (9.2%), далее следуют IBM 3.8% (5.4%), Huawei 3.8%, Bull 3.4%, Dell EMC 3.2% и Fujitsu 2.4%.

В ближайшие дни ожидается новый выпуск альтернативного рейтинга кластерных систем Graph 500, ориентированного на оценку производительности суперкомпьютерных платформ, связанных с симулированием физических процессов и задач по обработке больших массивов данных, свойственных для данных систем. Рейтинг Green500 отдельно больше не выпускается и объединён с Top500, так как обеспечение энергоэффективности теперь отражается в основном рейтинге Top500 (учитывается отношение LINPACK FLOPS к потребляемой мощности в ваттах).

  1. OpenNews: Опубликована 49 редакция списка самых высокопроизводительных суперкомпьютеров
  2. OpenNews: Опубликована 48 редакция списка самых высокопроизводительных суперкомпьютеров
  3. OpenNews: Опубликована 47-я редакция списка самых высокопроизводительных суперкомпьютеров
  4. OpenNews: Опубликована 46-я редакция списка самых высокопроизводительных суперкомпьютеров
  5. OpenNews: Опубликована 45-я редакция списка самых высокопроизводительных суперкомпьютеров
Обсуждение (190 +31) | Тип: К сведению |
15.11.2017 Релиз среды разработки приложений KDevelop 5.2 (43 +20)
  Состоялся релиз интегрированной среды программирования KDevelop 5.2, полностью поддерживающей процесс разработки для KDE 5, в том числе с использованием Clang в качестве компилятора. Код проекта распространяется под лицензией GPL и использует библиотеки KDE Frameworks 5 и Qt 5.

Основные новшества:

  • В появившееся в прошлом выпуске меню Analyzer, объединяющее плагины для анализа кода, добавлены средства для использования Heaptrack, системы профилирования проблем с распределением памяти в куче для приложений на C/C++.

    По умолчанию обеспечен вызов статического анализатора cppcheck для C++ с возможностью отображения выявленных проблем непосредственно в редакторе кода;

  • Проведена большая работа по стабилизации и улучшении парсера для языка C++ и плагина семантического анализа, основанных на использовании Clang. В том числе обеспечена передача анализатору флагов компилятора, используемых системой сборки, без информации о которых невозможно корректно разобрать некоторые заголовочные файлы Qt. Увеличена производительность автодополнения кода C++ в ряде ситуаций. Возвращены некоторые возможности автодополнения кода, не перенесённые из ветки 4.x, такие как автоматическая подстановка точки с запятой;
  • Представлены различные улучшения, связанные с поддержкой языка PHP. Например, сокращено число ситуаций, приводящих в выводу предупреждений о проблемах с синтаксисом, в современном коде PHP. Добавлена поддержка новых возможностей языка и улучшено определение сведений о типах;
  • Проведена чистка кода плагина для языка Python. Устранены ложные предупреждения об именах, используемых в замыканиях, определённых позднее в том же файле. Налажена подсветка локальных переменных в лямбда-выражениях. Обеспечено корректное определение типов при слиянии кортежей с целыми константами и в выражениях "and" и "or";
  • Обновлены версии компонентов, используемых в версии KDevelop для Windows. Просмотрщик документации переведён на QtWebEngine вместо QtWebKit.

  1. OpenNews: Релиз среды разработки приложений KDevelop 5.1
  2. OpenNews: Релиз среды разработки приложений KDevelop 5.0
  3. OpenNews: Red Hat поглотил компанию Codenvy, создавшую среду разработки Eclipse Che
  4. OpenNews: Выпуск интегрированной среды разработки Qt Creator 4.4.0
  5. OpenNews: GitHub и Facebook представили открытую интегрированную среду разработки Atom IDE
Обсуждение (43 +20) | Тип: Программы |
14.11.2017 Выпуск Firefox 57 с многопоточным CSS-движком и новым оформлением (417 +47)
  Состоялся релиз web-браузера Firefox 57, а также мобильной версии Firefox 57 для платформы Android. Firefox 57 является одним из самых значительных выпусков в истории проекта. В новой версии переработан внешний вид браузера, осуществлён переход на WebExtensions и новый web-движок Quantum, комбинирующий проверенные временем компоненты движка Gecko с новыми возможностями по обеспечению многопоточной обработки данных, предоставляемые языком Rust и движком Servo.

В ближайшие часы ожидается обновление ветки с длительным сроком поддержки 52.5.0 и переход на стадию бета-тестирования ветки Firefox 58, релиз которой намечен на 23 января.

Основные новшества:

  • Интегрирован новый CSS-движок Stylo (Quantum CSS), подготовленный в рамках проекта Quantum, в котором производится работа по переносу в браузер возможностей, изначально развиваемых для движка Servo. Stylo написан на языке Rust и отличается распараллеливанием обработки стилей CSS. Так как разные CSS-стили теперь обрабатываются параллельно, не блокируя друг друга, отмечается значительное повышение скорости обработки страниц. В сочетании с оптимизациями, подготовленными в рамках проекта Flow и уже вошедшими в состав Firefox 55, выпуск Firefox 57 демонстрирует двухкратный прирост производительности в тесте Speedometer 2.0, по сравнению с версией Firefox 52.

    Что касается потребления памяти, то в тесте по открытию 30 вкладок Firefox c 4 процессами-обработчиками контента потребляет в среднем на 30% меньше памяти по сравнению с Chrome 61 (на каждую вкладку отдельный процесс).

    В дальнейшем в Firefox ожидается включение проекта Quantum DOM, который обеспечит распараллеливание операций с DOM (Document Object Model) и оставит в прошлом применяемую ныне однопоточную схему обработки контента. JavaScript-код для разных вкладок и iframe будет выполняться параллельно в отдельных нитях, что позволит увеличить отзывчивость браузера при использовании большого числа открытых вкладок. Для переключения между нитями будет задействован встроенный планировщик совместной многозадачности, переключающий контекст в "безопасные" моменты, например, при вызове функций и в вершине каждой итерации циклов, что позволит минимизировать использование блокировок.

    Также планируется реализовать эвристические методы для остановки выполнения кода во второстепенных фоновых вкладках, предоставить интерфейс для блокирования бесконечного зацикливания и снижения приоритета ресурсоёмких скриптов. Для отрисовки будут задействованы наработки проекта Quantum Render, основанном на системе композитинга Servo WebRender и привлекающем GPU для обработки графики.

  • Полный переход на технологию WebExtensions для дополнений. Поддержка XUL/XPCOM-дополнений полностью отключена (опция extensions.legacy.enabled=true в about:config пока оставлена, но не работает);
  • Реализован третий уровень sandbox-изоляции для платформы Linux, при котором в дополнение к ограничению доступа к системным вызовам при помощи Seccomp-bpf, запрету записи в ФС, исключению доступа к разделяемой памяти, временной директории и видеоподсистеме, для процессов браузера также реализовано ограничение на чтение произвольных данных из ФС и лимитирование доступа к настройкам тем оформления, шрифтам, библиотекам и совместно используемым данным. В том числе теперь невозможно прочитать данные из домашнего каталога и профиля пользователя. При необходимости доступ к отдельным каталогам можно открыть через включение в белые списки security.sandbox.content.read_path_whitelist и security.sandbox.content.write_path_whitelist или смену уровня изоляции через опцию security.sandbox.content.level в about:config;
  • Новое оформление интерфейса пользователя, подготовленное в рамках проекта Photon. Основные изменения:
    • Прямоугольные кнопки вкладок;
    • Скрытие по умолчанию панели поиска (только для новых установок, после обновления панель остаётся). В настройки добавлена опция, позволяющая вернуть отдельную форму для обращения к поисковым системам;
    • Новая стартовая страница ("about:home"), основанная на дополнении Activity Stream, предлагающем помимо часто посещаемых ресурсов, подборку рекомендованного сервисом Pocket контента, который потенциально может быть интересен пользователю (рекомендации пока показываются только пользователям США, Канады и Германии).
    • Новая реализация основного меню, в котором вместо многоколоночной сетки пиктограмм возвращено классическое меню.
    • Для дополнений предложено отдельное меню ">>", содержимое которого сможет настраивать пользователь. Интерфейс кастомизации ограничен возможностью изменения панели и состава дополнительного меню;
    • Новая кнопка "Библиотека", предоставляющая доступ к истории посещений, закладкам, загрузкам, синхронизированному контенту и ссылкам в Pocket. В меню также показывается подборка недавно открытых страниц.
    • В адресную строку встроено новое меню "...", через которое можно добавить закладку, отправить ссылку в Pocket, работать с буфером обмена, создать скриншот и поделиться материалом по электронной почте;
    • Новая боковая панель, отображаемая в правой части экрана и предоставляющая средства для быстрого переключения между закладками, историей посещений и вкладками с других устройств. Возможность закрепления боковой панели как слева от контента, так и в правой части экрана.
    • Два дополнительных режима: "для сенсорных экранов" и "компактный", при выборе которых увеличивается или уменьшаются отступы и интервалы между элементами;
    • Отдельная стартовая страница для режима "инкогнито".
    • Изменено оформление страниц, отображаемых при ошибках, для страниц в списках блокировки и при открытия по HTTPS сайтов с некорректным, просроченным или самоподписанным сертификатом;
    • Новое оформление системы настройки параметров браузера. Включена функция поиска настроек;
    • Применение анимированных эффектов для придания большей динамичности выполняемым операциям и акцентировании внимания на изменении состояний (например более заметная индикация завершения загрузки файла или прогресса загрузки содержимого вкладки);
    • Цветовая дифференциация важности всплывающих уведомлений. Например, наиболее важные уведомления выделяются красным, требующие внимания - желтым, а информационные - цветом фона;

    В настройки добавлена опция, позволяющая для всех окон и вкладок включить блокирование JavaScript-кода, связанного с отслеживанием поведения пользователя и перемещений между сайтами. Ранее систма блокирования отслеживания перемещений была ограничена режимом "инкогнито". Реализованная в Firefox система использует метод блокирования внешних JavaScript-скриптов, изображений и iframe-страниц с сайтов, занесённых в чёрный список disconnect.me. При этом блокируются не только конкретные файлы, а любые запросы к доменам, уличённым в отслеживании пользователей вопреки установке заголовка Do Not Track. В том числе, под блокировку подпадают счётчики, виджеты и некоторые рекламные блоки. В соответствии с ранее проведённым исследованием, включение блокировки отслеживания приводит к сокращению времени загрузки страниц в среднем на 44% и уменьшению размера загружаемых данных на 39%.

  • В настройках расширена секция для управления правами доступа всех сайтов. Например, можно сразу всем запретить доступ к камере, микрофону, API для определения местоположения и средствам доставки уведомлений, предоставив выборочный доступ только избранным ресурсам;
  • Переработано оформление интерфейса инструментов для разработчиков. Представлена упрощённая навигационная панель с элементами в виде вкладок и визуальное выделение центрального блока с кодом по отношению к панелям. Пересмотрена цветовая схема, используемая при подсветке синтаксиса HTML и JavaScript. Красный цвет теперь закреплён только за ошибками. Убраны слишком кричащие цвета в пользу умеренной тёплой цветовой гаммы. Увеличена читаемость кода.
  • В инструментах для разработчиков полностью переписаны консоль, отладчик и сетевой мониторинг, которые теперь реализованы с использованием штатных web-технологий, включая фреймворки React и Redux. Существенно расширены возможности инспектирования - добавлена поддержка CSS Grid и CSS Variables. В консоли появилась возможность группировки сообщений и раскрытия кода объектов. В отладчике предоставлены новые методы поиска, навигации и отладки проектов;
  • Добавлен интерфейс для управления данными сайтов, сохраняемыми на локальной системе;
  • Включено по умолчанию свойство dom.forms.datetime, позволяющее использовать в формах поля ввода даты и времени ("input type=date" и "input type=time");
  • Внесена порция улучшений в систему автозаполнения форм: добавлена дополнительная эвристика для определения типа данных в полях форм ввода, обеспечена возможность автоматического сохранения адреса после отправки формы, добавлен предпросмотр данных которые будут заполнены в полях при выборе предложенного варианта автозаполнения;
  • Вставка из буфера обмена средней кнопкой мыши в области контента больше не приводит к открытию URL, находящегося в буфере обмена (данная особенность приводила к казусам, например, если промахнуться кликая средней кнопкой на ссылке, мог открыться другой URL);
  • Функция автоматической прокрутки страницы (autoscrolling) теперь работает в асинхронном режиме (упреждающая отрисовка контента не попадающего в видимую область), по аналогии с другими методами ввода (например, прокруткой колесом мыши);
  • Удалена поддержка кнопки "Share", которая завязана на неофициальный Social API и несовместима с WebExtension. Для пользователей, которым хочется разместить кнопку для быстрой отправки ссылок в Facebook, Twitter, Google+, Linkedin, Reddit, Tumblr, Telegram, Gmail и Diaspora рекомендуется установить дополнение Share Backported;
  • Добавлена поддержка встроенного в чипы AMD аппаратного декодировщика видео в формате VP9, позволяющего снизить нагрузку на CPU и продлить время автономной работы при просмотре видео;
  • В США, Канаде, Гонконге и Тайване возвращено использование Google в качестве поискового сервиса по умолчанию, вместо ранее применяемого Yahoo. В России, Беларуси и Казахстане по-прежнему по умолчанию предлагается Yandex;
  • В версии для платформы Android обновлён интерфейс, реализована блокировка воспроизведения видео в неактивных вкладках, в адресной строке обеспечена возможность прокрутки длинных URL;

Кроме новшеств и исправления ошибок в Firefox 57 устранена серия уязвимостей, из которых несколько помечены как критические, т.е. могут привести к выполнению кода злоумышленника при открытии специально оформленных страниц. В настоящее время информация с подробностями об исправленных проблемах безопасности недоступна, ожидается, что перечень уязвимостей будет опубликован в течение нескольких часов.

  1. OpenNews: В Firefox 58 появится защита от скрытой идентификации пользователей при помощи Canvas
  2. OpenNews: Mozilla планирует протестировать в Firefox возможности Lockbox, Tabsplit, ThemesRfun и Foxy
  3. OpenNews: Эксперимент Mozilla приведёт к утечке данных, вводимых в адресной строке Firefox
  4. OpenNews: План поддержки XUL-дополнений в ESR-ветке Firefox
  5. OpenNews: Релиз Firefox 56
Обсуждение (417 +47) | Тип: Программы | Интересно
14.11.2017 Релиз Linux-дистрибутива Fedora 27 (50 +24)
  Представлен релиз Linux-дистрибутива Fedora 27. Для загрузки подготовлены продукты Fedora Workstation и Fedora Atomic Host, а также набор "спинов" c Live-сборками десктоп-окружений KDE Plasma 5, Xfce, MATE, Cinnamon, LXDE и LXQt. Сборки сформированы для архитектур x86, x86_64, Power64, ARM64 (AArch64) и различных устройств с 32-разрядными процессорами ARM.

Выпуск Fedora 27 для серверных систем отложен до 9 января в связи с переходом на модульную архитектуру, которая подразумевает компоновку дистрибутива из отдельно обновляемых модулей, жизненный цикл которых не привязан к другим приложениям и основной начинке дистрибутива. До конца недели также задерживается формирование сборки RFRemix 27, адаптированной для отечественных пользователей.

Наиболее заметные изменения в Fedora 27:

  • Обновление рабочего стола GNOME до версии 3.26, в которой улучшена работа сеанса на базе Wayland, улучшены средства поиска, добавлена анимация раскрытия и сворачивания окон, появилась поддержка цветных Emoji, отключен системный лоток, проведён редизайн конфигуратора, представлена новая панель настройки экрана, обеспечена поддержка синхронизации с Firefox в Epiphany;
  • Обновлены версии программ, в том числе GCC 7, Perl 5.26, Qt 5.9.1, Boost 1.64, Node.js 8, Go 1.9, Java 9, RPM 4.14, Ruby on Rails 5.1, Glibc 2.26, LibreOffice 5.4;
  • В Fedora Atomic упрощена настройка хранилища контейнеров, предоставлены адаптированные для запуска в контейнерах варианты Kubernetes, flannel и etcd;
  • В Fedora Media Writer, интерфейсе для создания загрузочных носителей, появилась возможность создания загрузочных образов для записи на SD-карты ARM-устройств, таких как Raspberry Pi;
  • Обеспечена поддержка загрузки на 64-разрядных системах с 32-разрядными прошивками UEFI;
  • Добавлены пакеты с реализацией контроллера домена Active Directory на базе Samba 4.7. Ранее пакеты с Samba AD не поставлялись, так как была привязка Samba к Heimdal Kerberos. В версии Samba 4.7 появилась поддержка сборки с MIT Kerberos, что дало возможность собрать пакеты для Fedora;
  • В качестве альтернативного графического интерфейса управления пакетами вместо Yumex-DNF задействован интерфейс dnfdragora, написанный на Python 3 с использованием универсальной библиотеки виджетов libYui, поддерживающей формирование интерфейса на базе Qt 5, GTK+ 3 и ncurses;
  • В состав включён мультимедийный сервер PipeWire, развивающийся как замена PulseAudio с поддержкой видео. В текущем выпуске PipeWire задействован для организации совместного доступа к экрану и захвата содержимого экрана в GNOME Shell, но в дальнейшем на него планируется перевести обработку всех видео и аудио потоков.

Одновременно для Fedora 27 введены в строй "free" и "nonfree" репозитории проекта RPM Fusion, в которых доступны пакеты с дополнительными мультимедиа приложениями (MPlayer, VLC, Xine), видео/аудио кодеками, поддержкой DVD, проприетарными драйверами AMD и NVIDIA, игровыми программами, эмуляторами.

  1. OpenNews: Проект Fedora опубликовал первый выпуск модульного серверного дистрибутива Boltron
  2. OpenNews: Релиз Linux-дистрибутива Fedora 26
  3. OpenNews: Сбой в инфраструктуре привёл к недоступности серверов Red Hat, Fedora и GNOME
  4. OpenNews: Утверждён план отказа Fedora Linux от альфа-выпусков
  5. OpenNews: Представлен мультимедийный сервер PipeWire, идущий на смену PulseAudio
Обсуждение (50 +24) | Тип: Программы |
14.11.2017 Первые планы по разработке GNOME Shell 4 (115 +18)
  Разработчики GNOME начали публикацию идей по дальнейшему развитию рабочего стола и определили первые планы, касающиеся GNOME Shell 4. В качестве ключевой задачи называется уход от архитектурных ограничений GNOME Shell 3, который спроектирован для работы в роли композитного менеджера для X11 и завязан на особенности X11 при взаимодействии с GPU и устройствами ввода.

Например, за передачу событий ввода, высокопроизводительную отрисовку и перемещение курсора отвечал X-сервер, к которому приложения могли обратиться напрямую, в обход GNOME Shell. После появления Wayland положение в корне изменилось и ранее решаемые X-сервером задачи легли на плечи GNOME Shell, который теперь должен сам перенаправлять события ввода и транслировать вывод окон клиентов к GPU.

В связи с этим выделяется пять ключевых проблем, требующих доработки GNOME Shell: перенаправление событий ввода и клиентского контента (прямой вывод без двойной буферизации) с минимальными задержками, обеспечение оперативной реакции курсора в ответ на события ввода, поддержка методов ввода в Shell UI и избавление от влияния притормаживания в основном потоке на перерисовку кадров при композитинге контента приложений.

План подразумевает два варианта дальнейшего развития оболочки. Первый вариант предлагает разбить GNOME Shell на два отдельных процесса, отвечающих за интерфейс пользователя и композитинг. Ключевым звеном процесса композитинга станет библиотека Libmutter, предоставляющая несколько обработчиков, вынесенных в отдельные потоки. В том числе в отдельные потоки предлагается выделить код для взаимодействия с видеоподсистемой через интерфейс KMS (Kernel mode-setting), обработки ввода, поддержки Wayland и композитинга/управления окнами.

Процесс с интерфейсом пользователя предлагается полностью переписать, избавившись от применения тулкита St (Shell Toolkit) в пользу штатного API GTK+. Для вывода предлагается использовать бэкенд GDK Wayland вместе с дополнительным расширением к протоколам Wayland, обеспечивающим интеграцию GNOME Shell с процессом композитинга. X-сервер полностью исключается из работы GNOME Shell - GNOME Shell будет оформлен как Wayland-клиент, всегда работающий через Wayland-бэкенд, даже когда обеспечивается работа сеансов X11.

Предложенная первым вариантом переработка решит все обозначенные проблемы, но для реализации задуманных архитектурных изменений потребует переписать с нуля значительную часть кода GNOME Shell, что приведёт к нарушению совместимостью с дополнениями и возможно необходимости их полной переработки. Для сглаживания разрыва совместимости с дополнениями рассматривается возможность развития GNOME Shell 4 до полной готовности в полностью отдельной ветке, поэтапный переход с постепенной заменой функциональности или назначение времени нарушения совместимости с постепенным переводом дополнений на новый API.

В качестве второго, щадящего, варианта называется применение прокси дисплейного сервера, который будет напоминать X-сервер и станет прослойкой, с которой могут взаимодействовать клиенты Wayland, транслирующей обращения к подсистемам KMS и libinput. При этом GNOME Shell напрямую не взаимодействует с KMS, а выполняет операции композитинга через данную прослойку. По сути прослойка будет выступать в роли полноценного сервера Wayland, что потребует полной реализации всех протоколов Wayland как в данной прослойке, так и в GNOME Shell.

Второй вариант требует существенно меньше трудозатрат и сохраняет совместимость с имеющимися дополнениями, но решает лишь первые 3 из 5 задач из списка намеченных проблем. Из положительных сторон отмечается не влияние крахов GNOME Shell на выполняемые в сеансе приложения, так как в случае подобных сбоев прослойка сохраняет состояние клиентских соединений. Из недостатков отмечается сохранение необходимости применения двух тулкитов (St и GTK+), не решаются проблемы с привязкой к методам ввода, требуется дублирование реализации протоколов Wayland (в прослойке и в GNOME Shell), а выполняемые через GNOME Shell операции отрисовки интерфейса пользователя по-прежнему могут приводить к задержкам операций отрисовки окон клиентов.

  1. OpenNews: Проект GNOME примет участие в разработке ПО для свободного смартфона Librem 5
  2. OpenNews: Выпуск пользовательского окружения GNOME 3.26
  3. OpenNews: В GNOME для Wayland реализована поддержка удалённого рабочего стола
  4. OpenNews: Проекту GNOME исполнилось 20 лет
Обсуждение (115 +18) | Тип: Обобщение |
13.11.2017 В Red Hat Enterprise Linux обеспечена поддержка архитектуры ARMv8 (39 +21)
  Компания Red Hat объявила о добавлении 64-разрядной архитектуры ARM (AArch64/ARMv8) в число полностью поддерживаемых платформ. Для серверов с архитектурой ARM64 сформирован выпуск дистрибутива Red Hat Enterprise Linux 7.4, который изначально был подготовлен для x86_64, IBM POWER7+, POWER8 (big endian и little endian) и IBM System z. Помимо RHEL для ARM64 также предложены продукты Red Hat Software Collections 3, Red Hat Developer Toolset 7 и платформа виртуализации на базе KVM (пока в статусе Development preview).

Версия для ARM64/AArch64 примечательна использованием отдельной ветки пакета с ядром Linux, основанной на выпуске 4.11 c применением дополнительных патчей, накопленных в ветке sig-altarch7-aarch64. Многие подсистемы ядра по умолчанию отключены, например, неактивны Bluetooth, Wi-Fi, MAC80211, dccp, BPF_JIT, IPVLAN, Btrfs, звуковые драйверы. Большинство пакетов совпадает с пакетами для Red Hat Enterprise Linux 7 Server, но некоторые версии приложений обновлены и модифицированы для лучшей работы на системах ARM. Например, внесены изменения в пакеты mozjs, js, libproxy, polkit и binutils.

Проект по созданию ARM-версии RHEL стартовал шесть с половиной лет назад и развивался при участии производителей оборудования и сообществ, занимающихся портированием Fedora для систем ARM и формированием сборок CentOS для ARM. В 2015 году был предложен предварительный выпуск RHEL для ARM (Development Preview), тестирование которого продолжалось более двух лет.

При разработке ARM-версии RHEL была поставлена цель унификации поддержки различных серверных ARMv8-A SoC в рамках единой программной платформы, построенной на общем наборе исходных текстов и предоставляющей единое решение для развёртывания на ARM-серверах от различных производителей и обеспечивающей совместимость на уровне приложений, управления и функциональности. В том числе RHEL 7.4 доступен для анонсированных сегодня серверов Apollo 70 на базе процессора Cavium ARMv8-A ThunderX2, позиционируемых компанией HP для высокопроизводительных вычислений и задач искусственного интеллекта. Среди других поддерживаемых плат: Mustang (Micro X-Gene), Seattle (AMD Opteron A1100), AppliedMicro Merlin, ThunderX, Hikey и ODROID-C2.

  1. OpenNews: Релиз Red Hat Enterprise Linux 7.4
  2. OpenNews: Предварительный выпуск Red Hat Enterprise Linux (RHEL) для архитектуры ARM64
  3. OpenNews: Началось формирование сборок CentOS 7 для архитектуры AArch64
  4. OpenNews: Доступен дистрибутив CentOS 7.1708, основанный на RHEL 7.4
  5. OpenNews: Доступны сборки CentOS 7.3.1611 для архитектуры ARM64/AArch64
Обсуждение (39 +21) | Тип: Программы |
12.11.2017 Релиз ядра Linux 4.14 (135 +57)
  После двух месяцев разработки Линус Торвальдс представил релиз ядра Linux 4.14. Среди наиболее заметных изменений: поддержка технологии AMD Secure Memory Encryption, возможность адресации до 128 Пб виртуальной памяти, поддержка алгоритма сжатия zstd, режим zero-copy для прямой передачи данных в сокеты из памяти процессов, включение в состав подсистемы HMM (Heterogeneous memory management).

В новую версию принято 13500 исправлений от 1300 разработчиков, размер патча - 51 Мб (изменения затронули 23024 файлов, добавлено 618312 строк кода, удалено 343899 строк). Около 32% всех представленных в 4.14 изменений связаны с драйверами устройств, примерно 32% изменений имеют отношение к обновлению кода специфичного для аппаратных архитектур, 8% связано с сетевым стеком, 3% - файловыми системами и 5% c внутренними подсистемами ядра.

Основные новшества:

  • Дисковая подсистема, ввод/вывод и файловые системы
    • Проведена большая работа по увеличению производительности подсистемы дисковых квот. Производительность создания файлов при включенных квотах в ext4 возросла примерно в два раза;
    • В ext4 увеличена масштабируемость при выделении места под inode. Обеспечена обратная совместимость с реализацией ea_inode из ФС Lustre;
    • В сетевой файловой системе CIFS добавлена поддержка чтения и записи расширенных атрибутов (xattr) с использованием протокола SMB2 и новее. В SMB3 добавлена возможность согласования диалектов для использования наиболее защищённой версии, поддерживаемой сервером (SMB2.1, SMB3.0, SMB3.02);
    • В Btrfs и SquashFS добавлена поддержка алгоритма сжатия zstd, который может рассматриваться как оптимальный компромисс, между быстрым но неэффективным lz4 и медленным но хорошо сжимающим xz. По сравнению с zlib/Deflate, zstd демонстрирует в 3-5 раз более высокую скорость сжатия и в два раза более быструю распаковку, при уровне сжатия выше на 10-15%.
    • В Btrfs добавлена возможность доступа на запись в деградировавшие RAID-массивы, если целостность всех блоков не нарушена. Улучшены алгоритмы распределения данных при использовании Btrfs на SSD-накопителях. Обеспечена возможность применения rbtree для отслеживания ссылок;
    • В F2FS добавлена поддержка обычных и журналируемых квот, добавлены ioctl F2FS_IOC_FS{GET,SET}XATTR, обеспечена возможность хранения контрольных сумм для inode;
    • Добавлен новый флаг IOCB_NOWAIT, при установке которого асинхронные операции буферизированного блочного ввода/вывода выполняются по возможности как в неблокирующем режиме (например, без флага IOCB_NOWAIT могут блокироваться операции управления памятью);
  • Виртуализация и безопасность
    • Добавлена поддержка шифрования отдельных страниц памяти при помощи представленной в процессорах AMD технологии SME (Secure Memory Encryption). SME позволяет пометить страницы памяти как подлежащие шифрованию, после чего данные страницы будут автоматически зашифрованы при записи в DRAM и расшифрованы при чтении из DRAM;
    • Из-за невостребованности и отсутствия сопровождающего удалён код системы виртуализации lguest, позволяющей загружать ядра Linux как пользовательский процесс;
    • Добавлена возможность использования file capabilities в пространстве имён идентификаторов пользователя (user namespaces), что позволяет обойтись одним расширенным атрибутом security.capability для любого файла;
    • Расширен перенесённый из патчей grsecurity плагин к GCC для рандомизации раскладки структур данных, который на этапе сборки делает непредсказуемым следование полей в структурах и затрудняет проведение атак, базирующихся на знании раскладки структур в ядре. Плагин теперь дополнительно автоматически выполняет перегруппировку элементов структур, состоящих целиком из указателей на функции;
    • Добавлена поддержка GCC-плагина structleak, обеспечивающего инициализацию всех переменных, которые используются в коде через обращение по ссылке (позволяет блокировать потенциальные утечки содержимого памяти);
    • В Xen добавлен фронтэнд для PV Calls ABI, позволяющий перенаправлять POSIX-вызовы между гостевыми системами. При помощи PV Calls вызов POSIX-функции, инициированный из приложения в DomU, может быть перенаправлен и обработан на стороне Dom0. Например, обращение к сетевому сокету может быть выполнено на стороне Dom0, позволяя реализовать новую сетевую модель, естественно вписывающуюся в концепцию cloud-native приложений;
  • Сетевая подсистема
    • Реализована возможность отправки данных в сетевой сокет в режиме zero-copy (вызов send с флагом MSG_ZEROCOPY), позволяющем организовать передачу данных по сети без промежуточной буферизации;
    • В подсистему GRE (Generic Routing Encapsulation) добавлена поддержка второго типа туннелей ERSPAN, которые могут использоваться для приёма или перенаправления трафика с данными мониторинга от коммутаторов Cisco;
    • Добавлена поддержка расширенных механизмов обработки локальных сегментов, определённых в новых вариантах спецификации IPv6 Segment Routing, а также возможность инкапсуляции пакетов IPv4;
    • В net/ncsi добавлена поддержка фильтрации VLAN;
    • Добавлена поддержка протокола NSH (Network Service Header), который может применяться как протокол третьего уровня модели OSI (как IPv4 и IPv6);
    • В netfilter реализована возможность рекурсивного удаления цепочек nf_tables. В xt_hashlimit представлен режим сопоставления по интенсивности поступления числа пакетов или байтов без применения rate limit (в отличие от rate limit, не ограничивает, а классифицирует поток, оценивая находится ли он выше или ниже заданной интенсивности);
  • Память и системные сервисы
    • Добавлена поддержка подсистемы Heterogeneous memory management (HMM), позволяющей использовать устройства с собственными блоками управления памятью (MMU, memory management unit), которые могут получать доступ к основной памяти. Например, при помощи HMM можно организовать совместное адресное пространство между GPU и CPU, в котором GPU может получить доступ к основной памяти процесса;
    • Добавлена система раскрутки стека ORC unwinder, позволяющая повысить надёжность трассировки стека в процессе отладки крахов ядра и увеличить качество анализа стека в момент применения live-патчей на предмет влияния подмены функции на выполняемые в текущий момент процессы. Выполнение раскрутки стека, т.е. определения цепочки вызовов, которые привели к текущему состоянию, является нетривиальной задачей в ядре, так как кроме вызова Си-функций приходится учитывать такие нюансы как вызовы из кода на ассемблере, прерывания и trap-исключения процессора;
    • В cgroup добавлен режим гибкого управления потоками процесса (cgroup.type threaded), в дополнение к ранее применяемой группировке всех потоков одного процесса и управления этой группой как единым целым. В режиме cgroup.type потоки одного процесса не обязаны входить в одну группу и могут быть разнесены по разным группам, но все из этих групп должны быть с типом threaded и размещаться в одной иерархии cgroup;
    • В подсистему RDMA, предоставляющую похожие на DMA возможности для организации прямого доступа к памяти другого компьютера, добавлен новый API для использования из пространства пользователя через ioctl();
    • В системный вызов membarrier(), обеспечивающий установку барьеров на память для всех работающих в системе потоков, добавлен режим MEMBARRIER_CMD_SHARED_EXPEDITED, позволяющий значительно ускорить выполнение вызова, ценой применения IPI (inter-processor interrupt);
    • В системный вызов madvise(), предоставляющий средства для оптимизации управления памятью процесса, добавлена опция MADV_WIPEONFORK, при которой после выполнении fork() указанный регион памяти будет получен дочерним процессом в обнулённом виде;
    • Для архитектуры x86 реализована поддержка пятиуровневых таблиц страниц памяти c 56-битной адресацией, позволяющих управлять до 128 Пб виртуального адресного пространства на системах с 4 Пб физической памяти (ранее поддерживалось 256 Тб и 64 Тб соответственно);
    • В системе динамического управления частотой процессора (cpufreq) появилась возможность раздельного управления каждым CPU, что позволяет улучшить управление питанием и повысить отзывчивость при изменениях нагрузки;
    • Продолжена оптимизация процесса вытеснения в раздел подкачки больших страниц памяти (Transparent Huge-Pages). Обеспечено откладывание разбиения больших страниц на маленькие до момента фактической записи в раздел подкачки или чтения из него, что позволило поднять пропускную способность вывода в раздел подкачки на 42% за счёт уменьшения конфликтов блокировок;
    • Реализован JIT-компилятор eBPF для архитектуры ARM;
  • Оборудование
    • В DRM-драйвере (Direct Rendering Manager) Nouveau добавлены средства для управления видеорежимами для GPU GP108 (GeForce GT 1030)
    • В DRM-драйвере AMDGPU добавлена начальная поддержка больших страниц памяти (hugepage) и продолжена реализация поддержки GPU Radeon RX Vega;
    • В DRM-драйвер для GPU Intel продолжена реализация поддержки грядущих процессоров на базе микроархитектуры Intel Cannonlake, улучшен код для выполнения сброса GPU, добавлена поддержка CCS (color compression) для буфера отрисовки следующего кадра;
    • Поддержка звуковых кодеков Realtek RT274, Wolfson Microelectronics WM8524 и Cirrus Logic CS43130;
    • Поддержка USB-контроллеров Atheros ath10k и Ralink USB PHY;
    • Добавлен драйвер "rtlwifi" для беспроводных карт на базе чипов Realtek RTL8822BE (802.11ac);
    • Для Raspberry Pi реализована поддержка шины обмена данными HDMI CEC (Consumer Electronics Control), позволяющая при помощи одного универсального пульта управлять устройствами, подключенными через HDMI;
    • Поддержка встроенных в CPU Allwinner и Freescale i.MX генераторов псевдослучайных чисел, а также средств ускорения криптографии по эллиптическим кривым в чипах Microchip и Atmel;
    • Поддержка Ethernet-контроллеров Hisilicon HNS3, Rockchip, Marvell CP110 и Adaptrum Anarion GMAC, а также беспроводных адаптеров Realtek RTL8822BE;
    • Подсистема драйверов IRDA (поддержка инфракрасного порта) перемещена в ветку staging с целью дальнейшего удаления из ядра (драйвер имеет проблемы с качеством кода и при этом не востребован);
    • Из основного ядра в репозиторий linux-firmware вынесен набор прошивок, ранее поставляемых в каталоге "firmware/". По сути, решено объединить в одном месте разрозненные прошивки, часть которых поставлялась в архиве с ядром, а часть в пакете linux-firmware. Набор прошивок в ядре продолжал поставляться по историческим причинам, но не обновлялся с 2013 года - вся связанная с прошивками активность была перемещена в репозиторий linux-firmware, который ныне рассматривается как актуальный источник прошивок.

  1. OpenNews: Тенденции в разработке ядра Linux за 2017 год
  2. OpenNews: Для ядра Linux адаптированы правила GPLv3 в отношении отзыва лицензии
  3. OpenNews: Срок поддержки LTS ядра Linux 4.4 увеличен c 2 до 6 лет
  4. OpenNews: Релиз ядра Linux 4.13
  5. OpenNews: Релиз ядра Linux 4.12
Обсуждение (135 +57) | Тип: Программы | Интересно
11.11.2017 Релиз сетевого конфигуратора NetworkManager 1.10 (38 +22)
  Представлен новый стабильный релиз интерфейса для упрощения настройки параметров сети - NetworkManager 1.10. Плагины для поддержки VPN, OpenConnect, PPTP, OpenVPN и OpenSWAN развиваются в рамках собственных циклов разработки.

Ключевые новшества NetworkManager 1.10:

  • Добавлена поддержка профиля Bluetooth NAP (Network Access Point) для развёртывания точек доступа в сеть через Bluetooth;
  • Реализована базовая поддержка мультипротокольного виртуального коммутатора Open VSwitch, позволяющая управлять созданием простых сетевых конфигураций на базе Open VSwitch;
  • Добавлена возможность активации PPP-соединений для сетевых интерфейсов, отличных от Ethernet;
  • Добавлена поддержка аутентификации в беспроводных сетях при помощи протокола WPS (Wi-Fi Protected Setup);
  • Реализована возможность использования механизма обеспечения безопасности в беспроводных сетях - PMF (Protected Management Frames, 802.11w), настройки которого задаются через свойство wifi-sec.pmf;
  • Отключено выполнение операций фонового сканирования беспроводных сетей, не поддерживающих WPA-Enterprise;
  • Во встроенном клиенте DHCP появилась поддержка опции domain-search, позволяющей DHCP-серверу публиковать список частей доменных имён, прикрепляемых по умолчанию при операциях поиска по имени в DNS;
  • Для сетевых мостов добавлена поддержка свойства group-forward-mask;
  • Предоставлена возможность настройки с заданными приоритетами нескольких маршрутов по умолчанию для IPv6, полученных через RA (Router Advertisment);
  • Добавлена возможность привязки отдельных таблиц маршрутизации к каждому статическому или динамическому маршруту, заданному через DHCP, device-routes или IPv6 autoconf;
  • Обеспечено сохранение сетевого состояния устройства после вывода его из управления NetworkManager (установка статуса unmanaged);
  • Добавлено новое свойство connection.auth-retry для настройки числа повторных запросов аутентификации после неудачной попытки;
  • Появилась возможность обновления соединений, ассоциируемых с правилами маршрутизации в ifcfg-rh;
  • В утилите nmtui представлена поддержка смены MAC-адреса для агрегированных (bonding) соединений;
  • Обеспечен корректный разбор приоритета обращения к DNS-серверам, заданного в настройках systemd-resolved.

  1. OpenNews: Релиз сетевого конфигуратора NetworkManager 1.8
  2. OpenNews: Первый стабильный релиз сетевого конфигуратора ConnMan
  3. OpenNews: Разработчики systemd предложили новую систему для настройки сетевой конфигурации
  4. OpenNews: Ubuntu переходит на формат сетевой конфигурации netplan
  5. OpenNews: В ArchLinux интегрирован новый сетевой конфигуратор netctl
Обсуждение (38 +22) | Тип: Программы |
10.11.2017 Результаты исследования методов захвата учётных записей (54 +15)
  Компания Google совместно с Калифорнийским университетом в Беркли подвела итоги (PDF-отчёт) исследования методов, используемых злоумышленниками для получения контроля за учётными записями пользователей. Судя по статистике более 15% всех пользователей глобальной сети сталкивались с захватом их учётных записей в социальных сетях или сервисах электронной почты. Представленные в отчёте данные получены на основе анализа баз паролей и инструментариев для осуществления фишинга и перехвата паролей, продаваемых на некоторых чёрных рынках с марта 2016 по март 2017 года.

В качестве наибольшей угрозы для пользователей называется захват паролей в результате фишинга, когда сами пользователи вводят свои параметры входа в подставных формах, стилизованных под оригинальные сервисы. На втором месте кейлоггеры, которые перехватывают и отправляют на серверы злоумышленников локальный ввод пользователей систем, заражённых вредоносным ПО или на которые установлены троянские приложения. На третьем месте использование паролей, фигурирующих в базах данных, полученных в результате взломов крупных web-сервисов (многие пользователи используют одинаковые логины и пароли на разных сайтах).

Из общей массы перехваченных учётных записей, сведения о которых удалось получить в результате исследования, 3.3 миллиарда паролей было получено злоумышленниками в результате взломов, 12.4 млн через фишинг и 788 тысяч при помощи кейлоггеров. В 12% записей, полученных в результате взломов, фигурировал адрес электронной почты Gmail. При этом в 7% из подобных записей пароли подходили и для аккаунта в Gmail (использовались одинаковый пароль в Gmail и на взломанном сайте).

12% из паролей, присутствующих в базах, полученных при использовании кейлоггеров, и 25% паролей в базах фишинга, содержали действующие пароли для учётной записи в Google. Но так как из-за многоуровневых проверок для входа мало одного пароля, атакующие также пытаются получить и сопутствующие данные. Например, 82% инструментов для проведения фишинга и 74% кейлоггеров также сохраняют сведения об IP-адресе и местоположении, а 18% номере телефона и модели устройства. Для всех скомпрометированных учётных записей, выявленных в результате исследования, был инициирован процесс смены пароля с блокированием входа под старым паролем.

За время проведения исследования было выявлено 4069 инструментов для проведения фишинга и 52 кейлоггера, которые использовались для совершения атак. Наиболее популярными методами фишинга была симуляция входа в сервисы Gmail (72%), Yahoo (6.8%), Yandex (5.1%), Hotmail (4.2%) и Outlook (2.2%). Из почтовых сервисов, против пользователей которых были организованы атаки через кейлоггеры, названы Gmail (39%), Yandex (12.3%), Mail.ru (8.5) и Hotmail (3.6). Связанная с управлением фишингом активность главным образом была сосредоточена в Нигерии (41.5%), США (11.4%), Марокко (7.6%) и ЮАР (6.4%). Рейтинг наиболее популярных паролей возглавили 123456, password, 123456789, abc123, password1, 111111, qwerty и 12345678.

  1. OpenNews: Уязвимость в Apache Struts стала причиной утечки персональных данных 143 млн американцев
  2. OpenNews: Получение контроля над смартфоном после ремонта через комплектующие
  3. OpenNews: В результате фишинга получен контроль ещё над 6 дополнениями к Chrome
  4. OpenNews: Новый метод фишинга с использованием unicode-символов в домене
  5. OpenNews: Большинство VPN-приложений для Android не заслуживают доверия
Обсуждение (54 +15) | Тип: Проблемы безопасности |
Следующая страница (раньше) >>


  Закладки на сайте
  Проследить за страницей
Created 1996-2017 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor