Ключевые изменения:

• Осуществлён переход на пакетную базу Debian 13 (ранее использовался Debian 12). Ядро Linux продолжает использоваться 6.12.
• Предложена новая тема оформления, а также новый набор пиктограмм, набор GTK-тем и коллекция обоев для рабочего стола. По умолчанию задействован шрифт Nunito Sans Light вместо шрифта Piboto, используемого последние 10 лет.
• Добавлен унифицированный конфигуратор Control Centre, который заменил собой отдельные программы для настройки параметров системы, экрана, клавиатуры, мыши, вывода на печать, оформления рабочего стола и панели. Переключение между разными разделами настроек осуществляется при помощи вкладок. Каждый раздел оформлен как динамически загружаемый плагин.
  
  
• Расширена функциональность приложения Bookshelf, предоставляющего интерфейс для навигации по коллекции электронных версий журналов и книг, распространяемых издательством Raspberry Pi Press. Изменена модель предоставления бесплатных версий материалов - вначале доступ к бесплатным версиям свежих изданий предоставляется подписчикам журнала Raspberry Pi Magazine, а через несколько месяцев всем остальным пользователям. Недавно опубликованные книги, пока доступные только для подписчиков, снабжаются в интерфейсе меткой в форме замка.
• Сделана более модульной установка пакетов, образующих системный образ с рабочим столом. Для преобразования полной десктоп-сборки в lite-версию и наоборот, а также для создания кастомизированных образов, пакеты, формирующие разные сборки, сгруппированы в набор мета-пакетов. Метапакеты позволяют создать требуемое пользовательское окружение поверх минималистичного образа Raspberry Pi OS Lite или удалить ненужную функциональность для высвобождения места в полной сборке Raspberry Pi OS. Доступные мета-пакеты:
  • rpd-wayland-core и rpd-x-core - начинка базового окружения рабочего стола на основе Wayland и X11.
  • rpd-wayland-extras и rpd-x-extras - расширенные утилиты для Wayland и X11, такие как программы для удалённой работы с рабочим столом и создания скриншотов.
  • rpd-theme - темы оформления.
  • rpd-preferences - конфигуратор.
  • rpd-applications - базовый набор приложений (редактор Geany, среда Python-разработки Thonny, Firefox и Chromium).
  • rpd-utilities - дополнительный набор программ (Raspberry Pi Connect, SD Card Copier, Bookshelf, Text Editor и Image Viewer).
  • rpd-developer - библиотеки и инструменты для разработчиков.
  • rpd-graphics - пакеты для работы с графикой и видео, такие как FFmpeg and GStreamer.

1. OpenNews: Новая версия дистрибутива Raspberry Pi OS
2. OpenNews: Представлен компьютер-клавиатура Raspberry Pi 500+
3. OpenNews: Для плат Raspberry Pi опубликован генератор системных образов rpi-image-gen
4. OpenNews: Представлен Raspberry Pi Connect, сервис для подключения к Raspberry Pi OS из браузера
5. OpenNews: Выпуск дистрибутива Raspberry Pi OS, переведённого на Debian 12, PipeWire и Wayland

Предложенный бесплатный вариант может применяться без прохождения верификации разработчика, но он малопригоден для массового распространения приложений и не решает проблем, озвученных проектом F-Droid, так как требует регистрации в Android Developer Console каждого устройства, на которое приложение может быть установлено. По задумке Google подобное ограничение не позволит злоумышленникам злоупотреблять бесплатной неверифицированной учётной записью.

Перед установкой стороннего приложения пользователь должен будет определить уникальный идентификатор своего устройства и передать его разработчику приложения, зарегистрированному в Google как студент или энтузиаст. После этого разработчик должен добавить идентификатор устройства через интерфейс Android Developer Console и таким способом авторизировать возможность установки своей программы на конкретном устройстве.

Из дополнительных проблем, которые могут возникнуть у пользователей при установке программ после введения обязательной верификации разработчиков упоминается необходимость наличия доступа в интернет для выполнения проверок во время установки приложения. При первой установке приложения платформа Android будет отправлять запрос к новому системному сервису Android Developer Verifier, обращающемуся к внешнему серверу Google для проверки прохождения верификации разработчиком приложения, заверившим пакет своей цифровой подписью.

Для наиболее популярных приложений Android Developer Verifier будет поддерживать хранимый на устройстве кэш идентификаторов, позволяющий в отдельных случаях обойтись без внешней проверки. Google также работает над реализацией возможности для каталогов приложений, позволяющей обойтись без дополнительных внешних проверок - каталоги смогут использовать токены предварительной аутентификации (pre-auth token), при помощи которых можно будет установить связанные с ними приложения.

Поддержка прямой установки любых приложений при помощи утилиты "adb" (Android Debug Bridge) сохранится, но такая установка требует подключения устройства к внешнему компьютеру и включения режима разработчика. Введение верификации не коснётся процессов тестирования, отладки и запуска приложений, разрабатываемых в среде Android Studio, в которой для взаимодействия с устройствами используется "adb". Также будет сделано исключения для корпоративных приложений, установка которых осуществляется при помощи инструментов централизованного управления.

Верифицированные учётные записи разработчиков, уличённых в распространении вредоносных изменений, будут ограничиваться, а все связанные с ними приложения блокироваться для установки на устройствах пользователей. Блокировка будет применяться не только к авторам вредоносного ПО, но и к разработчикам, вовлечённым в его распространение обманным путём, например, после захвата учётной записи через фишинг.

В обсуждении представители Google признали, что в некоторых случаях, например, при распространении программ для диссидентов, авторы приложений хотят сохранить анонимность. Для защиты интересов подобных категорий разработчиков Google обещает публично не разглашать персональные данные (обещание не касается раскрытия данных в ответ на запросы правоохранительных органов).

Также упоминается проблема с дублирование имён приложений - в разных каталогах разные приложения могут иметь одинаковые имена пакетов, но после введения верификации допускаются только уникальные имена. Для решения данной проблемы решено оставлять неизменным имя пакета, имеющего большее число установок. Автору менее популярного приложения придётся переименовать пакет.

Не рассмотренной остаётся невозможность установки и регистрации приложений, которые каталог F-Droid своими силами собирает из исходного кода и упаковывает в пакеты, заверенные своей цифровой подписью, а не подписью фактического разработчика. F-Droid не может регистрировать сторонние приложения от своего имени, так как это обозначало бы захват идентификаторов и присвоение исключительных прав на распространение чужих программ, а также привело бы к появлению дубликатов имён программ, распространяемых авторами через другие каталоги.

Компоненты для верификации приложений будут предложены в обновлении Android 16 QPR2, которое будет доведено до пользователей в декабре. Для пользователей уже выпущенных версий Android изменение будет реализовано через обновление компонента Google Play Protect. Возможность прохождения верификации всех разработчиков приложений будет предоставлена в марте 2026 года. В сентябре 2026 года проверка станет обязательной в Бразилии, Индонезии, Сингапуре и Таиланде. В 2027 году практика запрета программ от неверифицированных разработчиков постепенно начнёт применяться и в других странах.

Для верификации разработчик должен зарегистрироваться в сервисе Android Developer Console, если он до этого не зарегистрирован в Google Play, и предоставить такие данные, как ФИО, адрес проживания, email, телефонный номер и фото документа, удостоверяющего личность. Для ограниченных учётных записей студентов и энтузиастов предоставление удостоверяющего документа не требуется. Для организаций требуется подтверждение сайта и предоставление международного идентификатора юридических лиц (DUNS).

После регистрации разработчик должен добавить свои приложения и подтвердить, что он является их автором, предоставив полные имена пакетов и ключи для цифровых подписей. Для предотвращения присвоения авторства над уже существующими чужими пакетами, разработчик должен продемонстрировать возможность формирования цифровых подписей тем же ключом, что был использован для заверения существующих приложений.

1. OpenNews: Угроза существованию F-Droid после введения регистрации разработчиков Android-приложений
2. OpenNews: В сертифицированных Android-устройствах запретят установку приложений от незарегистрированных разработчиков
3. OpenNews: Google переходит к разработке Android за закрытыми дверями с открытием кода после релизов
4. OpenNews: Google прекратил публикацию кода для поддержки устройств Pixel в репозитории с кодом Android
5. OpenNews: Google заменил Android Developer Preview на непрерывно обновляемую ветку Canary

Ян Келлинг с 2017 года трудоустроен системным администратором Фонда СПО и в 2021 году, после реструктуризации процессов управления организацией, вошёл в совет директоров в качестве участника, представляющего мнение персонала Фонда. До 2017 года Ян помогал Фонду СПО в качестве волонтёра. Кроме работы в Фонде СПО Ян участвовал в разработке и исправлении ошибок во многих открытых проектах, включая GNU Emacs, Debian, Fedora, Arch Linux и Mediawiki.

Ян отмечен, как участник совета директоров, сочетающий технические знания, позволяющие авторитетно высказываться по большинству вопросов свободного ПО, с налаженной связью с сообществом и способностью доносить идеи в публичных выступлениях. Ричард Столлман охарактеризовал Яна как проявившего здравый смысл и твёрдую приверженность движению свободного ПО. По мнению Джеффри Кнаута, сложившего с себя полномочия президента Фонда СПО, в ходе своей работы в совете директоров Ян продемонстрировал полное понимание философии свободного ПО и её применение в современных реалиях, а также способность распознавать угрозы свободе пользователей, возникающие по мере развития новых технологий.

1. OpenNews: Изменения в составе совета директоров Фонда СПО
2. OpenNews: Мэтью Гаррет опроверг критику TPM, распространяемую Фондом СПО
3. OpenNews: Фонд СПО утвердил трёх новых членов совета директоров
4. OpenNews: Фонд СПО признал Llama 3.1 несвободной лицензией
5. OpenNews: Фонд Apache сменил логотип и начал использование акронима ASF

Для проведения атаки достаточно любого непривилегированного аутентифицированного доступа к платформе, например, атаку может провести подключённый к OpenShift AI исследователь, использующий Jupyter notebook. Проблеме присвоен критический уровень опасности - 9.9 из 10.

Уязвимость вызвана некорректным назначением роли "kueue-batch-user-role", которая по ошибке оказалась привязана к группе "system:authenticated", что позволяло любому пользователю сервиса создать работу (OpenShift Job) в любом пространстве имён. Среди прочего любой пользователь мог создать работу в привилегированном пространстве имён "openshift-apiserver-operator" и настроить её запуск с привилегиями ServiceAccount.

В окружении для выполнения кода с привилегиями ServiceAccount доступен токен доступа с правами ServiceAccount, который атакующий мог извлечь и использовать для компрометации более привилегированных учётных записей. В конечном счёте, атаку можно было довести до получения root-доступа к master-узлам, после чего атакующий получал возможность полного управления всем содержимым кластера.

1. OpenNews: Взлом внутреннего GitLab-сервера Red Hat
2. OpenNews: Red Hat представил дистрибутив RHEL AI
3. OpenNews: Уязвимость в патчах Red Hat к загрузчику GRUB2, позволяющая обойти проверку пароля
4. OpenNews: Взлом внутреннего GitLab-сервера Red Hat

В представленных атакующими скриншотах и примерах упоминается о получении данных, связанных с около 800 клиентами Red Hat, среди которых Vodafone, T-Mobile, Siemens, Boeing, Bosch, 3M, Cisco, DHL, Adobe, American Express, Verizon, JPMC, HSBC, Ericsson, Merrick Bank, Telefonica, Bank of America, Delta Air Lines, Walmart, Kaiser, IBM, SWIFT, IKEA и AT&T, а также Центр разработки надводного вооружения ВМС США, Федеральное управление гражданской авиации США, Федеральное агентство по управлению в чрезвычайных ситуациях США, Военно-воздушные силы США, Агентство национальной безопасности США, Ведомство по патентам и товарным знакам США, Сенат США и Палата представителей США.

Утверждается, что захваченные репозитории содержат сведения об инфраструктуре клиентов, конфигурацию, токены аутентификации, профили VPN, данные инвентаризации, Ansible playbook, настройки платформы OpenShift, CI/CD runner-ы, резервные копии и другие данные, которые могут быть использованы для организации атаки на внутренние сети клиентов. Злоумышленники пытались связаться с Red Hat с целью вымогательства, но получили лишь шаблонный ответ с предложением отправить в службу безопасности отчёт об уязвимости.

Компания Red Hat подтвердила инцидент с безопасностью, но не привела подробности и не прокомментировала информацию о содержимом утечки. Упоминается только то, что взломанный GitLab-сервер использовался в консалтинговом подразделении и компания предприняла шаги, необходимые для расследования и восстановления. Представители Red Hat утверждают, что у них нет оснований полагать, что взлом затронул другие сервисы и продукты компании, кроме одного сервера GitLab.

Дополнение: Компания Red Hat опубликовала начальный отчёт об инциденте. Подробностей в отчёте не приводится, указано только, что компания начала расследование, в ходе которого выявлено, что неизвестный получил доступ к GitLab-серверу, используемому для ведения проектов команды Red Hat Consulting, и загрузил с него некоторые данные.

По поводу выгруженных атакующим данных утверждается, что они содержали спецификации проектов, примеры кода и внутренние информационные материалы о консалтинговых услугах. На текущем этапе анализа инцидента пока не выявлено утечки важных персональных данных.

Каким образом атакующий смог получить доступ к GitLab-серверу не уточняется, но указано, что в атаке не использовалась вчера выявленная уязвимость (CVE-2025-10725) в OpenShift AI Service, позволяющая аутентифицированному непривилегированному пользователю, например, исследователю, использующему Jupyter notebook, получить права администратора кластера, имеющего полный доступ ко всем сервисам, данным и запускаемым в кластере приложениям, а также root-доступ к узлам кластера.

1. OpenNews: Утечка документации и кода, связанного с работой Великого китайского фаервола
2. OpenNews: Уязвимость в MCP-сервере GitHub, приводящая к утечке информации из приватных репозиториев
3. OpenNews: Взлом Internet Archive привёл к утечке 31 миллиона учётных записей
4. OpenNews: Серверы инфраструктуры Fedora и Red Hat были взломаны
5. OpenNews: SSH-бэкдор, установленный при взломе kernel.org, два года оставался незамеченным

Radicle позволяет не зависеть при разработке и распространении кода от централизованных платформ и корпораций, привязка к которым вносит дополнительные риски (единая точка отказа, компания может закрыться или изменить условия работы). Для управления кодом в Radicle используется привычный Git, расширенный средствами определения репозиториев в P2P-сети. Все данные в первую очередь сохраняются локально (концепция local-first) и всегда доступны на компьютере разработчика, независимо от состояния сетевого подключения.

Участники предоставляют доступ к своему коду и связанным с кодом артефактам, таким как патчи и обсуждения исправления ошибок (issues), которые сохраняются локально и реплицируются на узлы других заинтересованных разработчиков, подключённые к общей децентрализованной P2P-сети. В итоге формируется глобальный децентрализованный Git-репозиторий, данные которого реплицированы и продублированы на разных системах участников.

Для определения соседних узлов в P2P-сети применяется протокол Gossip, а для репликации данных между узлами протокол Heartwood, основанный на Git. Так как протокол основан на Git, платформу легко интегрировать с существующими инструментами для разработки на Git. Для идентификации узлов и верификации репозиториев используется криптография на основе открытых ключей, без применения учётных записей. Аутентификация и авторизация осуществляется на основе открытых ключей без централизованных удостоверяющих серверов.

Каждый репозиторий в P2P-сети имеет свой уникальный идентификатор и самосертифицирован (self-certifying), т.е. все действия в репозитории, такие как добавление коммитов и оставление комментариев к issue, заверяются владельцем цифровой подписью, позволяющей убедиться в корректности данных на других узлах без использования централизованных удостоверяющих центров. Для получения доступа к репозиторию достаточно, чтобы в online находился хотя бы один узел, на котором имеется его реплицированная копия.

Узлы в P2P-сети могут подписываться на определённые репозитории и получать обновления. Возможно создание приватных репозиториев, доступных только определённым узлам. Для управления и владения репозиторием используется концепция "делегатов" (delegates). Делегатом может быть как отдельный пользователь так и бот или группа, привязанные к специальному идентификатору. Делегаты могут принимать в репозиторий патчи, закрывать issue и задавать права доступа к репозиторию. К каждому репозиторию может быть привязано несколько делегатов.

Radicle-репозитории хранятся на системах пользователей в виде обычных git-репозиториев, в которых присутствуют дополнительные пространства имён для хранения данных пиров и форков, с которыми осуществляется текущая работа. Обсуждения, предлагаемые патчи и компоненты для организации рецензирования тоже сохраняются в git-репозитории в виде совместных объектов (COB - Collaborative Objects) и реплицируются между пирами.

В новом выпуске:

• Улучшена поддержка bare-репозиториев, не содержащих рабочего каталога с копией файлов проекта, а хранящих только историю изменений и метаданные, такие как ветки и теги. В команду "rad clone" добавлена опция "--bare", позволяющая клонировать репозиторий в представление без рабочего дерева. В утилите "git-remote-rad" улучшена работа с bare-репозиториями при использовании команд "git push" и "git fetch" при обращении к внешнему rad-серверу.
• Добавлена настройка "patch.branch", которую можно использовать в утилите git-remote-rad ("git-remote-rad -o patch.branch[=<name>]") при добавлении патча для автоматического создания ветки в upstream-репозитории, без необходимости использования команды "rad patch checkout".
• Улучшен вывод команды "rad patch show", которая теперь показывает исходную версию патча, выводимую ранее только при указании флага "--verbose". Все ревизии теперь выводится в единой хронологии без разделения на изменений от оригинального автора и других участников.
• Добавлена возможность вывода логов в структурированном представлении, включаемом через опции "--log-logger structured" и "--log-format json".

1. OpenNews: Доступна платформа совместной разработки Forgejo 12.0
2. OpenNews: Доступна децентрализованная система отслеживания ошибок git-bug 0.9
3. OpenNews: Выпуск глобальной децентрализованной файловой системы IPFS 0.9
4. OpenNews: Началась разработка GitPub, протокола для децентрализованных Git-сервисов
5. OpenNews: Выпуск zeronet-conservancy 0.7.8, платформы для децентрализованных сайтов

Основные новшества:

• Добавлена поддержка структуры EVP_SKEY (Symmetric KEY) для представления симметричных ключей как непрозрачных (opaque) объектов. В отличие от raw-ключей, представленных массивом байтов, в EVP_SKEY структура ключа абстрагируется и содержит дополнительные метаданные. Допустимо применение EVP_SKEY в функциях шифрования, обмена ключами и формирования ключей (KDF). Для работы с ключами EVP_SKEY добавлены функции EVP_KDF_CTX_set_SKEY(), EVP_KDF_derive_SKEY() и EVP_PKEY_derive_SKEY().
• Добавлена поддержка верификации цифровых подписей на базе схемы LMS (Leighton-Micali Signatures), использующей хэш-функции и древовидное хэширование в форме дерева Меркла (Merkle Tree, каждая ветка верифицирует все нижележащие ветки и узлы). Цифровые подписи LMS устойчивых к подбору на квантовом компьютере и разработаны для заверения целостности прошивок и приложений.
• Добавлена поддержка категорий безопасности NIST для параметров объектов PKEY (открытые и закрытые ключи). Выставление категории безопасности осуществляется через настройку "security-category". Для проверки уровня безопасности добавлена функция EVP_PKEY_get_security_category(). Уровень безопасности отражает стойкость к подбору на квантовых компьютерах и может принимать целые значения от 0 до 5:
  • 0 - реализация, не стойкая ко взлому на квантовых компьютерах;
  • 1/3/5 - реализация не исключает поиск на квантовом компьютере ключа в блочном шифре со 128/192/256-битным ключом;
  • 2/4 - реализация не исключает поиск на квантовом компьютере коллизии в 256/384-битном хэше).
• Добавлена команда "openssl configutl" для обработки файла конфигурации. Утилита позволяет на основе многофайловой конфигурации с include-включениями сформировать сводный файл со всеми настройками.
• В криптопровайдер FIPS добавлена поддержка детерминированного формирования цифровых подписей ECDSA (при одних и тех же входных данных генерируется одна и та же подпись), в соответствии с требованиями стандарта FIPS 186-5.
• Повышены требования к сборочному окружению. Для сборки OpenSSL теперь недостаточно инструментария с поддержкой ANSI-C и требуется компилятор, совместимый со стандартом C-99.
• Объявлены устаревшими функции, связанные со структурой EVP_PKEY_ASN1_METHOD.
• Прекращена поддержка платформы VxWorks.

Исправленные уязвимости:

• CVE-2025-9230 - уязвимость в коде дешифровки CMS-сообщений, зашифрованных с использованием пароля (PWRI). Уязвимость может привести к записи и чтению данных вне выделенного буфера, что позволяет инициировать аварийное завершение или повреждение памяти в приложении, использующем OpenSSL для обработки CMS-сообщений. Не исключается эксплуатация уязвимости для организации выполнения своего кода, но опасность проблемы снижает то, что шифрование CMS-сообщений с использованием пароля на практике применяется крайне редко. Кроме версии OpenSSL 3.6.0 уязвимость устранена в выпусках OpenSSL 3.5.4, 3.4.3, 3.3.5, 3.2.6 и 3.0.18. Проблема также исправлена в обновлениях библиотеки LibreSSL 4.0.1 и 4.1.1, развиваемой проектом OpenBSD.
• CVE-2025-9231 - реализация алгоритма SM2 подвержена атаке по сторонним каналам, позволяющей на системах с 64-разрядными CPU ARM воссоздать закрытый ключ, анализируя изменение времени выполнения отдельных вычислений. Потенциально атака может быть проведена удалённо. Опасность атаки снижает то, что OpenSSL напрямую не поддерживает использование сертификатов с ключами SM2 в TLS.
• CVE-2025-9232 - уязвимость в реализации встроенного HTTP-клиента, приводящая к чтению данных из области вне буфера при обработке в функциях HTTP Client специально оформленного URL. Проблема проявляется только при выставленной переменной окружения "no_proxy" и может привести к аварийному завершению приложения.

1. OpenNews: Выпуск криптографической библиотеки OpenSSL 3.5.0
2. OpenNews: Выпуск криптографических библиотек OpenSSL 3.4, LibreSSL 4.0, Botan 3.6 и Rustls 0.23.15
3. OpenNews: Выпуск криптографической библиотеки Libgcrypt 1.11.0
4. OpenNews: Выпуск криптографической библиотеки Botan 3.1.0
5. OpenNews: Amazon опубликовал открытую криптографическую библиотеку для языка Rust

Для ускорения отрисовки используется OpenGL, но на устаревших системах панель может работать в без визуальных эффектов в упрощённом режиме, потребляя минимум ресурсов. Предоставляются бэкенды для работы в окружениях на базе Wayland и X11. На системах с X11 поддерживается работа с любым оконным менеджером, а с Wayland - с композитными менеджерами, поддерживающими протокол wlr-layer-shell. Через официальные и разработанные сообществом плагины могут добавляться эффекты, макеты панели, анимации и апплеты. Через апплеты могут реализовываться дополнительные действия, такие как отображение состояния почтового ящика, приём и отправка мгновенных сообщений, контроль за работой медиаплеера, слежение за RSS-лентами, просмотр состояния загрузки торрентов, отображение погоды и вывод заданий из календаря-планировщика. Апплеты могут интегрироваться в панель и отсоединяться для превращения в десктоп-виджеты.

Ключевые новшества:

• Реализована полноценная возможность работы в сеансах на базе протокола Wayland. Поддерживаются только композитные серверы с реализацией Wayland-протокола wlr-layer-shell, развиваемого разработчиками библиотеки wlroots и предназначенного для позиционирования панели на экране. Для функционирования также требуется поддержка одного из Wayland-протоколов для управления окнами верхнего уровня (wlr-foreign-toplevel-management, plasma-window-management cosmic-toplevel-management).

  Протестирована работа с композитными серверами Wayfire, labwc, KDE KWin, Cosmic, Sway и Hyprland, но потенциально Cairo-Dock может использоваться с любыми проектами на базе wlroots. Не поддерживается работа с композитным менеджером Mutter - Cairo-Dock не совместим с GNOME и не может применяться с рабочим столом, предлагаемым по умолчанию в Ubuntu Desktop. Из ограничений также отмечается отсутствие поддержки глобальных комбинаций клавиш, ограничения одним экранном в многомониторных конфигурациях и проблемы с размещением десклетов и отслеживанием содержимого виртуальных рабочих столов.

• Добавлена поддержка экранов с высокой плотностью пикселей (HiDPI). Решена проблема с размыванием элементов при отрисковке с масштабированием для экранов с очень большим разрешением.
• Переработан код для определения приложений, что решило проблемы с неверной идентификацией приложений.
• Обновлён апплет для показа прогноза погоды, который переведён на нового провайдера, предоставляющего данные о погоде.
• Обеспечена интеграция с системным менеджером systemd. Cairo-Dock теперь может запускаться как сервис systemd, а для каждого запускаемого через Cairo-Dock приложения может создаваться отдельный slice в systemd.

1. OpenNews: Выпуск панели Cairo-Dock 3.4 с поддержкой Wayland
2. OpenNews: Панель Cairo-Dock адаптирована для работы с Wayland
3. OpenNews: Выпуск пользовательского окружения Sway 1.11
4. OpenNews: Выпуск miracle-wm 0.7, композитного менеджера на базе Wayland и Mir
5. OpenNews: Выпуск композитного сервера Hyprland 0.51

Время формирования обновлений для выпусков openSUSE Leap 16.x продлено с полутора до двух лет (два полных цикла подготовки релизов). Промежуточные выпуски в ветке openSUSE Leap 16, сопровождаемой параллельно с коммерческим дистрибутивом SUSE Linux Enterprise 16, будут формироваться до осени 2031 года - финальным станет выпуск openSUSE Leap 16.6, обновления для которого будут выпускаться до осени 2033 года. Как и раньше новые значительные выпуски дистрибутива будут публиковаться раз в год.

Основные особенности openSUSE Leap 16:

• Задействован новый инсталлятор Agama, примечательный отделением пользовательского интерфейса от внутренних компонентов YaST и поставкой фронтенда для управления установкой через web-интерфейс.
• В инсталляторе для установки предложены только среды рабочего стола, использующие Wayland.
• Вместо традиционного стека YaST для управления системой задействован пакет Cockpit, а вместо YaST Software GUI предложен новый пакет Myrlyn.
• По умолчанию включена система мандатного контроля доступа SELinux. Поддержка AppArmor сохранена в качестве опции.
• Прекращена поддержка скриптов инициализации SysV. Возможно использование только unit-ов systemd.
• Прекращена поддержка архитектуры x86-64-v1. Работа возможна только на системах x86 с архитектурой x86_64-v2, которая поддерживается процессорами примерно с 2009 года (начиная с Intel Nehalem) и отличается наличием таких расширений, как SSE3, SSE4_2, SSSE3, POPCNT, LAHF-SAHF и CMPXCHG16B.
• По умолчанию в ядре отключена поддержка 32-разрядных систем x86 и запуска 32-разрядных исполняемых файлов. Для продолжения использования приложения Steam, которое существует только в 32-разрядной версии и требует для запуска наличия в системе установленных 32-битных зависимостей, в openSUSE реализован пакет grub2-compat-ia32, выставляющий параметр "ia32_emulation=1" при загрузке ядра Linux. Для работы Steam также потребуется установка пакета selinux-policy-targeted-gaming, не входящего в базовую поставку.
• Пакет Wine доступен только в 64-разрядных сборках, использующих режим Wow64 (64-bit Windows-on-Windows) для выполнения 32-разрядных Windows-приложений в 64-разрядных Unix-системах.
• Для управления репозиториями задействован сервис на базе протокола RIS (Repository Index Service). Для сокращения размера метаданных репозитории разделены для каждой поддерживаемой архитектуры. Вместо нескольких репозиториев задействован один общий репозиторий пакетов repo-oss, включающий как пакеты из SUSE Linux Enterprise, так и пакеты, сопровождаемые сообществом.
• В пакетном менеджере Zypper реализована возможность распараллеливания загрузки пакетов и метаданных, а также предложен новый бэкенд, более оптимально повторно использующий уже установленные соединения и повышающий эффективность обработки метаданных. При обновлении 250 пакетов суммарным размером 100 МБ время загрузки после включения нового бэкенда и параллельного режима сократилось с 68.7 секунд до 13.1 секунды, а при обновлении 407 пакетов размером 1 ГБ - с 281.1 секунды до 119.6 секунд.
• Добавлены варианты популярных библиотек, таких как boost, openjpeg2, sqlite3, libgcrypt, openssl и zlib, собранные с оптимизациями для новых CPU. Загрузка оптимизированных вариантов на системах с новыми CPU осуществляется компоновщиком из подкаталогов glibc-hwcaps, созданных в областях ФС, просматриваемых при поиске библиотек.
• Для систем с видеокартами NVIDIA по умолчанию задействованы открытые модули ядра и обеспечена автоматическая установка компонентов пространства пользователя, необходимых для ускорения графических операций.
• По умолчанию вместо PulseAudio задействован мультимедийный сервер PipeWire.
• Для настройки сетевых подключений оставлен только NetworkManager.
• Для применения исправлений к библиотекам в пространстве пользователя без остановки их работы задействован инструментарий libpulp. Live-патчи применяются для устранения критических ошибок и уязвимостей в glibc и openssl на системах с архитектурами x86-64 и ppc64le.
• Для сетевых интерфейсов задействована схема с предсказуемым выбором имён, при которой сетевому адаптеру назначается фиксированное имя, которое не изменится при добавлении/удалении других адаптеров.
• Применяемые по умолчанию настройки systemd перенесены из каталога /etc в /usr.
• По умолчанию отключён доступ по SSH с пользователем root при аутентификации по паролю.
• В состав включён фоновый процесс tuned, выполняющий автоматическую оптимизацию настроек оборудования и ядра в зависимости от текущей нагрузки.
• Добавлена поддержка NFS поверх TLS.
• Для хранения раздела /tmp задействована ФС tmpfs, хранящая данные в памяти и не сохраняющая содержимое между перезапусками.
• Обновлены версии пакетов, среди которых ядро 6.12, glibc 2.40, systemd 257, wine 10.10, dovecot 2.4, QEMU 10.0.2, MariaDB 11.8, PostgreSQL 17, PHP 8.4, Node.js 22, Python 3.13, Rust 1.88, ruby 3.4, clang 19, gcc 15.
• Обновлены пользовательские окружения: GNOME 48 (в прошлом выпуске был GNOME 45), KDE 6.4 (был 5.27), Cinnamon 6.4 (был 6.0), LxQt 2.2 (был 1.2), Xfce 4.20 (был 4.18), MATE 1.28 (был 1.26), Sway 1.10 (был 1.6). Компоненты графического стека обновлены до Mesa 24.3 и Qt 6.9. Предоставлена возможность использования варианта Xfce 4.20 поверх композитного менеджера labwc, использующего Wayland. Для организации работы экрана входа в систему вместо LightDM реализована возможность использования greetd и gtkgreet. Добавлен Wayland-сеанс на базе LXQt.

1. OpenNews: Срок поддержки openSUSE Leap и openSUSE Leap Micro увеличен до 2 лет
2. OpenNews: Дистрибутив openSUSE опубликовал альтернативный инсталлятор Agama 17
3. OpenNews: Доступен дистрибутив SUSE Linux Enterprise 15 SP7
4. OpenNews: Компания SUSE попросила прекратить использование бренда SUSE в проекте openSUSE
5. OpenNews: Релиз дистрибутива openSUSE Leap 15.6

Основные изменения в Chrome 141:

• Для части пользователей активирован интегрированный в браузер чат-бот Gemini, который может пояснять содержимое просматриваемой страницы и отвечать на связанные со страницей вопросы, не переключаясь с текущей вкладки. Для вызова Gemini в верхний правый угол экрана добавлена кнопка, при нажатии на которую выводится диалог, позволяющий задавать вопросы на естественном языке и выбирать вкладки, содержимое которых должен учитывать AI при формировании ответа. Поддерживается текстовое и голосовое общение с ботом. Возможность доступна для пользователей из США, имеющих доступ к приложению Gemini и использующих платформы macOS, iOS и Windows.
• Включена защита от обращения к локальной системе (loopback, 127.0.0.0/8) или внутренней сети (192.168.0.0/16, 10.0.0.0/8 и т.п.) при взаимодействии с публичными сайтами. При попытке загрузки внутренних ресурсов браузер теперь станет выводить пользователю диалог с запросом подтверждения операции. Обращение к внутренним ресурсам используются злоумышленниками для осуществления CSRF-атак на маршрутизаторы, точки доступа, принтеры, корпоративные web-интерфейсы и другие устройства и сервисы, принимающие запросы только из локальной сети. Кроме того, сканирование внутренних ресурсов может использоваться для косвенной идентификации или сбору сведений о локальной сети.
• Начался переход на более гранулированную модель изоляции процессов - "Origin Isolation", при которой каждый источник контента (origin - связка из протокола, домена и порта, например, "https://foo.example.com"), изолируется в отдельном процессе отрисовки. Так как увеличение дробления изоляции может привести к повышению потребления памяти и росту нагрузки на CPU, новый режим изоляции включается только на системах, имеющих больше 4 ГБ ОЗУ. На маломощном оборудовании продолжит использоваться старый подход к изоляции, при котором в отдельном процессе изолируются все разные источники контента, связанные с одним сайтом (например, foo.example.com и bar.example.com). Возможность пока активирована для части пользователей, постепенно охват будет увеличиваться.
• Включено применение политики "Same Origin" для API Storage Access API. Вызов "document.requestStorageAccess()" из кода, загруженного через iframe c другого сайта, по умолчанию теперь будет охватывать только сайт, с которого загружен этот iframe, а не сайт, на котором размещён iframe.
• Добавлена эвристика для выявления на стороне клиента перехвата или перенаправления на внешние сайты поисковых запросов, вводимых в адресной строке или на странице, показываемой при открытии новой вкладки. Подобный перехват применяется некоторыми вредоносными дополнениями. Проверка осуществляется через сопоставление вводимых пользователем запросов с появлением страницы с результатами поиска. При выявлении подмены в режиме Safe Browsing на сервер Google отправляется телеметрия для более детального анализа, учитывающего телеметрию от разных пользователей.
• На странице открытия новой вкладки в нижней панели, на которой показывается информация о дополнениях, влияющих на содержимое страницы новой вкладки, обеспечен показ сведений о работе на устройстве, к которому применяется централизованное управление.
• На системах с профилями пользователей, привязанными к сторонним провайдерам аутентификации, реализована возможность выполнения удалённых команд администрирования, например, для очистки кэша или Cookie.
• В API IndexedDB реализован метод getAllRecords(), позволяющий извлечь все записи из хранилища объектов (IDBObjectStore) и индекса (IDBIndex). getAllRecords() сочетает в себе функциональность методов getAllKeys() и getAll() для извлечения как первичных ключей, так и связанных с ними значений. В методы getAll() и getAllKeys() добавлен параметр "direction" для определения направления извлечения данных, что позволяет ускорить определённые операции чтения по сравнению с применением курсоров.
• Добавлен API "WebRTC Encoded Transform" для обработки закодированных мультимедийных данных, передаваемых через RTCPeerConnection.
• Добавлена поддержка атрибутов "width" и "height" для вложенных элементов <SVG>, размером которых можно управлять через CSS или SVG-разметку.
• Внесены улучшения в инструменты для web-разработчиков. Добавлен экспериментальный MCP (Model Context Protocol) сервер, позволяющий обращаться к возможностям Chrome DevTools из внешних AI-ассистентов.

Информация об исправленных уязвимостях в анонсе и трекере изменений на момент написания новости отсутствует.

Дополнение: Спустя сутки после релиза раскрыты сведения об исправленных уязвимостях. В Chrome 141 устранена 21 уязвимость. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения, не выявлено. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 12 премии на сумму 50 тысяч долларов США (по одной премии $25000, $5000, $4000 и $2000, четыре премии $3000 и две $1000). Размер одного вознаграждения пока не определён.

1. OpenNews: Google представил AI-возможности Chrome
2. OpenNews: Выпуск web-браузера Chrome 140 с поддержкой скрытия IP и блокировки скриптов
3. OpenNews: Антимонопольное решение позволило Google сохранить Chrome и Android и продолжить отчисления Mozilla
4. OpenNews: За 10 месяцев в Chrome удалось на 22% повысить производительность в тесте Speedometer 3
5. OpenNews: Google отказался от навязывания блокировки сторонних Cookie в Chrome

Движок создан для быстрой и масштабируемой симуляции процессов и проведения исследований в области робототехники. Среди прочего, Newton позволяет симулировать сложное поведение роботов с большим числом взаимодействий, такое как ходьба по снегу или манипуляции с хрупкими объектами. Среди ключевых достоинств проекта отмечено задействование GPU для ускорения операций и быстрой масштабируемой симуляции, а также расширяемая архитектура, позволяющая подключать и заменять компоненты.

Для ускорения моделирования процессов и пространственных вычислений с использованием GPU задействован фреймворк NVIDIA Warp, а для переносимого представления иерархически связанных данных, образующих графическую сцену, применена платформа OpenUSD.

Для проведения моделирования можно использовать разные бэкенды проведения расчётов физических процессов (solver). В качестве основного бэкенда задействован движок MuJoCo (Multi-Joint dynamics with Contact), а в качестве опций доступны бэкенды, реализующие методы Euler, Featherstone, ImplicitMPM, SemiImplicit, Style3D, VBD и XPBD. Возможна загрузка моделей в форматах URDF, MJCF и USD.

Поддерживается дифференцируемая симуляция, позволяющая использовать градиентные методы и вычислять производные от выходных параметров симуляции по отношению к входным параметрам для оптимизации параметров симуляции или применения в машинном обучении. Например, можно использовать движок для оптимизации процессов и обучения роботов точным манипуляциям в симулированной среде. Поддерживается визуализация процесса симуляции в режиме реального времени.

1. OpenNews: Компания NVIDIA выпустила открытый движок симуляции физических процессов PhysX 5
2. OpenNews: Проект Open SIMH продолжит развитие симулятора SIMH как свободного проекта
3. OpenNews: DeepMind открыл код симулятора физических процессов MuJoCo
4. OpenNews: Google выпустил движок для симуляции физических процессов LiquidFun 1.1
5. OpenNews: Компания Google открыла код системы физически корректного рендеринга Filament

Обновление Ubuntu Touch 24.04-1.0 в ближайшие дни будет сформировано для устройств Asus Zenfone Max Pro M1, F(x)tec Pro1 X, Fairphone 3/3+/4, Google Pixel 3a/3a XL, JingPad A1, Oneplus 5/5T/6/6T, OnePlus Nord N10 5G/N100, Sony Xperia X, Vollaphone X/22/X23, Xiaomi Poco X3 NFC / X3, Xiaomi Poco M2 Pro, Xiaomi Redmi Note 9 Pro/Pro Max/9S, Volla Phone Quintus, Volla Tablet, Lenovo Tab M10 HD 2nd Gen, Rabbit R1 и Xiaomi Redmi 9/9 Prime. По сравнению с прошлым выпуском добавлены сборки для устройства Fairphone 5.

Среди изменений в Ubuntu Touch 24.04-1.0:

• Осуществлён переход на пакетную базу Ubuntu 24.04. С марта 2023 года в качестве базовой платформы использовалась ветка Ubuntu 20.04.
• Задействован новый логотип.
• Реализован светлый вариант оформления пользовательской оболочки, который можно включить в настройках "System Settings > Background & Appearance".
• Добавлена экспериментальная поддержка переключения тем оформления в live-режиме.
• Добавлена экспериментальная поддержка шифрования персональных данных, позволяющая защитить информацию пользователя в случае кражи устройства. Пользовательские данные шифруются с использованием заданного пароля или кода доступа, который необходимо вводить во время загрузки. Поддержка шифрования доступна не на всех устройствах и может быть включена через настройку "System Settings > Security & Privacy > Encryption (Experimental)".
• Добавлен новый вариант интерфейса приложения для осуществления звонков, оптимизированный для больших экранов смартфонов и поддерживающий отображение в ландшафтном режиме.
• Добавлен интерфейс "System Settings > USB" для переключения режимов работы USB, в котором можно включить раздачу доступа к интернету через кабель USB или передачу файлов поверх USB.
• В настройках Bluetooth обеспечен показ MAC-адреса устройства и реализована опция для повторного сканирования близлежащих устройств.
• В экранной клавиатуре отключены по умолчанию режимы автоматической вставки заглавных букв, автокоррекции и автопунктуации.
• Улучшена работа в режиме рабочего стола, активируемого при подключении смартфона к стационарному монитору.
• Для перемещения приложений между виртуальными рабочими столами добавлены комбинации клавиш Ctrl + Alt + Shift + клавиши управления курсором.
• Предоставлена возможность выбора информации, показываемой в меню индикатора с датой и временем. Можно настроить показ календаря, номеров недель, событий и будильников.
• В настройках звука (System Settings > Sound) добавлена возможность выбора звука, применяемого для напоминаний в календаре-планировщике.
• В настройках Wi-Fi обеспечен показ дополнительной информации об используемой беспроводной сети.
  1. OpenNews: Релиз мобильной платформы Ubuntu Touch OTA-10 Focal
  2. OpenNews: Опубликована прошивка Ubuntu Touch OTA-1 Focal, переведённая на Ubuntu 20.04
  3. OpenNews: Пользовательская оболочка Lomiri (Unity8) принята в Debian
  4. OpenNews: Опубликован postmarketOS 25.06, Linux-дистрибутив для смартфонов и мобильных устройств

Я собираюсь сделать то, чего, по-моему, никогда раньше не делал, а именно: использовать весь свой авторитет как человека, который открыл и записал правила открытого исходного кода.

После десяти лет драмы и идиотизма многие люди, помимо меня, теперь готовы публично заявить, что «кодексы поведения» оказались катастрофой — своего рода заразным социальным безумием, порождающим драму, политические интриги, сплетни и отрицательную полезную работу.

Вот мой совет по поводу кодексов поведения:

1. Откажитесь от него. Если у вашего проекта есть такой кодекс, удалите его. Единственная реальная функция, которую он выполняет, — это инструмент в руках тех, кто любит подливать масла в огонь.
2. Если вы вынуждены иметь такой кодекс по бюрократическим причинам, замените его следующим предложением или чем-то подобным: «Если вы доставляете больше хлопот, чем оправдывают ваши вклады, вы будете отстранены».
3. Попытки делать кодексы более конкретными и подробными не работают. Они только дают провокаторам возможность манипулировать.

Да, мы должны стараться быть добрыми друг к другу. Но мы должны быть безжалостными и беспощадными по отношению к людям, которые пытаются превратить «Давайте быть добрее!» в оружие. Потакание им никогда не заканчивается хорошо.

1. OpenNews: Эрик Реймонд представил критерии оценки вреда от использования закрытого ПО
2. OpenNews: Удаление Эрика Рэймонда из списков рассылки OSI и этические вопросы в открытых лицензиях
3. OpenNews: Эрик Реймонд основал проект по созданию открытого источника бесперебойного питания
4. OpenNews: Эрик Реймонд: Феминистки готовят провокации для обвинения лидеров СПО в сексуальных домогательствах
5. OpenNews: Эрик Реймонд представил новую систему управления версиями SRC

В конце августа компания Google анонсировала переход на использование на сертифицированных Android-устройствах только зарегистрированных приложений от верифицированных разработчиков. Установка приложений из сторонних каталогов будет возможна только, если разработчики зарегистрируют свои пакеты в Google и подтвердят свои персональные данные.

Отличием F-Droid от коммерческих каталогов приложений является то, что он работает в интересах пользователей, а не в интересах распространителей приложений. F‑Droid выполняет проверку, что размещаемое приложение является полностью открытым и не содержит недокументированных антифункций, таких как показ рекламы или отслеживание установок.

Введение регистрации Android-приложений не позволит F-Droid продолжить свою работу так как каталог сам собирает пакеты из исходного кода и не может регистрировать их от имени разработчиков. Собирая пакеты самостоятельно, F-Droid выступает гарантом, что пакет собран из кода, предложенного в официальном репозитории. Исключение предоставляется лишь для проектов, поддерживающих воспроизводимую сборку - в этом случае F-Droid может разместить предоставляемый разработчиками пакет, проверив воспроизводимость его сборки.

В случае самостоятельной сборки пакет заверяется цифровой подписью F-Droid, а при поставке воспроизводимого пакета - подписью разработчика приложения. После введения обязательной регистрации поставка программ, упаковываемых силами F-Droid, станет невозможной - F-Droid не может регистрировать сторонние приложения от своего имени, так как это обозначало бы захват идентификаторов и присвоение исключительных прав на распространение чужих программ. Для пакетов, поддерживающих воспроизводимые сборки, поставка через F-Droid может быть продолжена, если разработчик зарегистрирует себя и приложение в Google. При этом F‑Droid не может обязать разработчиков производить подобную регистрацию.

Компания Google оправдывает введение ограничений желанием усложнить распространение вредоносных приложений с использованием мошеннических схем, предлагающих загрузить и установить apk-пакет в обход каталога Google Play Store. Подобное решение не является панацеей и регулярное выявление в Google Play вредоносного ПО показывает, что корпоративная проверка не гарантирует защиту пользователей. Кроме того, на всех сертифицированных Android‑устройствах с каталогом Google Play уже поставляется сервис Play Protect, который проверяет и блокирует вредоносные приложения, независимо от того, как они были установлены. По мнению представителей F‑Droid, регистрация разработчиков в Google мотивирована не заботой о безопасности, а желанием консолидировать власть и ужесточить контроль над экосистемой.

F‑Droid продвигает модель безопасности, основанную на обеспечении прозрачности процессов - каждое размещаемое приложение поставляется с открытым исходным кодом, аудит которого может быть проведён любым желающим; сборочные логи и процессы публично доступны; воспроизводимые сборки гарантируют, что публикуемые результаты полностью соответствуют исходному коду. Подобная модель формирует более прочную основу для доверия, чем закрытые платформы, предоставляя при этом свободу выбора для пользователя.

1. OpenNews: В сертифицированных Android-устройствах запретят установку приложений от незарегистрированных разработчиков
2. OpenNews: Антимонопольное решение позволило Google сохранить Chrome и Android и продолжить отчисления Mozilla
3. OpenNews: Google подтвердил грядущее слияние Android и Chrome OS
4. OpenNews: Google заменил Android Developer Preview на непрерывно обновляемую ветку Canary
5. OpenNews: Google прекратил публикацию кода для поддержки устройств Pixel в репозитории с кодом Android

Разногласия возникли из-за того, что управляющий комитет и сложившийся состав модераторов придерживаются разных взглядов на управление сообществом. Комитет болезненно относится к критике и не приветствует обсуждение назревших в сообществе фундаментальных конфликтов. Модераторы же считают, что подобные обсуждения необходимы для роста проекта и нужно не избегать острых тем и не подавлять их, а поддерживать ход дискуссий в здоровом и конструктивном русле, без перехода на личности.

Среди примеров недопустимых действий управляющего комитета упоминаются попытки отменить некоторые решения модераторов, оказание давления на модераторов для совершения действий против отдельных участников и тем обсуждений, требование отчётности и обоснований действий от модераторов, попытки назначения и удаления модераторов без голосования (комитет пояснял свои действия попыткой добиться разнообразия мнений и исключения предвзятости в команде модераторов).

Протестующие модераторы призвали управляющий комитет подать в отставку, не дожидаясь выборов, которые должны пройти с 15 октября по 1 ноября, и уступить свои места новым членам, выбранным сообществом в ходе голосования. Сообществу рекомендовано добиваться прозрачности и подотчётности в работе управляющего совета, а также введения механизмов сдержек и противовесов для недопущения превышения полномочий.

Дополнение: Роберт Хенсинг (Robert Hensing) из управляющего комитета пояснил, что комитет пытался сотрудничать с командой модераторов для понимания модераторских решений, чтобы направить поведение модераторов в объективное русло, а также сделать модерацию справедливой. Основное недовольство модераторами было связано с тем, что модерация проводилась не на основе кодекса поведения, а на личных мнениях и компромиссах. Более решительные меры были предприняты так как модераторы не хотели отчитываться перед управляющим комитетом, которому они напрямую подчинены в иерархии проекта.

1. OpenNews: Мейнтейнеры NixOS отказались поддерживать XLibre
2. OpenNews: Доступен дистрибутив NixOS 25.05, использующий пакетный менеджер Nix
3. OpenNews: В NixOS предложен метод защиты от подстановки бэкдоров, таких как в XZ
4. OpenNews: Лидер проекта NixOS вышел из управляющего совета после угрозы создания форка
5. OpenNews: Проект NixBSD развивает вариант NixOS с ядром из FreeBSD