Microsoft открыл Hyperlight, гипервизор для изоляции отдельных функций в приложениях

Компания Microsoft представила проект Hyperlight, развивающий гипервизор, предназначенный для встраивания в приложения с целью изолированного выполнения кода, не заслуживающего доверия или требующего особой защиты. Гипервизор оформлен в виде разделяемой библиотеки, обеспечивающей выполнение отдельных функций в легковесных виртуальных машинах (micro-VM) и организующей обмен данными с этими функциями. Код проекта написан на языке Rust и распространяется под лицензией Apache 2.0.

По сравнению с запуском традиционных виртуальных машин Hyperlight позволяет добиться низких задержек и минимальных накладных расходов. В Hyperlight задержки при создании виртуальных машин составляют 1-2 миллисекунды, что позволяет применять изоляцию на уровне запуска функций. Для сравнения запуск обычной виртуальной машины осуществляется не менее чем за 120 миллисекунд, а запуск изолированного sandbox-окружения для выполнения WebAssembly-кода при помощи Wasmtime runtime занимает 0.03 миллисекунды.

Для изоляции на платформе Linux поддерживается использование гипервизоров KVM и mshv (Microsoft Hypervisor в Azure Linux), а на платформе Windows - WHP (Windows Hypervisor Platform) и WSL2 (Windows Subsystem for Linux 2) c KVM. Платформа macOS пока не поддерживается. Отдельное ядро и операционная система в виртуальной машине не используются. Начинка для виртуальной машины формируется в форме самодостаточной загружаемой программы, включающей код запускаемой функции в обвязке из runtime и специализированного минимального ядра. В виртуальной машине используется единый линейный фрагмент памяти и назначается виртуальный CPU, без маппинга устройств и без разделения на процессы.

Процесс разработки основан на связывании основного кода приложения с библиотекой Hyperlight Host, координирующей запуск виртуальных машин, а кода запускаемых изолированном режиме функций (гостевых функций) с библиотекой Hyperlight Guest, предоставляющей API для взаимодействия с внешней частью приложения и возможности для обособленного выполнения кода без окружения операционной системы.

https://honk.any-key.press/d/G7L6HK9wHl3JcF5W9RBCp.png

Предоставляемая прослойка для взаимодействия между хост-приложением и изолированными функциями позволяет не только вызывать изолированные функции из хост-приложений, но и наоборот, обращаться к функциям хост-приложений из изолированных функций. Список внешних функций, допустимых для вызова из изолированных функций, жёстко регламентируется. По умолчанию доступ из изолированных функций ограничен минимальным API, позволяющим передавать сообщения хост-приложению.

В будущем Microsoft планирует передать проект некоммерческой организации Cloud Native Computing Foundation (CNCF) для совместного развития на нейтральной площадке, не зависящей от отдельных производителей. Организация CNCF работает под крылом Linux Foundation и курирует разработку таких проектов, как Kubernetes, etcd, Cilium, Containerd, cri-o, Flux, Helm, Istio и gRPC.

Источник: https://www.opennet.ru/opennews/art.shtml?num=62226

Обновление Firefox 132.0.2

Доступен корректирующий выпуск Firefox 132.0.2, в котором устранено несколько проблем:

- Исправлена ошибка, приводившая к аварийному завершению при определённых манипуляциях в панели Network Monitor в инструментах для web-разработчиков. Например, для краха достаточно было открыть панель отслеживания сетевой активности для сайта X.com.
- Устранены ошибки при воспроизведении зашифрованного мультимедийного контента через некоторое стриминговые сервисы, использующие DRM-защиту Widevine L3.
- Значение настройки dom.push.maxRecentMessageIDsPerSubscription увеличено с 10 до 100, что позволяет кэшировать больше идентификаторов push-сообщений для увеличения эффективности отсеивания дубликатов и снижения частоты вывода повторных push-уведомлений.
- Устранено зависание при попытке вывода на печать некоторых сайтов (например, outlook.office.com) через системный диалог вывода на печать (если выставлен параметр print.prefer_system_dialog).
- Устранено аварийное завершение при использовании Microsoft SSO на платформе macOS.

Источник: https://www.opennet.ru/opennews/art.shtml?num=62227

Проект TrapC развивает Си-подобный язык, безопасно работающий с памятью

Стартап Trasec развивает язык программирования TrapC, представляющий собой диалект языка Си, обеспечивающий безопасную работу с памятью. Для блокирования ошибок при работе с памятью, таких как выход за границы выделенного буфера и обращение к уже освобождённой памяти, в TrapC применяется фундаментально иной способ работы с указателями и специальный механизм перехвата ошибок на основе обработчиков исключений (trap). Исходный код компилятора для TrapC планируют открыть в 2025 году.

Заявлено, что особенности работы с указателями по возможности не будут нарушать привычный уклад и будут реализовываться силами компилятора. По задумке авторов языка компилятор будет гарантировать, что указатели ссылаются только на связанные с ними области памяти, а также проверять все границы буферов. Компилятор запоминает типы и не допускает небезопасное приведение типов. Все создаваемые переменные и буферы явно инициализируются или заполняются нулями компилятором.

Вместо malloc в TrapC используется похожий на C++ конструктор new. Вызовы free и delete отсутствуют, а за освобождение памяти отвечает компилятор, что защищает от ошибок, приводящих к утечке памяти. В куче применяется инкрементальное автоматическое управление памятью, но без сборщика мусора. На уровне ABI TrapC будет совместим с Си, что позволит комбинировать в одном приложении код на TrapC и чистом Си, но для кода Си не будет обеспечиваться безопасность работы с памятью.

Проект развивает Робин Роу (Robin Rowe), бывший профессор компьютерных наук, принимавший участие в комитетах по развитию стандартов С и С++, в своё время создавший графический редактор Cinepaint, использовавшийся при создании некоторых голливудских фильмов, и POSIX-библиотеку libunistd для Windows. Соучредителем компании Trasec выступает Габриэль Пантера (Gabrielle Pantera), занимавшая руководящий пост в компании Disney.

Подробности о проекте пока не приводятся, показано лишь несколько примеров с кодом, в котором, например, заявлено, что TrapC не даст переполнить буфер buff при выполнении "strcpy(buff,argv[1]);" или не даст увеличить указатель или индекс массива на значение, смещающее его за пределы выделенного буфера или конца массива. Как именно достигается подобная защита не поясняется.

   // darpa_tractor.c

   int main(int argc,char* argv[])
   {   char buff[8]; // TrapC implicitly zeros, no dirty memory    
           int success = 0;// In C, buffer overwrite corrupts success    
           strcpy(buff,argv[1]); // TrapC cannot overrun, strcpy safe    
           if(!strcmp(buff,"s3cr8tpw"))
           {       
                success = 1;    
           }    
           if(success) // TrapC blocked strcpy overwrite, success good    
           {       
                printf("Welcome!\n");    
           }      
           return !success;
   }

   // trapc_ptr.c

   int main()
   {   const char* ptr = "Hello World"; // 12 char wide    
           while(ptr) // No buffer overrun with TrapC 
           {       
                printf("%c",*ptr); // print one char at a time 
                ptr++;  // Steps off the end: TrapC nulls ptr!
           }  // Do NOT attempt this in C, will segfault!
           assert(ptr == 0);    
           return 0;
   }

   // trapc_array.c

        int score[10]; 
        printf("%i",score[-1]); // TrapC will not allow access
        for(int i = 0;i <= INT_MAX;i++) // C Undefined Behavior
        {  
             printf("%i",i);
        }
        // In C, above code is an infinite loop, will not stop.  
        // TrapC blocks i++ overflow wrap-around, stops.
        // TrapC will fail-safe, call error handler if defined.

Дополнение: Опубликована видеозапись презентации языка TrapC, анонсированного на проходящей в Бангкоке конференции W2140.

https://honk.any-key.press/d/G7Kz1d2QM1Cy8414R2MC8.png

https://honk.any-key.press/d/G7KMBMSL3DRhJn1zPplP4.png

Источник: https://www.opennet.ru/opennews/art.shtml?num=62224

Выпуск дистрибутива CachyOS 241110 с поддержкой THP Shrinker и AMD Cache Optimizer

Опубликован выпуск дистрибутива CachyOS 241110, основанного на пакетной базе Arch Linux и развиваемого в рамках непрерывной модели доставки обновлений. Дистрибутив примечателен включением оптимизаций для повышения производительности и предоставлением возможности установки различных сред рабочего стола. Помимо базового окружения на основе KDE для установки доступны GNOME, XFCE, i3WM, Wayfire, LXQT, OpenBox, Cinnamon, Cosmic, UKUI, LXDE, Mate, Budgie, Qtile, Hyprland и Sway. Размер установочного iso-образа 2.7 ГБ. Отдельно поставляются сборки (2.9) для носимых устройств (Handheld Edition) с интерфейсом в стиле GameMode и компонентами для любителей компьютерных игр.

В качестве файловых систем могут использоваться btrfs, zfs, ext4, xfs и f2fs. По умолчанию включён планировщик задач BORE, оптимизированный для снижения задержек на рабочем столе и повышения приоритета интерактивных процессов. Ядро и пакеты собраны с включением LTO-оптимизаций и задействованием инструкций, доступных в процессорах на базе микроархитектур x86-64-v3, x86-64-v4 и Zen4. При сборке базовых пакетов дополнительно задействованы оптимизации PGO (Profile-Guided Optimization) или BOLT (Binary Optimization and Layout Tool). В дистрибутиве поставляется web-браузер Cachy-Browser, основанный на Firefox и включающий изменения для усиления безопасности и повышения производительности, а также патчи от проекта Librewolf.

Основные изменения:

- В пакет с ядром бэкпортирован механизм THP Shrinker, намеченный для включение в ядро Linux 6.13 и выполняющий работу по выявлению и разделению малоиспользуемых (с большим числом неизменённых областей) больших страниц памяти (Transparent Hugepage). THP Shrinker пытается найти оптимальный баланс между увеличением производительности и излишним потреблением памяти - применение страниц памяти размером 2MB вместо 4kb снижает размер таблицы страниц памяти и повышает эффективность её кэширования, ценой менее экономного расходования памяти. На системах с постоянным использованием больших страниц памяти, на которых параметр /sys/kernel/mm/transparent_hugepage/enabled выставлен в значение "always", применение THP Shrinker позволяет снизить потребление памяти без негативного влияния на производительность.
- В состав включён драйвер AMD Cache Optimizer, позволяющий использовать технологию AMD 3D V-Cache для повышения производительности отдельных ядер CPU за счёт увеличения размера доступного им L3-кэша (режим Cache) или повышения частоты (режим Frequency).
- В драйвер AMD pstate из экспериментальной ветки ядра перенесены патчи, значительно повышающие производительность на ноутбуках Strix Point.
- При ручной установке пользователем проприетарного драйвера NVIDIA обеспечено автоматическое отключение прошивки GSP (часто пользователи вручную ставят другой проприетарный драйвер NVIDIA из-за проблем с GSP Firmware).
- На ноутбуках с GPU NVIDIA по умолчанию включён сервис nvidia-powerd, обеспечивающий поддержку механизма Dynamic Boost, позволяющего балансировать энергопотребление между CPU и GPU для повышения производительности.
- В пакет proton-cachyos перенесены патчи с поддержкой NVIDIA Optical Flow, что позволяет использовать технологию DLSS (Deep Learning Super Sampling) при генерации промежуточных кадров.
- Перенесён патч, решающий проблемы с синхронизацией на экранах с разрешением 5120x1440p и частотой обновления 240Hz.
- В установки с KDE добавлен пакет kdeplasma-addons.
- Возвращено старое поведение при установке менеджера загрузки rEFInd, что сняло ограничения, связанные с использованием файловых систем.
- До свежей версии обновлён инсталлятор Calamares.
- Предложены новые версии пакетов, среди которых ядро Linux 6.11.7, драйвер nvidia 565.57.01 и Mesa 24.2.6.
- Добавлен вариант ядра linux-cachyos-autofdo с включением экспериментальной оптимизацим AutoFDO (Auto-Feedback-Directed Optimization).

https://honk.any-key.press/d/SdkXszpSG2B5NY7l37.png

https://honk.any-key.press/d/FKTDw9GYtw419xpd22.png

Источник: https://www.opennet.ru/opennews/art.shtml?num=62220

DeepMind открыл код AlphaFold 3, AI-системы моделирования структуры белков

Компания Google DeepMind опубликовала исходные тексты системы машинного обучения AlphaFold 3, предназначенной для пространственного моделирования и предсказания трёхмерной структуры белков. За создание алгоритмов машинного обучения, реализованных во второй версии AlphaFold, в этом году присуждена Нобелевская премия по химии. Связанный с AlphaFold 3 инструментарий написан на Python и C++, и распространяется под лицензией CC BY-NC-SA 4.0. Натренированные модели предоставляются на основе пользовательского соглашения. Отдельно запущен сервер, позволяющий экспериментировать с AlphaFold 3 в online-режиме.

Модель, которая обучена на коллекции с описанием структур всех известных белков и аминокислотных последовательностей, решает проблему фолдинга белка и позволяет прогнозировать трёхмерную структуру новых белков с точностью, как минимум не уступающей лабораторному анализу, а при оценке взаимодействия белков с другими типами молекул значительно превосходящая существующие методы прогнозирования. Третья версия модели AlphaFold отличается задействованием новой архитектуры "Pairformer", развивающей идею архитектуры "трансформер".

В отличие от AlphaFold 2 новая версия не ограничивается белками, состоящими из одной полипептидной цепи, и может применяться для предсказания белковых комплексов с ДНК и РНК, а также моделирования модифицированных вариантов этих молекул. На вход AlphaFold передаётся список молекул, а на выходе формируется совместная 3D-структура, определяющая наиболее вероятное взаимодействие указанных молекул.

С практической стороны AlphaFold 3 может использоваться для разработки лекарств и методов лечения, а также создания новых белков. Например, при помощи AlphaFold спроектирован белок, способный прикрепляться к определённым раковым клеткам, что может использоваться в противораковой терапии нового поколения. AlphaFold также активно используется при изучении взаимодействия антител с белками для понимания иммунного ответа человека и создания новых антител.

Источник: https://www.opennet.ru/opennews/art.shtml?num=62223

Доступны утилиты wget 1.25 и Curl 8.11. Представлены платные LTS-выпуски Curl

Представлен релиз GNU Wget 1.25, программы для автоматизации загрузки файлов с использованием протоколов HTTP/HTTPS и FTP/FTPS. Утилита поддерживает такие возможности, как возобновление прерванных загрузок, зеркалирование сайтов с фильтрацией загружаемых данных по маскам, преобразование ссылок внутри документов, выставление Cookie и обновление только изменившихся файлов. Код проекта написан на языке Си и распространяется под лицензией GPLv3.

В новой версии:

- Переписан разбор части URL с информацией об имени пользователя (protocol://userinfo@host:port/path). Ранее wget при разборе userinfo неверно обрабатывал символ ";", что приводило к уязвимости (CVE-2024-38428) из-за того, что часть данных userinfo могла быть обработана как имя хоста. Например, имя пользователя "attackerhost;" в URL "ftp://attackerhost;@host" приводило к обращению к хосту "attackerhost", вместо "host".
- Прекращена поддержка сокращённого формата URL-ссылок на HTTP- и FTP-ресурсы (без явного указания протокола, например, "wget username:password@myserver"), который ранее был объявлен устаревшим и приводил к уязвимости CVE-2024-10524. Сведения об уязвимости пока не раскрываются, но судя по всему она является одним из вариантов вышеотмеченной проблемы CVE-2024-38428.
- Чтения из файлов и стандартного потока (stdin) переведено на использование неблокирующего режима. Изменение позволяет постепенно передавать через входной поток ссылки, используя команду "print_urls | wget -i-". Ранее wget читал имеющиеся данные и сразу закрывал файловый дескриптор.

Кроме того, можно отметить выпуск утилиты для получения и отправки данных по сети - curl 8.11.0, предоставляющей возможность гибкого формирования запроса с заданием таких параметров, как cookie, user_agent, referer и любых других заголовков. cURL поддерживает HTTP, HTTPS, HTTP/2.0, HTTP/3, SMTP, IMAP, POP3, SSH, Telnet, FTP, LDAP, RTSP, RTMP и другие сетевые протоколы. Код проекта распространяется под лицензией Curl (вариант лицензии MIT).

Среди изменений в curl 8.11:

- Устранена уязвимость (CVE-2024-9681), приводящая к возможности обратиться к ресурсу по протоколу http://, несмотря на наличие правил HSTS (HTTP Strict Transport Security), предписывающих использование только HTTPS. Проблема проявляется при наличии контроля над поддоменами атакуемого хоста. Например, при запросе хоста x.example.com атакущий может через манипуляции с HTTP-заголовком "Strict-Transport-Security:" повлиять на данные в кэше HSTS для домена example.com.
- Объявлена стабильной поддержка протокола WebSocket.
- Предоставлена возможность использования режима "--create-dirs" вместе с опцией "--dump-header".
- В криптобэкенд на базе GnuTLS добавлена поддержка сертификатов в формате P12.
- При использовании GnuTLS реализована поддержка механизма Early Data, позволяющего клиенту отправлять данные до завершения стадии согласования соединения TLSv1.3.
- Добавлена настройка для отключения протокола IPFS.
- Для GnuTLS и wolfSSL добавлена поддержка кэширования сеансов на базе протокола QUIC.
- Добавлена поддержка динамического включения поддержки TLS-расширения ECH (Encrypted Client Hello), предназначенного для шифрования информации о параметрах TLS-сеансов, таких как запрошенное доменное имя.
- Добавлена возможность совместного использования опций "--show-headers" и "--remote-header-name", а также использования опции "--skip-existing" вместе с "--parallel".

Дэниел Cтенберг (Daniel Stenberg), автор проекта curl, представил инициативу по поддержанию LTS-выпусков (Rock-solid), обновления с исправлением серьёзных ошибок и уязвимостей для которых будут публиковаться как минимум в течение 5 лет. Первым LTS-проектом объявлена ветка 8.9.x, для которой уже сформирован корректирующий релиз 8.9.2 с устранением двух уязвимостей. Доступ к LTS-обновлениям предоставляется только клиентам, заключившим договор о поддержке.

Код LTS-выпусков продолжает распространяться под прежней лицензией Curl (вариант MIT), но по отдельному запросу предусмотрена возможность поставки под отдельной коммерческой лицензией. Полученные средства будут потрачены на поддержание проекта и финансирование разработчиков. Новые LTS-ветки планируют формировать каждые 8-24 месяцев. Использование LTS-ветки позволит получить стабильную базу, избавленную от вероятности возникновения регрессивных изменений.

Источник: https://www.opennet.ru/opennews/art.shtml?num=62222

VMware Workstation и VMware Fusion стали бесплатными для коммерческого использования

Компания Broadcom, год назад поглотившая бизнес VMware, представила новые условия распространения проприетарных продуктов виртуализации для рабочих станций - VMware Workstation и VMware Fusion, работающих на платформах Linux, Windows и macOS. Предоставленная весной возможность бесплатного персонального использования теперь расширена и охватывает любые применения, в том числе использование в коммерческих целях.

Поставка отдельных платных продуктов Workstation Pro и Fusion Pro, распространявшихся по платной подписке, прекращена. Бесплатно распространяемые версии VMware Workstation и VMware Fusion будут включать все возможности, доступные в платных версиях "Pro". Broadcom продолжит сопровождение кодовой базы и активное инвестирование в разработку новых возможностей. Как и раньше новые версии VMware Workstation и VMware Fusion будут выпускаться регулярно и проходить полный цикл контроля качества.

Пользователи, ранее заключившие договоры на техническую поддержку, смогут как и раньше напрямую обращаться в службу поддержки или использовать ресурсы с портала поддержки. Остальным предлагается получать поддержку в online через форумы и каталог документации. Отмечается, что компания стремиться быть более клиентоориентированной - перевод VMware Workstation и VMware Fusion в разряд бесплатных систем позволит увеличить пользовательскую базу, что поможет лучше понять потребности и запросы пользователей, и использовать эту информацию для оптимизации и повышения качества своих продуктов.

Источник: https://www.opennet.ru/opennews/art.shtml?num=62221

Выпуск системы тестирования памяти Memtest86+ 7.20

Доступен выпуск программы для тестирования оперативной памяти Memtest86+ 7.20. Программа не привязана к операционным системам и может запускаться напрямую из прошивки BIOS/UEFI или из загрузчика для проведения полной проверки оперативной памяти. В случае выявления проблем построенная в Memtest86+ карта сбойных участков памяти может использоваться в ядре Linux для исключения проблемных областей при помощи опции memmap. Код проекта распространяется под лицензией GPLv2.

Основные новшества:

- Добавлена поддержка процессорной архитектуры LoongArch (LA664).
- Добавлена поддержка процессоров Intel на базе микроархитектуры Arrow Lake (Core Ultra Series 2) и процессоров AMD на базе микроархитектуры Zen5 (Ryzen 9000).
- Реализована предварительная поддержка архитектуры памяти многопроцессорных систем NUMA (Non-Uniform Memory Access).
- Внесены оптимизации производительности.

Источник: https://www.opennet.ru/opennews/art.shtml?num=62219

Релиз свободного воксельного игрового движка Luanti 5.10.0

После трёх месяцев разработки доступен выпуск свободного игрового движка Luanti 5.10.0, позволяющего с помощью Lua API создавать игры в стиле Minecraft, используя различные воксельные блоки для совместного формирования игроками различных структур и построек, образующих подобие виртуального мира. Ранее проект развивался под именем Minetest, но был переименован в связи с тем, что старое название могло создавать ложное ощущение, будто это недоделанный клон Minecraft. Движок написан на языке С++ c использованием 3D-библиотеки IrrlichtMt (форк Irrlicht). Код распространяется под лицензией LGPL-2.1, а игровые ресурсы под лицензией CC BY-SA 3.0.

Основные изменения:

- Редизайн внутриигрового интерфейса ContentDB. Новое меню позволяет более эффективно использовать пространство и более эстетично отображать большее количество информации.
- Новые визуальные эффекты, такие как простые отражения в воде и полупрозрачная листва https://honk.any-key.press/d/G7JLcW3T8gc192b1mY33v.png
- Поддержка формата анимированных моделей gITF.
- Поддержка формата файлов с переводами Gettext.
- Для платформы Android реализовано новое меню для управления с сенсорного экрана и добавлена поддержка управления при помощи клавиатуры и мыши.

Источник: https://www.opennet.ru/opennews/art.shtml?num=62218

Выпуск композитного сервера Niri 0.1.10, использующего Wayland

Опубликован выпуск композитного сервера Niri 0.1.10, реализующего метод мозаичной (tiling) компоновки в стиле GNOME-расширения PaperWM, в котором окна группируются в бесконечно прокручиваемую на экране ленту. Открытие нового окна приводит к расширению ленты, а ранее добавленные окна не меняют свой размер. Проект базируется на использовании протокола Wayland, но позволяет запускать приложения X11 при помощи DDX-сервера Xwayland. Код проекта распространяется под лицензией GPLv3. Пакеты формируются для Fedora, NixOS , Arch Linux и FreeBSD.

Принципиальным отличием Niri от PaperWM является привязка к каждому монитору собственной ленты окон, не пересекающейся с лентами на других мониторах (в PaperWM раздельная работа с мониторами не может быть реализована из-за привязки к глобальным оконным координатам в GNOME Shell). Niri поддерживает HiDPI и может работать на системах с несколькими GPU (например, гибридных системах с дискретной видеокартой и встроенным GPU). Имеется встроенный интерфейс для создания скриншотов и записи скринкастов, особенностью которого является возможность исключения из записи отдельных окон с конфиденциальной информацией.

Виртуальные рабочие столы в Niri создаются динамически и по аналогии с GNOME размещаются вертикально (лента окон вращается горизонтально, а лента рабочих столов - вертикально). На каждом мониторе может отображаться независимый набор виртуальных рабочих столов. Для переключения между рабочими столами и окнами можно использовать управляющие жесты на тачпаде. При отключении монитора раскладка виртуальных рабочих столов запоминается и переносится на оставшийся монитор, а при возвращении монитора восстанавливается в исходное состояние. Настройка осуществляется через файл конфигурации, позволяющий изменять такие параметры, как ширина рамок, отступы, режимы вывода и размеры окон. Внесённые в файл конфигурации изменения применяется автоматически без перезапуска композитного сервера.

https://honk.any-key.press/d/G7JM92D1gFJ34kpBNqJ26.png

В новой версии:

- Добавлен режим интерактивного перемещения окон, позволяющий перетащить окно на новое место удерживая заголовок окна мышью или касанием на сенсорном экране. Для предотвращения непреднамеренного изменения раскладки при начале перетаскивания требуется преодолеть определённый порог сопротивления откреплению от текущей позиции.
- Добавлена поддержка запроса set_cursor_position_hint. Если позиция курсора закреплена в режиме lock_pointer указанный запрос даёт возможность композитному менеджеру изменить конечную позицию курсора после его перемещения.
- Добавлена возможность привязки команд к событиям открытия или закрытия крышки ноутбука или перевода ноутбука в планшетный режим. Например, после перевода в планшетный режим можно активировать использование экранной клавиатуры. Также добавлена возможность автоматического перемещения виртуальных рабочих столов на внешний монитор (если он подключён), после закрытия крышки ноутбука.
- Добавлены опции для скрытия курсора во время набора текста или после определённого времени неактивности.
- Добавлены новые настройки устройств ввода, например, секция с параметрами трекбола и опции прокрутки колесом мыши или тачпадом.
- Обеспечено сохранение информации об активном виртуальном рабочем столе после переподключения монитора.
- Добавлено действие power-on-monitors для управление выводом монитора из ждущего режима (по умолчанию монитор автоматически активируется после любого собятия ввода).
- Добавлена файл для запуска niri под управлением сервисного менеджера dinit.

Источник: https://www.opennet.ru/opennews/art.shtml?num=62217

Релиз системы распознавания текста Tesseract 5.5.0

Опубликован релиз системы оптического распознавания текста Tesseract 5.5.0, поддерживающей Unicode и распознавание текстов более чем на 100 языках, включая русский, казахский, белорусский и украинский. Результат может сохраняться как открытым текстом, так и в форматах HTML (hOCR), ALTO (XML), PDF и TSV. Изначально система была создана в 1985-1995 годах в лаборатории компании Hewlett Packard, в 2005 году код был открыт под лицензией Apache и в дальнейшем развивался при участии работников компании Google. Исходные тексты проекта распространяются под лицензией Apache 2.0.

Tesseract включает в себя консольную утилиту и библиотеку libtesseract для встраивания функций распознавания текста в другие приложения. Из поддерживающих Tesseract сторонних GUI-интерфейсов можно отметить gImageReader, VietOCR и YAGF. Предлагается два движка распознавания: классический, распознающий текст на уровне шаблонов отдельных символов, и новый, базирующийся на применении системы машинного обучения на базе рекуррентной нейронной сети LSTM, оптимизированной для распознавания целиком строк и позволяющей добиться существенного увеличения точности. Готовые натренированные модели опубликованы для 123 языков. Для оптимизации производительности предлагаются модули, использующие OpenMP и SIMD-инструкции AVX2, AVX, AVX512F, NEON или SSE4.1.

Основные улучшения:

- Добавлена поддержка векторных расширений RISC-V V, на базе которых подготовлены ассемблерные оптимизации для систем с процессорами RISC-V.
- При записи результата в формате hOCR обеспечено выставление в создаваемом файле параметров ocrp_dir и ocrp_lang.
- Модернизирован код для определения доступных языковых моделей.
- Улучшен код для формирования файлов в формате hOCR и убрано преобразование имён файлов на платформе Windows.
- Разрешено указание символьных значений в опциях "--oem" и "--psm".
- В коде произведена замена функций access и _access на метод std::filesystem::exists(). Функции tprintf заменены на использование потока tesserr.
- Удалена поддержка платформы машинного обучения Tensorflow, которая в своё время была реализована, но так и не была задействована для выполнения AI-моделей распознавания.
- Улучшен установщик для платформы Windows.
- Субмодуль googletest обновлён до версии 1.15.2.

Источник: https://www.opennet.ru/opennews/art.shtml?num=62216

Состояние поддержи Wayland в проприетарных драйверах NVIDIA

Аарон Плaттнер (Aaron Plattner), один из ведущих разработчиков проприетарных драйверов NVIDIA, оценил состояние поддержки Wayland в проприетарных драйверах NVIDIA, и перечислил области в которых связанные с Wayland возможности пока отстают от X11. Информация соответствует ветке драйверов NVIDIA 565, находящейся на стадии бета-тестирования. Отставание связано как с проблемами в самом драйвере NVIDIA, так и с общими ограничениями протокола Wayland и композитных серверов на его основе.

Возможности, которые пока не планируются поддерживать в драйверах NVIDIA на системах с Wayland из-за ограничений протокола Wayland и композитных серверов.

- Cтереовывод (формирования стереокартинки с разными буферами для левого и правого глаза), используя GLX, EGL и Vulkan.
- Режим SLI Mosaic, позволяющий объединить несколько GPU в один логический GPU для создания большого виртуального экрана, состоящего из нескольких дисплеев.
- Конфигуратор nvidia-settings не позволяет добиться идентичного уровня настроек в разных композитных менеджерах, так как на системах с Wayland отсутствует единый механизм конфигурации экранов.

Некоторые функции не удаётся реализовать из-за невозможности обеспечить их одинаковую поддержку в разных композитных серверах Wayland. Но при этом данные возможности могут быть реализованы в приложениях, используя графический API Vulkan и Vulkan-расширение VK_KHR_display ("Vulkan Direct to Display"), позволяющее напрямую работать с экраном, минуя композитный сервер. Через Vulkan может быть обеспечена работа таких возможностей, как стереовывод (VK_KHR_multiview с отрисовкой в несколько вьюпортов), режим Vulkan Explicit SLI (через VK_KHR_device_group), группы фреймбуферов (Swap Group, через VK_NV_present_barrier), блокировки кадров (Frame Lock) и общие блокировки (Genlock).

Возможности, которые уже находятся в разработке или которые планируется добавить в будущих выпусках драйверов NVIDIA:

- Использование VRR (Variable Refresh Rate) в многомониторных конфигурациях в окружениях с Wayland. Будет добавлено в следующем выпуске драйверов NVIDIA.
- Выставление по умолчанию параметра "nvidia-drm fbdev=1", что решит проблемы некорректным выводом при использовании одного экрана драйверами nvidia-drm и simpledrm.
- Выставление по умолчанию параметра "nvidia-drm modeset=1".
- Поддержка использования в Wayland дисплейного мультиплексора (mux) для автоматического переключения, когда полноэкранное приложение осуществляет вывод через дискретный GPU. Дисплейные мультиплексоры применяются в ноутбуках с двумя GPU (интегрированным и дискретным) для прямого соединения дискретного GPU c встроенным или внешним экраном.
- Расширенные режимы дисплеев, такие как деформация, смешивание, смещение пикселей и свойства COLOR_ENCODING/COLOR_RANGE.
- Возможность использования с Xwayland буфера вывода на экран (front-buffer) при двойной буферизации.
- Поддержка в nvidia-drm (Direct Rendering Manager) механизма Presentation Timing для синхронизации вывода кадров на экран.
- Поддержка API VDPAU (Video Decode and Presentation) для задействования в окружениях на базе Wayland механизмов аппаратного ускорения для обработки видео в различных форматах и выноса на сторону GPU таких задач, как пост-обработка, слияние (compositing), отображение и декодирование видео.
- Поддержка в системах на базе Wayland технологии vGPU, позволяющей использовать виртуальные GPU NVIDIA в системах виртуализации для разделение ресурсов физического GPU NVIDIA.

Из недавно реализованных возможностей отмечается библиотека egl-x11, улучшающая поддержку программного интерфейса EGL в DDX-сервере Xwayland, применяемом для организации запуска X11-приложений в окружениях на базе Wayland.

Источник: https://www.opennet.ru/opennews/art.shtml?num=62214

Выпуск пакетного фильтра iptables 1.8.11

После года разработки опубликован выпуск классического инструментария для управления пакетным фильтром iptables 1.8.11, развитие которого последнее время сосредоточено на компонентах для сохранения обратной совместимости - iptables-nft и ebtables-nft, предоставляющих утилиты с тем же синтаксисом командной строки, как в iptables и ebtables, но транслирующих полученные правила в байткод nftables. Оригинальный набор программ iptables, включая ip6tables, arptables и ebtables, в 2018 году переведён в разряд устаревших и уже заменён на nftables в большинстве дистрибутивов.

В новой версии:

- Добавлена новая утилита arptables-translate, предназначенная для перевода правил arptables в формат конфигурации для использования с nftables.
- В утилиту ebtables-nft добавлена поддержка команд "--change-counters", "--replace" и "--list-rules". Добавлена возможность указания счётчиков для правил, используя синтаксис "-c N,M". Добавлена возможность обнуления отдельных правил.
- В утилите iptables-translate добавлена поддержка целей TPROXY и расширения xt_socket для проверки (match) сокетов. С iptables унифицировано определение имён протоколов.
- В утилите iptables включён неявный поиск расширений для протоколов dccp и ipcomp для достижения единого с iptables-save поведения.
- В утилите iptables-save исключены вызовы getprotobynumber() для повышения производительности при обработке больших наборов правил.
- В скрипт configure добавлена возможность отключения сборки с libnfnetlink.

Источник: https://www.opennet.ru/opennews/art.shtml?num=62213

Браузеру Firefox исполнилось 20 лет

Проект Mozilla празднует двадцать лет с момента первого выпуска браузера Firefox, который стал прорывным для своего времени. Всего спустя 5 месяцев после первого релиза Firefox отвоевал 6% рынка браузеров, уменьшив долю MSIE до 89.04%. Ключевыми особенностями Firefox были использование вкладок для отображения сайтов и задействование языка XUL для формирования интерфейса и разработки дополнений. До Firefox интерфейс на основе вкладок предоставляли только проприетарный браузер Opera и свободный проект Galeon, который из-за проблем со стабильностью и конфликта в среде разработчиков был заброшен и забыт, вскоре после появления Firefox.

Идея построения браузера с интерфейсом на языке XUL возникла в 2002 году, после чего потребовалось около двух лет на подготовку первого стабильного релиза. Для проекта вначале было выбрано имя Phoenix, но из-за пересечения с уже зарегистрированной торговой маркой, браузер был переименован в Firebird, что вызвало недовольство со стороны разработчиков одноименной свободной СУБД, после чего проект было решено вторично переименовать, теперь уже в Firefox.

В пике своей популярности в 2010 году доля Firefox составляла 32% рынка web-браузеров. В настоящее время по данным сервиса Cloudflare Radar доля Firefox составляет 3.8%. Для сравнения доля Chrome составляет 27.4%, Chrome Mobile - 30%, Mobile Safari - 13.5%, Chrome Mobile Webview - 8.3%, Edge - 5.5%, Safari - 3.3%, Samsung Internet - 2.1%. В соответствии с показателями сервиса Statcounter доля Firefox составляет 2.65%, а по статистике Wikipedia - 4.7%.

Лаура Чемберс (Laura Chambers), в этом году заменившая Митчелл Бейкер (Mitchell Baker) на посту руководителя (CEO) компании Mozilla Corporation, в интервью изданию Techcrunch рассказала о работе, предпринимаемой для вывода браузера из стагнации и возвращения ему былой популярности. По мнению Лауры, большой ошибкой многих компаний является то, что со временем они начинают отвлекаться на второстепенные вещи, забывая уделять должное внимание основному бизнесу. Отмечается, что теперь компания Mozilla будет меньше распыляться на смежные проекты и начнёт форсировать развитие Firefox.

В настоящее время уже значительно усилено финансирование разработки Firefox и готовятся к интеграции несколько значительных улучшений, таких как встроенный AI-ассистент, вертикальные вкладки, группировка вкладок и новые режимы обеспечения конфиденциальности. В отличие от конкурентов, Mozilla не занимается производством устройств и мобильных платформ, поэтому может конкурировать только предоставляя более качественный продукт, отвечающий потребностям пользователей. При продвижении Firefox среди новых пользователей одна из основных ставок делается на дополнительные возможности, связанные с конфиденциальностью.

Источник: https://www.opennet.ru/opennews/art.shtml?num=62212

Microsoft опубликовал дистрибутив Azure Linux 3.0.20241101

Компания Microsoft опубликовала обновление дистрибутива Azure Linux 3.0.20241101, продолжающее развитие сформированной в августе стабильной ветки 3.0. Дистрибутив развивается в качестве универсальной базовой платформы для Linux-окружений, используемых в облачной инфраструктуре, edge-системах и различных сервисах Microsoft. Наработки проекта распространяются под лицензией MIT. Сборки пакетов формируются для архитектур aarch64 и x86_64. Размер установочного образа 751 МБ.

Среди изменений в новой версии:

- Для систем на базе архитектуры ARM добавлена поддержка спецификации FF-A (Firmware Framework for Arm A-profile).
- Включён модуль ядра intel_ifs (In-Field Scan), позволяющий запускать на процессорах Intel низкоуровневые диагностические тесты CPU, способные выявлять проблемы, не определяемые штатными средствами на основе кодов коррекции ошибок (ECC) или битов чётности.
- В загрузчик GRUB2 добавлены SBAT-записи для Fedora Linux.
- При сборке ядра включена настройка CONFIG_X86_AMD_PLATFORM_DEVICE, при которой специфичные для чипов AMD устройства ACPI обрабатываются как типовые устройства платформы, такие как I2C, UART и GPIO.
- Обеспечена работа команд iptables через трансляцию правил в байткод nftables (помимо iptables-legacy задействован пакет iptables-nft).
- Обновлены версии пакетов, среди которых ядро Linux 6.6.57, Go 1.23, OpenIPMI 2.0.36, libpcap 1.10.5, vim 9.1.0791, mysql 8.0.40, clamav 1.0.7, cloud-init 24.3.1, php 8.3.12, mdadm 4.3, libarchive 3.7.7.

Дистрибутив Azure Linux предоставляет небольшой типовой набор основных пакетов, выступающих универсальной основой для создания начинки контейнеров, хост-окружений и сервисов, запускаемых в облачных инфраструктурах и на edge-устройствах. Более сложные и специализированные решения могут создаваться путём добавления дополнительных пакетов поверх Azure Linux, но основа для всех подобных систем остаётся неизменной, что упрощает сопровождение и подготовку обновлений.

Azure Linux применяется в качестве основы мини-дистрибутива WSLg, в котором предоставляются компоненты графического стека для организации запуска GUI-приложений Linux в окружениях на базе подсистемы WSL2 (Windows Subsystem for Linux). Расширенная функциональность в WSLg реализуется через включение дополнительных пакетов с композитным сервером Weston, XWayland, PulseAudio и FreeRDP.

Для управления сервисами и загрузкой применяется системный менеджер systemd. Для управления пакетами поставляются пакетные менеджеры RPM и DNF. SSH-сервер по умолчанию не включается. Для установки дистрибутива предоставляется инсталлятор, который может работать как в текстовом, так и в графическом режимах. В инсталляторе предоставляется возможность установки с полным или базовым набором пакетов, предлагается интерфейс для выбора дискового раздела, выбора имени хоста и создания пользователей.

Система сборки Azure Linux позволяет генерировать как отдельные RPM-пакеты на основе SPEC-файлов и исходных текстов, так и монолитные системные образы, формируемые при помощи инструментария rpm-ostree и обновляемые атомарно без разбивки на отдельные пакеты. Соответственно, поддерживается две модели доставки обновлений: через обновление отдельных пакетов и через перестроение и обновление всего системного образа. Доступен репозиторий, включающий около 3000 уже собранных RPM-пакетов, который можно использовать для компоновки собственных образов на основе файла конфигурации.

Базовая платформа включает только самые необходимые компоненты и оптимизирована для минимального потребления памяти и дискового пространства, а также для высокой скорости загрузки. В проекте применяется подход "максимальная безопасность по умолчанию", подразумевающий включение различных дополнительных механизмов для повышения защиты:

- Фильтрация системных вызовов при помощи механизма seccomp.
- Шифрование дисковых разделов.
- Верификация пакетов по цифровой подписи.
- Рандомизация адресного пространства.
- Защита от атак, связанных с символическими ссылками, mmap, /dev/mem и /dev/kmem.
- Режим только для чтения и запрет исполнения кода в областях памяти, в которых размещаются сегменты с данными ядра и модулей.
- Опция для запрета загрузки модулей ядра после инициализации системы.
- Использование iptables для фильтрации сетевых пакетов.
- Включение при сборке режимов защиты от переполнения стека, переполнений буфера и проблем с форматированием строк (_FORTIFY_SOURCE, -fstack-protector, -Wformat-security, relro).

Источник: https://www.opennet.ru/opennews/art.shtml?num=62208

Выпуск дистрибутива Debian 12.8

Сформировано восьмое корректирующее обновление дистрибутива Debian 12, в которое включены накопившиеся обновления пакетов и добавлены исправления в инсталлятор. Выпуск включает 68 обновлений с устранением проблем со стабильностью и 50 обновлений с устранением уязвимостей. Из изменений в Debian 12.8 можно отметить обновление до свежих стабильных версий пакетов systemd, clamav, dpdk, galera-4, intel-microcode, openssl и wireshark.

Для загрузки и установки "с нуля" подготовлены установочные сборки c Debian 12.8. Системы, установленные ранее и поддерживаемые в актуальном состоянии, получают обновления, присутствующие в Debian 12.8, через штатную систему установки обновлений. Исправления проблем безопасности, включённые в новые выпуски Debian, доступны пользователям по мере выхода обновлений через сервис security.debian.org.

Источник: https://www.opennet.ru/opennews/art.shtml?num=62211

Проект Gentoo начал формирование загрузочных дисковых образов

Андреас Хюттель (Andreas K. Huettel) из команды, отвечающей за выпуск релизов Gentoo Linux (Release Engineering team), объявил о начале формирования экспериментальных дисковых образов Gentoo в формате QCOW2, позволяющих получить полностью работающее системное окружение, готовое к загрузке в виртуальных машинах. Образы планируют обновлять каждую неделю, что позволит использовать их для оценки текущего состояния дистрибутива. Ранее проектом распространялись только установочные образы и Live-сборка для загрузки с USB-устройств.

Для загрузки доступны два варианта образов с консольным окружением - полный (1.2 ГБ) и урезанный без multilib (233 МБ). По умолчанию в образах не запускаются сетевые сервисы, такие как sshd, а в качестве пароля root задано пустое значение. В дальнейшем планируется сформировать вариант сборки для облачных окружений с настройкой через "cloud-init". Для запуска в QEMU можно использовать команду:

   qemu-system-x86_64 \
       -m 8G -smbios type=0,uefi=on -bios /usr/share/edk2-ovmf/OVMF_CODE.fd \
       -smp 4 -cpu host -accel kvm -vga virtio -drive file=di.qcow2 &

<iframe src="https://www.youtube.com/embed/3CVADXvYDME?si=-sc22MAza4FgQtLw">

Источник: https://www.opennet.ru/opennews/art.shtml?num=62207

Fedora c KDE присвоен статус базовой редакции, поддерживаемой на уровне Fedora Workstation с GNOME

Управляющий совет проекта Fedora утвердил придание сборке Fedora KDE Desktop Spin статуса базовой редакции дистрибутива, идентичной по уровню поддержки с Fedora Workstation. Таким образом, начиная с Fedora 42 варианты дистрибутива с GNOME и KDE будут иметь иметь идентичный статус и станут преподноситься на равных. Среди прочего, Fedora KDE Plasma Desktop Edition получит аналогичный уровень маркетингового продвижения и будет иметь такое же представление на сайте fedoraproject.org. Специфичные для KDE серьёзные проблемы будут рассматриваться как блокирующие релиз, так же, как ранее блокировали релиз серьёзные проблемы в GNOME.

Решение принято после публикации разработчиками, занимающимися сопровождением сборки Fedora с KDE, предложения по замене GNOME на KDE в продвигаемой по умолчанию редакции Fedora Workstation. В ходе обсуждения разработчики дистрибутива пришли к выводу, что нет значимых причин, которые бы мешали рассматривать два пользовательских окружения в качестве первичных. Разработчики Fedora KDE Plasma Desktop Edition согласились и отозвали своё предложение по замене GNOME на KDE.

Источник: https://www.opennet.ru/opennews/art.shtml?num=62206

Выпуск Wine 9.21 и Wine staging 9.21

Опубликован экспериментальный выпуск открытой реализации Win32 API - Wine 9.21. С момента выпуска 9.20 было закрыто 16 отчётов об ошибках и внесено 230 изменений.

Наиболее важные изменения:

- В API DirectPlay продолжена реализация поддержки сетевых сеансов.
- Заголовочные файлы изменены для обеспечения компиляции кода на C++.
- Внесены исправления, связанные с обработкой завершения операций ввода-вывода (I/O) при выполнении синхронных операций с файлами.
- В D3DX9 реализована поддержка форматов представления цвета 64bpp RGBA и 48bpp RGB в изображениях PNG.
- Реализована утилита sort.exe.
- Решена проблема с работой режима Drag&Drop при запуске wine в Ubuntu 24.04.
- Закрыты отчёты об ошибках, связанные с работой приложений: IP Camera Viewer 4.x, MusicBee, MediRoutes, Paint Shop Pro 9.01, AnyRail.
- Закрыты отчёты об ошибках, связанные с работой игр: Timeshift, Call of Duty 2 modding tools, Rise of Nations: Rise of Legends 2010, Saints Row 2, Shard of Dreams, Metal Gear Solid V.

Кроме того, сформирован выпуск проекта Wine Staging 9.21, предоставляющего расширенные сборки Wine, включающие не полностью готовые или рискованные патчи, пока непригодные для принятия в основную ветку Wine. По сравнению с Wine в Wine Staging предоставляется 358 дополнительных патчей. В новом выпуске Wine Staging осуществлена синхронизация с кодовой базой Wine 9.21 и перенесены свежие изменения из vkd3d. В основной состав Wine перенесена поддержка D3DX9-функции D3DXOptimizeVertices. Добавлены патчи с реализацией метода IDirectMusicSegment8::GetAudioPathConfig в dmime и изменением поведения метода IDirectMusicScript::EnumRoutine в dmscript.

Источник: https://www.opennet.ru/opennews/art.shtml?num=62205

Релиз ratarmount 1.0.0, утилиты для монтирования архивов как файловых систем

Состоялся релиз программы ratarmount 1.0.0, позволяющей работать с архивами в различных форматах как с обычной файловой системой. Поддерживается работа с форматами RAR и ZIP, а также архивами TAR, сжатыми при помощи bzip2, gzip, xz и zstd. Код утилиты написан на языке Python c использованием модуля fusepy и распространяется под лицензией MIT.

В отличие от похожей утилиты archivemount, использующей библиотеку libarchive, ratarmount для ускорения навигации по архиву заранее индексирует содержимое для эффективного случайного доступа к данным. В отличие от Python-модуля tarindexer утилита ratarmount может работать со сжатыми архивами TAR и использует FUSE для упрощения доступа к данным. При распаковке данных используется распараллеливание операций по разным ядрам CPU.

Возможно монтирование архивов, размещённых на других хостах, используя для обращения к ним протоколы FTP, HTTP, HTTPS, SFTP, SSH, Git, Github, S3, SMBv2, SMBv3 и Dropbox по аналогии с использованием sshfs. Также поддерживаются такие расширенные возможности, как рекурсивное монтирование (один архив внутри другого архива), наложение точек монтирования (например, для наложения на ФС архива с более новыми версиями файлов) и создание слоя ФС для записи поверх данных в архиве (изменённые и созданные файлы будут записаны в отдельный каталог).

Источник: https://www.opennet.ru/opennews/art.shtml?num=62204