Опубликована новая версия инструментария для организации работы изолированных окружений Bubblewrap 0.11, используемого для ограничения отдельных приложений непривилегированных пользователей. На практике Bubblewrap применяется проектом Flatpak в качестве прослойки для изоляции запускаемых из пакетов приложений. Для изоляции используются традиционные для Linux технологии контейнерной виртуализации, основанные на использовании cgroups, пространств имён (namespaces), Seccomp и SELinux.  Код проекта написан на языке Си и распространяется под лицензией  LGPLv2+...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=62149

• Выпуск Bubblewrap 0.11, прослойки для создания изолированных...,Аноним, 16:19 , 31-Окт-24
  • Выпуск Bubblewrap 0.11, прослойки для создания изолированных...,BeLord, 16:27 , 31-Окт-24
    • Выпуск Bubblewrap 0.11, прослойки для создания изолированных...,anominus, 16:33 , 31-Окт-24
      • Выпуск Bubblewrap 0.11, прослойки для создания изолированных...,Аноним, 17:50 , 31-Окт-24
    • Выпуск Bubblewrap 0.11, прослойки для создания изолированных...,Аноним, 17:00 , 31-Окт-24
  • Выпуск Bubblewrap 0.11, прослойки для создания изолированных...,Соль земли, 16:44 , 31-Окт-24
  • Выпуск Bubblewrap 0.11, прослойки для создания изолированных...,OpenEcho, 17:38 , 31-Окт-24
    • Выпуск Bubblewrap 0.11, прослойки для создания изолированных...,Аноним, 18:27 , 31-Окт-24
      • Выпуск Bubblewrap 0.11, прослойки для создания изолированных...,OpenEcho, 13:48 , 01-Ноя-24
  • Выпуск Bubblewrap 0.11, прослойки для создания изолированных...,Аноним, 17:56 , 31-Окт-24
  • Выпуск Bubblewrap 0.11, прослойки для создания изолированных...,Аноним, 18:01 , 31-Окт-24
    • Выпуск Bubblewrap 0.11, прослойки для создания изолированных...,Аноним, 18:30 , 31-Окт-24
  • Выпуск Bubblewrap 0.11, прослойки для создания изолированных...,Ананоним, 18:21 , 31-Окт-24
  • Выпуск Bubblewrap 0.11, прослойки для создания изолированных...,_, 18:52 , 31-Окт-24
• Выпуск Bubblewrap 0.11, прослойки для создания изолированных...,Аноним, 18:24 , 31-Окт-24
  • Выпуск Bubblewrap 0.11, прослойки для создания изолированных...,Аноним, 21:12 , 31-Окт-24
  • Выпуск Bubblewrap 0.11, прослойки для создания изолированных...,Аноним, 21:14 , 31-Окт-24
    • Выпуск Bubblewrap 0.11, прослойки для создания изолированных...,Анониссимус, 23:27 , 01-Ноя-24
• Выпуск Bubblewrap 0.11, прослойки для создания изолированных...,Аноним, 21:10 , 31-Окт-24
• Выпуск Bubblewrap 0.11, прослойки для создания изолированных...,onanim, 22:57 , 31-Окт-24
  • Выпуск Bubblewrap 0.11, прослойки для создания изолированных...,Аноним, 23:55 , 31-Окт-24
    • Выпуск Bubblewrap 0.11, прослойки для создания изолированных...,Аноним, 00:33 , 01-Ноя-24
    • Выпуск Bubblewrap 0.11, прослойки для создания изолированных...,onanim, 19:18 , 01-Ноя-24
  • Выпуск Bubblewrap 0.11, прослойки для создания изолированных...,Вы забыли заполнить поле Name, 18:39 , 01-Ноя-24
    • Выпуск Bubblewrap 0.11, прослойки для создания изолированных...,onanim, 19:18 , 01-Ноя-24
• Выпуск Bubblewrap 0.11, прослойки для создания изолированных...,Аноним, 03:09 , 01-Ноя-24
  • Выпуск Bubblewrap 0.11, прослойки для создания изолированных...,Анониссимус, 23:29 , 01-Ноя-24
    • Выпуск Bubblewrap 0.11, прослойки для создания изолированных...,Аноним, 03:43 , 02-Ноя-24

Как вообще можно говорить о безопасности (изоляции), когда "Код проекта написан на языке Си"?

Ничто не мешает писать безопасный код, что на С, что на asm, все упирается в кривизну рук, конкретного разработчика.

не конкретного разработчика, а ВСЕХ чей код используется в проекте

Истинно. Поэтому у меня нет соавторов.

Так неймспейсы - часть ядра, онг на с.

Тут без вариантов)

Также, как и всегда: никак.

> Как вообще можно говорить о безопасности (изоляции), когда "Код проекта написан на языке Си"?

Логика у народа блин, ну просто прет....

Програмист, который публичо топит за безопастный язык И o6сирaет то, что юзает в данный момент, - просто публично признается, что писать безопасный код он просто не умеет, потому он и юзает прослойки над опкодами, надеясь что прослойко деятели защитят его, а он будет ходить и размахивать флажком - какой же он крутой и безошибочный.

Вы господа, уже так мягко говоря за... колебали, детский сад...

>просто публично признается, что писать безопасный код он просто не умеет
>он будет ходить и размахивать флажком - какой же он крутой и безошибочный

Я, например, размахиваю флажком, что я некрутой и ошибочный - человек обычный с аналоговыми мозгами, которые регулярно фейлят. И я бы хотел использовать инструмент, который избавит мою работу от моего несовершенства - так и мне спать спокойнее, и пользователям.

>>просто публично признается, что писать безопасный код он просто не умеет
>>он будет ходить и размахивать флажком - какой же он крутой и безошибочный
> Я, например, размахиваю флажком, что я некрутой и ошибочный - человек обычный
> с аналоговыми мозгами, которые регулярно фейлят. И я бы хотел использовать
> инструмент, который избавит мою работу от моего несовершенства - так и
> мне спать спокойнее, и пользователям.

Так и я тоже не святоша и делаю ошибки как и другие, и которые впрочем на расте, но орать то на каждом шагу на прародителя что оно омно, не по человечески это, низко, тем более от всех ошибок ни раст , ни Го, ни другие "безопастные" все равно не защитят. Другой просто уровень ошибок

бубльврап - это прослойка над сисколами. Там большинство кода - просто парсинг командной строки.

код на чем угодно + тестировщик который деньгами отвечает за качество = обширные тест планы и тест кейсы которые дают такое же качество, только гораздо дешевле по деньгам и по времени, чем какой нибудь rust или что угодно другое

Осталось только пленить такого тестировщика.

Как вообще можно говорить о безопасности и изоляции, когда код исполняется на "дырявых" процессорах x86?

>Как вообще можно говорить о безопасности (изоляции), когда "Код проекта написан на языке Си"?

Рекомендую переписать на языке rust - у него безопасТная работа с памятью !

Ну как переписать ... начать переписывать! C0C там в гитхуб закинуть и странциу с донатами :)

По описанию выглядит будто антивирус какой-то. Работать может и работает, но требует пожизненных доработок, затыканий всевозможных дырок и не гарантирует 100% надежности, что приложение не вылезет за пределы контейнера.

Это больше про неймспейсы комент, чем про сабж.

Это не контейнер, там ядрёные пространства имён. Почти бесплатная изоляция - то что нужно для запуска ПО с открытым исходным кодом.
А 100% надежности не гарантирует даже гипервизор.

100% надёжности не даст даже отдельный компьютер, отключённый от сети. Поэтому да, контейнерная изоляция -- разумный компромисс по защищённости, производительности и удобству.

> OverlayFS

Аллилуя!

кто сравнивал с Firejail, что из этого удобнее?
я пока что пользуюсь вторым, но его настройка - это боль.

Firejail - это готовое решение. Если его настройка - "боль", то bwrap лучше вообще не трогать, он не предназначен к использованию "AS IS".

видел bwrap, какой-то разницы с fjail не ощутил.

> Firejail - это готовое решение. Если его настройка - "боль", то bwrap
> лучше вообще не трогать, он не предназначен к использованию "AS IS".

боль начинается, когда пытаешься запустить приложение, для которого нет готового профиля, там даже strace не всегда помогает понять, почему приложение дохнет.
плюс захардкоденные пути для whitelist (невозможно указать ничего кроме /home/ и /opt/), и, кажется, сами разрабы толком не понимают и не могут объяснить разницу между whitelist и noblacklist.
если у bubblewrap такие же приколы, то останусь с firejail.

> но его настройка - это боль

В чем боль? Если про Настройки для конкретных приложений, то есть готовые профили.

>> но его настройка - это боль
> В чем боль? Если про Настройки для конкретных приложений, то есть готовые
> профили.

https://www.opennet.me/openforum/vsluhforumID3/135193.html#26

>Прекращена поддержка сборочной системы Autotools. Для сборки теперь необходим инструментарий Meson.

Теперь бублвсрат и подавно не нужен.

А как ты коммент то написал? Браузер то, поди, тоже не автотулзами собирается...

Судить о проекте по системе сборки, мда. Вы не таролог, случайно?