Dav2d оптимизирован для достижения максимальной производительности и заявлен как самый быстрый из существующих декодировщиков AV2 для всех поддерживаемых платформ. Предполагается, что предложенная в dav2d программная реализация AV2 позволит компенсировать отсутствие аппаратных декодировщиков на ранней стадии продвижения кодека AV2.

По своим целям и архитектуре новая библиотека dav2d напоминает существующий проект dav1d и отличается реализацией кодека AV2 вместо AV1. Некоторые общие возможности перенесены из кодовой базы dav1d. Библиотека dav2d будет поддерживать все возможности AV2, включая расширенные виды субдискретизации и все заявленные в спецификации параметры управления глубиной цвета. Проект находится на стадии разработки и пока не рекомендован для внедрения в рабочие системы, так как финальная спецификация для AV2 ещё не утверждена.

Кодек AV2 не требует лицензионных отчислений и развивается альянсом Open Media (AOMedia) в качестве преемника формата AV1. Особенности кодека AV2:

• оптимизация для применения в потоковом вещании;
• улучшенное предсказание межкадровых изменений;
• значительное улучшение по сравнению с AV1 производительности операций сжатия;
• расширенная поддержка возможностей для виртуальной и дополненной реальности;
• поддержка более широкого диапазона визуального качества;
• возможность одновременной доставки нескольких видео в рамках одного видеопотока с поддержкой их раздельного отображения на экране;
• дополнительные фильтры для подавления шумов, уменьшения артефактов от сжатия и сохранения детализации.

1. OpenNews: Выпуск кодировщика SVT-AV1 2.0 и декодировщика dav1d 1.4 для формата видео AV1
2. OpenNews: VideoLAN и FFmpeg разработали новый декодировщик для видеокодека AV1
3. OpenNews: Альянс AOMedia анонсировал видеокодек нового поколения AV2
4. OpenNews: На выставке CES 2026 продемонстрирован прототип VLC 4.0 с поддержкой видеокодека AV2
5. OpenNews: Кодек AV2 продемонстрировал снижение битрейта на 30% при уровне качества AV1

Теренс Иден (Terence Eden), участвовавший в продвижения отрытых стандартов и открытого ПО в госучреждениях Великобритании, считает решение ошибочным и противоречащим действующему в Великобритании регламенту "Tech Code of Practice", предписывающему применение открытых моделей разработки и использование отрытого кода. По мнению Теренса, риск переоценён и для большинства репозиториев, доступ к которым намерены ограничить, сканирование AI-инструментами не создаёт новых угроз безопасности, так как в этих репозиториях в основном размещены наборы данных, руководства, макеты интерфейса, а также внутренние и исследовательские инструменты, не задействованные в публичных сервисах.

При участии Теренса организовано резервное копирование репозиториев службы здравоохранения Великобритании. В случае удаления репозиториев, они будут повторно опубликованы в другом месте, так как открытые лицензии, под которыми распространятся содержимое, разрешают это.

1. OpenNews: SDL запретил приём кода от AI. Созданы форки Vim, избавленные от AI-изменений
2. OpenNews: Платформа Cal.com прекратила публиковать код из-за опасения выявления уязвимостей через AI
3. OpenNews: Anthropic опубликовал Си-компилятор, созданный AI-моделью Claude Opus и способный собрать ядро Linux
4. OpenNews: Переписывание кода при помощи AI для перелицензирования открытых проектов
5. OpenNews: Anthropic анонсировал AI-модель Claude Mythos, умеющую создавать рабочие эксплоиты

Для установки соединения пользователям нужно обменяться ссылкой, которая содержит адрес SMP-сервера и ключи шифрования. Таким образом, пользователь сам выбирает через какие серверы получать сообщения, будь то официальные серверы, серверы сообщества или личный (self-hosted) сервер. Для сокрытия IP-адреса от SMP-серверов применяется механизм "private routing", обеспечивающий маршрутизацию запросов через ряд независимых SMP-серверов, по аналогии с луковой маршрутизацией, применяемой в сети Tor.

Наиболее важные изменения в выпуске 6.5:

• Добавлена реализация каналов, позволяющих доставлять и управлять информацией с сохранением состояния (stateful). В то время как SMP-очереди обеспечивают однонаправленную доставку пакетов без хранения состояния (stateless) между двумя конечными точками, каналы реализуют модель доставки информации "от одного ко многим" с криптографической идентификацией, независимой от операторов инфраструктуры. Каждый канал может использовать несколько релеев для цензуро- и отказоустойчивости.

  Поверх каналов уже реализованы "публичные каналы" похожие на каналы в Telegram, но с важными отличиями:

  • Автор канала по-настоящему владеет им и контролирует с помощью криптографической подписи. Релеи, которые обеспечивают доставку "от одного ко многим", являются взаимозаменяемыми и не могут действовать от имени владельца канала;
  • Обеспечивается конфиденциальность участия (participation privacy). Релеи являются клиентами в сети SimpleX, таким образом наследуются свойства конфиденциальность с транспортного уровня SMP.
• Подготовка к разделению прав интеллектуальной собственности на протоколы и сеть для предотвращения расхождения интересов бизнеса и пользователей. Создание организации SimpleX Network Consortium.
• В приложении упрощена отправка приглашений для новых пользователей и реализована опциональная поддержка предпросмотра web-ссылок, с возможностью использования SOCKS-прокси для предпросмотра, защитой от фишинга и блокированием отслеживания через ссылки.

1. OpenNews: Опубликована децентрализованная платформа совместной разработки Radicle 1.7
2. OpenNews: Выпуск P2P-платформы GNUnet 0.25
3. OpenNews: Выпуск открытой P2P-системы синхронизации файлов Syncthing 2.0
4. OpenNews: Выпуск Nebula 1.9, системы для создания оверлейных P2P-сетей
5. OpenNews: Опубликован мессенджер Delta Chat 1.42, использующий email в качестве транспорта

Основные изменения:

• Режим по умолчанию для языка C++ переключён на использование стандарта C++20 (диалект GNU C++20, -std=gnu++20) вместо ранее предлагавшегося C++17. Реализация C++20 в стандартной библиотеке объявлена стабильной.
• В состав включён экспериментальный фронтэнд ga68 для компиляции программ на языке программирования Алгол 68 (Algol 68).
• Добавлена возможность вывода диагностической информации в формате HTML. Расширена информация о ходе выполнения программы, включаемая при выводе диагностики в формате SARIF, основанном на JSON (поддержка "-fdiagnostics-format=json" прекращена).
• Расширены оптимизации на этапе связывания (LTO, Link-Time Optimization). Добавлена опция "-flto-toplevel-asm-heuristics", включающая эвристику для улучшения оптимизации кода с ассемблерными вставками. Техника спекулятивной девиртуализации (-fdevirtualize-speculatively) теперь не ограничена преобразованием виртуальных методов и может применяться при преобразовании в прямые вызовы любых косвенных вызовов функций, например, вызовов через указатели.
• Реализована поддержка векторизации циклов, для которых на этапе компиляции неизвестно число итераций. Повышена эффективность обработки досрочных выходов из цикла (например, через break).
• Добавлена экспериментальная поддержка многих возможностей недавно утверждённого стандарта C++26. Например, реализованы:
  • Рефлексия (Reflection, "-freflection"), позволяющая отслеживать и модифицировать элементы программы на стадии компиляции. Добавлены новые операторы "^^" для получения метаинформации о грамматической конструкции и "[:…:]" для выполнения обратного преобразования. Для преобразования и обработки полученной в ходе инспектирования информации предложена библиотека std::meta и доступны такие возможности, как вычисления с константами.
  • Контрактное программирование (Contracts), позволяющее определять формальные спецификации интерфейсов при помощи трёх новых операторов: pre (предусловие), post (постусловие) и contract_assert (проверка утверждения). Оператор "pre" определяет предварительные условия, которые должны быть выполнены перед вызовом (проверка входных данных); "post" - условия, которые должны соблюдаться после выполнения (требования к выходным данным); contract_assert - условия возникновения исключений.
  • Оператор "template for" для перебора элементов, таких как пакеты параметров, похожие на кортежи объекты и результаты рефлексии (метаобъекты), на этапе компиляции в стиле обычного цикла. При выполнении "template for" тело цикла раскрывается для каждого элемента и каждая итерация обрабатывается в отдельной области видимости, в которой элемент последовательности, по которой итерируется цикл, является константой для каждой итерации и может участвовать в константных выражениях (constexpr). В контексте рефлексии "template for" может применяться для обхода свойств классов или перечислений.
  • Библиотека std::simd для распараллеливания выполнения операций над данными при помощи наборов инструкций SIMD, таких как AVX-512 и NEON, с использованием стандартной системы типов C++.
  • Библиотеки std::inplace_vector, std::optional<T&>, std::copyable_function, std::function_ref, std::indirect, std::polymorphic и std::owner_equal.
• Реализованы возможности, связанные со стандартом C++23, такие как явное управление временем жизни объектов и поддержка указания кодировки символов диагностических сообщений.
• Расширена поддержка стандарта C23, например, реализована возможность использования атрибута "counted_by" для проверки корректности использования указателей.
• Продолжена реализация стандартов OpenMP 5.0, 5.1, 5.2 и 6.0 (Open Multi-Processing), определяющих API и способы применения методов параллельного программирования на многоядерных и гибридных (CPU+GPU/DSP) системах с общей памятью и блоками векторизации (SIMD). Улучшена реализация спецификаций параллельного программирования OpenACC 3.0, 3.3 и 3.4, определяющих средства для выноса операций (offloading) на GPU и специализированные процессоры, такие как NVIDIA PTX.
• В бэкенд для архитектуры x86 добавлена поддержка процессоров AMD на основе микроархитектуры Zen6 (-march=znver6), а также процессоров Intel Wildcat Lake (-march=wildcatlake) и Nova Lake (-march=novalake).
• В бэкенде генерации кода для GPU AMD Radeon (GCN) реализована поддержка ускорителей AMD Instinct MI300 (gfx942).
• Для архитектур RISC-V, ARM, S/390 и LoongArch реализована поддержка типа "_BitInt (N)" для определения целых чисел с указанным числом битов.
  1. OpenNews: Релиз набора компиляторов GCC 15
  2. OpenNews: GCC-бэкенд достиг возможности полной раскрутки компилятора rustc. Выпуск Rust Coreutils 0.1.0
  3. OpenNews: Релиз набора компиляторов LLVM 22
  4. OpenNews: Утверждён стандарт C++26

Уязвимость вызвана логической ошибкой в crypto API (AF_ALG) ядра Linux, допущенной в 2017 году при внесении оптимизации, убирающей лишнюю буферизацию через выполнение по месту (in-place) операций блочного шифрования AEAD (Authenticated Encryption with Associated Data). Проблема возникла из-за необдуманного использования функции splice(), передающей данные между файловыми дескрипторами и каналами (pipe) без копирования, путём передачи ссылок на элементы в страничном кэше. После внесения оптимизации при передаче файла в сокет AF_ALG для расшифровки в структуру scatterlist записывалась не ссылка на отдельный буфер, а прямая ссылка на элементы страничного кэша ядра c данными файла.

В дальнейшем в процессе расшифровки AEAD вместе использовались привязанные по ссылке данные тега аутентификации ("authentication tag") из страничного кэша и копируемые в RX-буфер дополнительные аутентифицируемые данные (AAD, Associated Authenticated Data) и шифротекст, а смещение для операции записи в тег аутентификации рассчитывалось с учётом скопированных данных без должных проверок, что позволяло перезаписать произвольные области в страничном кэше.

Уязвимость даёт возможность при каждом запросе перезаписать 4 байта по выбранному смещению, что позволяет атакующему через отправку серии запросов изменить в страничном кэше содержимое любого файла в системе, доступного для чтения, предварительно добившись его помещения в кэш. Так как при любых операциях чтения из файлов содержимое отдаётся в первую очередь из страничного кэша, после замены информации в страничном кэше ядро или процесс при чтении данных из файла получит не фактические, а подменённые данные, что может применяться для подстановки кода в запускаемые исполняемые файлы или загружаемые разделяемые библиотеки.

Для выполнения кода с правами root достаточно добиться изменения страничного кэша для любого исполняемого файла с флагом suid root. В предложенном эксплоите выполняется чтение исполняемого файла /usr/bin/su и модификация загруженного в страничный кэш содержимого этого файла для подстановки в него своего кода. При последующем запуске утилиты "su" будет загружен в память не оригинальный исполняемый файл с накопителя, а изменённая копия из страничного кэша.

Эксплоит универсален, не требует адаптации к дистрибутивам или версиям ядра, и может использоваться с любыми дистрибутивами. Так как при использовании контейнерной изоляции для всех контейнеров используется общий страничный кэш, уязвимость можно использовать для получения доступа к хост-окружению из контейнера (позднее обещают опубликовать эксплоит для обхода изоляции в Kubernetes).

Уязвимость выявлена при помощи AI примерно после часа экспериментов с анализом кода криптоподсистемы ядра. Проблема проявляется начиная с ядра Linux 4.14, выпущенного в 2017 году, и устранена в ядрах 6.18.22, 6.19.12 и 7.0. Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах: Debian, Ubuntu, SUSE/openSUSE, RHEL, Gentoo, Arch, Fedora, ROSA. Актуальные версии Android не подвержены атаке из-за ограничения доступа к сокетам AF_ALG при помощи SELinux.

На системах, в которых поддержка AEAD собрана в форме модуля, а не вкомпилирована при сборке с опцией "CONFIG_CRYPTO_USER_API_AEAD=y", в качестве обходного пути защиты можно отключить модуль ядра algif_aead. Отключение может повлиять на конфигурации с OpenSSL, в которых AF_ALG используется при явном включении движка afalg, а также на отдельные приложения (проверить наличие подобных запущенных приложений можно командой "lsof | grep AF_ALG").

   echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf
   rmmod algif_aead

Дополнение 1: Опубликованы обновления ядра 5.10.254, 5.15.204, 6.1.170, 6.6.137, 6.12.85 с устранением уязвимости. Рассматривается возможность пометки функциональности AF_ALG устаревшей с последующим удалением из ядра в пользу использования криптобиблиотек в пространстве пользователя.

Дополнение 2: Доступны варианты эксплоитов на языках Си и Go.

1. OpenNews: Уязвимость в ядре Linux, позволяющая исказить файлы, доступные только для чтения
2. OpenNews: Атака по определению состояния памяти процессов при помощи страничного кэша
3. OpenNews: Уязвимость в ядре Linux, позволяющая повысить свои привилегии в системе
4. OpenNews: В ядре Linux выявлен новый вариант уязвимости Dirty COW
5. OpenNews: Критическая уязвимость в ядре Linux, уже эксплуатируемая злоумышленниками

В состав LXC входит библиотека liblxc, набор утилит (lxc-create, lxc-start, lxc-stop, lxc-ls и т.п.), шаблоны для построения контейнеров и набор биндингов для различных языков программирования. Изоляция осуществляется при помощи штатных механизмов ядра Linux. Для изоляции процессов, сетевого стека ipc, uts, идентификаторов пользователей и точек монтирования используется механизм пространств имён (namespaces). Для ограничения ресурсов применяются cgroups. Для понижения привилегий и ограничения доступа задействованы такие возможности ядра, как профили Apparmor и SELinux, политики Seccomp, Chroots (pivot_root) и capabilities.

Основные изменения:

• Реализована изоляция процесса мониторинга при помощи механизма Landlock, позволяющего непривилегированным программам сбрасывать ненужные для работы привилегии, добровольно ограничивая свой дальнейший доступ к системе в целях повышения безопасности. Landlock задействован для ограничения обработчиков API мониторинга возможностью работы только с контейнером и запрета доступа к файлам за его пределами. Защита применяется при сборке landlock-monitor.
• Разделена конфигурация обработчиков (hook) и контейнеров (runtime). Добавлены новые настройки lxc.environment.hooks и lxc.environment.runtime, при помощи которых можно выборочно выставлять переменные окружения только для контейнеров, не передавая их hook-обработчикам, и наоборот.
• Прекращена поддержка cgroup v1, а также ядер Linux, не поддерживающих PIDFD и новый API управления монтированием.
• Устранена уязвимость (CVE-2026-39402), позволяющая обойти авторизацию и добиться удаления портов OVS (OpenVswitch) через манипуляцию с командой "lxc-user-nic delete". Уязвимость позволяет непривилегированному пользователю отключить сетевые интерфейсы для контейнеров, запущенных другими пользователями.

Кроме того, компания Canonical опубликовала новую версию системы управления контейнерами LXD 6.8. LXD предоставляют инструменты для централизованного управления контейнерами и виртуальными машинами, развёрнутыми как на одном хосте, так и в кластере из нескольких серверов. Проект реализован в виде фонового процесса, принимающего запросы по сети через REST API и поддерживающего различные бэкенды хранилищ (дерево директорий, ZFS, Btrfs, LVM), снапшоты со срезом состояния, live-миграцию работающих контейнеров с одной машины на другую и средства для хранения образов контейнеров. В качестве runtime для запуска контейнеров используется инструментарий LXC.

Среди изменений в LXD 6.8:

• Добавлена функция связывания кластеров (Cluster links), позволяющая организовать защищённое и аутентифицированное при помощи TLS-сертификатов взаимодействие между разными кластерами LXD. Для управления связыванием добавлена команда "lxc cluster link" и реализован соответствующий раздел в web-интерфейсе.
• Добавлена новая роль узлов кластера - "control-plane", при помощи которой можно выделить узлы, участвующие в определении консенсуса Raft и способные выступать в роли запасных или мастер-узлов БД.
• Реализованы репликаторы, позволяющие использовать API Сluster links для репликации содержимого узлов в другие кластеры LXD с целью обеспечения отказоустойчивости.
• Добавлена поддержка горячего подключения устройств GPU CDI (Container Device Interface) к работающим контейнерам.
• В драйвер хранилища Ceph добавлена поддержка протокола msgr2 (Ceph messenger v2).
• В web-интерфейсе добавлены инструменты для управления ролями узлов кластера, модернизирован редактор конфигурации в формате YAML, реализовано стилизованное под Ubuntu оформление встроенного эмулятора терминала, улучшен выбор драйверов хранилищ.

1. OpenNews: Выпуск инструментариев для управления контейнерами LXC 6.0, Incus 6.0 и LXD 5.21.1
2. OpenNews: Выпуск системы управления контейнерами LXC 5.0
3. OpenNews: Уязвимость в runc и LXC, затрагивающая Docker и другие системы контейнерной изоляции
4. OpenNews: Первый выпуск Incus, форка системы управления контейнерами LXD
5. OpenNews: Компания Canonical перевела проект LXD на лицензию AGPLv3

Разработчики проекта GTK прекратили сопровождение GTK2 более пяти лет назад, а пакеты с GTK2 уже исключены из официальных репозиториев дистрибутивов Red Hat Enterprise Linux, SUSE Linux Enterprise Server, openSUSE и Arch Linux (доступен через AUR). Из значимых проектов GTK2 продолжает использовать звуковой редактор Ardour, но данный проект не зависит от внешних библиотек и поддерживает собственный форк GTK2 - YTK. В репозитории Debian остаётся около 150 пакетов, связанных зависимостями с GTK2, среди которых afterstep, Double Commander, fpc, gkrellm, gmpc, hexchat, lazarus, mplayer, navit, pidgin, sane-frontends, scim, sylpheed, tickr, tilem, uim, usermode, xsane, xzgv и z88.

В GTK2-NG добавлено несколько десятков изменений, в основном связанных с переносом исправлений, распространявшихся в форме патчей в пакетах из AUR и Debian, и исправлением предупреждений, выдаваемых компилятором. Из улучшений отмечается модернизация функции сортировки массивов g_sort_array и замена алгоритма масштабирования для повышения чёткости пиктограмм. В виджете выбора файлов (filechooser) решены имевшиеся проблемы и проведена оптимизация отображения в виде иконок содержимого каталогов с большим числом файлов. Протестирована сборка с использованием GCC 14 и Clang 21.

Из планов на будущее отмечается перенос изменений из форка GTK2, развиваемого участником проекта Xlibre - stefan11111, а также бэкпортирование кода из YTK, форка GTK2 от проекта Ardour. Среди задач также называется проверка сборки в GCC 15 и добавление поддержки использования libppd для вывода на печать на системах с CUPS 3.x. Не исключается задействование лицензии GPLv3 для нового кода и смена названия для исключения претензий от проекта GNOME.

1. OpenNews: В Debian 14 намерены прекратить поставку GTK2
2. OpenNews: Эксперимент по использованию AI для перевода приложения с GTK2 и OpenGL на GTK4 и Vulkan
3. OpenNews: Ardour прекратил поддержку сборки с GTK2 в пользу форка YTK
4. OpenNews: В звуковом редакторе Ardour 8.4 создано собственное ответвление GTK2
5. OpenNews: Доступен графический тулкит GTK 4.22 со встроенным движком отрисовки SVG

GameNetworkingSockets реализует поверх UDP похожий на TCP протокол, обеспечивающий установку соединения, но ориентированный на передачу сообщений вместо потоков. Через установленный канал связи сообщения могут передаваться как в режиме гарантированной доставки, так и с использованием более быстрого режима ненадёжной передачи.

Протокол поддерживает такие возможности как обработка фрагментации, пересборка пакетов, прогнозирование и ограничение пропускной способности, создание P2P-каналов связи, обход трансляторов адресов (через WebRTC ICE) и шифрование. Данные в пакетах шифруются с использованием алгоритма блочного шифрования AES, а для обмена ключами и проверки сертификатов применяются цифровые подписи на базе эллиптических кривых Ed25519. Механизмы доставки ключей и выбора вектора инициализации для каждого пакета основаны на методах, применяемых в протоколе QUIC.

Среди изменений в новой версии:

• API ISteamNetworkingSockets::SendMessages расширен для упрощения обработки сбоев при отправке и инициирования повторных попыток доставки.
• Добавлены новые настройки для ECN, jitter-а, определения локального IP (IPLocalHost) и отключения аутентификации (AllowWithoutAuth).
• Добавлен вариант API ISteamNetworkingMessages для языка Си.
• Реализована начальная версия обвязки для языка Rust.
• Исправлены ошибки в реализации режима P2P.
• Реализована автоматическая корректировка ситуаций, связанных с нарушением порядка прихода пакетов и сообщений.
• Улучшена интеграция с инструментариями CMake и vcpkg.
• Налажена совместимость с новыми версиями библиотек protobuf и abseil.
• Добавлена поддержка диагностики через ETW (Event Tracing for Windows).
• Устранены уязвимости, информация о которым не детализируется, но судя по логу изменений речь о целочисленном переполнении в функциях отправки пакетов и возможности обхода проверки сертификата в функции CheckCertPOPID.

1. OpenNews: Компания Valve представила приставку Steam Machine и VR-шлем Steam Frame, поставляемые с Linux
2. OpenNews: Разработчик из Valve оптимизировал драйвер RADV для работы с Llama.cpp
3. OpenNews: Компания Valve опубликовала дистрибутив для игровых консолей SteamOS 3.7
4. OpenNews: Компания Valve опубликовала код игры Team Fortress 2
5. OpenNews: Компания Valve запустила проект Frog для ускорения продвижения новых протоколов Wayland

Проект запущен подразделением Open Source Program Office, созданным при Министерстве внутренних дел и по делам королевства Нидерландов, и продвигает философию "Открыто, если не оговорено иное" ("Open, tenzij"), в соответствии с которой по умолчанию код развиваемых для госучреждений программных продуктов по возможности должен публиковаться в открытом доступе, чтобы другие госучреждения, граждане и компании могли проверять, использовать для собственных целей и улучшать код. Предполагается, что подобный подход не только повысит качество ПО, но и позволит добиться увеличения прозрачности процессов.

На текущем этапе хостинг открытого кода запущен в пилотном режиме и доступен ограниченной группе организаций. Заинтересованные в участии разработчики и организации могут присоединиться к тестированию, отправив заявку координатору проекта. Предполагается, что в ближайший год к проекту смогут подключиться различные государственные службы Нидерландов, от министерств до муниципалитетов.

Платформа Forgejo является форком проекта Gitea, который в свою очередь ответвился от платформы Gogs. Ключевыми особенностями Forgejo является низкое потребление ресурсов (может использоваться в дешёвых VPS) и простой процесс установки. Предоставляются типовые возможности работы с проектами, такие как управление задачами, отслеживание проблем (issues), pull-запросы, wiki, средства для координации групп разработчиков, подготовка релизов, автоматизация размещения пакетов в репозиториях, управление правами доступа, сопряжение с платформами непрерывной интеграции, поиск кода, аутентификация через LDAP и OAuth, доступ к репозиторию по протоколам SSH и HTTP/HTTPS, подключение web-хуков для интеграции со Slack, Discord и другими сервисами, поддержка Git-хуков и Git LFS, инструменты для миграции и зеркалирования репозиториев.

1. OpenNews: Готовность платформы совместной разработки Fedora Forge
2. OpenNews: Доступна платформа совместной разработки Forgejo 13.0
3. OpenNews: Госучреждения Дании уходят от продуктов Microsoft в пользу открытого ПО
4. OpenNews: Из курирующей LibreOffice организации TDF исключены все сотрудники Collabora
5. OpenNews: Часть компьютеров в госучреждениях Франции планируют перевести с Windows на Linux

Вредоносный релиз был опубликован 25 апреля в 1:20 (MSK) и оставался доступен для загрузки более 11 часов (до 12:45). Атака была совершена через отправку pull-запроса со специально оформленным комментарием, эксплуатирующим уязвимость в автоматически вызываемом обработчике GitHub Action. Атакующим удалось запустить shell-команды в окружении непрерывной интеграции и извлечь из него содержимое переменной окружения GITHUB_TOKEN с токеном доступа к репозиторию. Данный токен был использован для создания нескольких веток в git и подготовке релиза.

В состав опубликованного атакующими релиза был включён вредоносный код, закодированный в формате base64 и активируемый при установке пакета. Вредоносный код осуществлял сканирование системы и отправку конфиденциальных данных, таких как ключи SSH и SSL/TLS, содержимое переменных окружения, учётные данные к AWS, GCP, Azure и K8s, ключи от криптокошельков, пароли к СУБД, историю операций в командном интерпретаторе, файлы конфигурации от Git, CI/CD, пакетных менеджеров и Docker.

1. OpenNews: Компрометация PyPI-пакета Telnyx
2. OpenNews: В PyPI размещены вредоносные выпуски библиотеки LiteLLM, насчитывающей 95 млн загрузок в месяц
3. OpenNews: Атакующие получили доступ к 174 учётным записям в каталоге PyPI
4. OpenNews: Перехвачены 4 учётные записи в PyPI и выпущены вредоносные релизы num2words
5. OpenNews: Инциденты с безопасностью в репозиториях PyPI и crates.io

Наиболее значимые изменения в Fedora Linux 44:

• Среда рабочего стола GNOME обновлена до ветки 50, в которой удалён код для поддержки X11, переработан интерфейс родительского контроля, улучшена поддержка нецелых уровней масштабирования и механизма VRR (Variable Refresh Rate), реализована поддержка Wayland-протокола color-management-v2 для управления цветом.
• Во всех вариантах дистрибутива со средой рабочего стола KDE (Fedora KDE Plasma Desktop Edition, Fedora KDE Plasma Mobile Spin и Fedora Kinoite) для настройки системы после установки задействован развиваемый проектом KDE мастер начальной настройки Plasma Setup, а в инсталляторе Anaconda отключены пересекающиеся с данным приложением стадии конфигурирования системы.
• Во всех редакциях с KDE менеджер входа SDDM заменён на Plasma Login Manager, развиваемый проектом KDE.
• Переработана редакция Fedora Games Lab, предлагающая подборку пакетов и настроек для любителей компьютерных игр. В новом варианте обновлён программный стек для запуска игр и задействованы актуальные технологии, такие как Wayland и PipeWire.
• Пользовательское окружение Budgie обновлено до ветки 10.10, переведённой на Walyand.
• В инсталляторе Anaconda изменена логика создания сетевых профилей (файлов с настройками для NetworkManager) в установленной системе. Подобные профили теперь создаются не для всех имеющихся проводных сетевых устройств, а только для устройств, настроенных в процессе установки через GUI, загрузочные опции или kickstart-файл. Создание профилей для всех доступных устройств, а не только выбранных пользователем, требовало удаления лишних профилей после установки и вызывало трудности при последующей необходимости изменения настроек.
• По умолчанию активирован модуль ядра NTSYNC, позволяющий существенно поднять производительность Windows-игр, запускаемых при помощи Wine. Модуль реализует символьное устройство /dev/ntsync и набор примитивов для синхронизации, применяемых в ядре Windows NT. Значительный прирост производительности достигается благодаря избавлению от накладных расходов, связанных с применением RPC в пространстве пользователя.
• На системах с архитектурой Аarch64 обеспечен автоматический выбор файла описания оборудования DTB (Device Tree Blobs) для загрузчика UEFI, что решило проблемы с загрузкой Live-сборок Fedora на ARM-ноутбуках, поставляемых с Windows.
• В Live-сборках задействован набор скриптов livesys-scripts для настройки рабочего окружения и новые возможности инструментария Dracut для автоматического создания сохраняемого между перезагрузками оверлейного хранилища при записи образа на USB-накопители.
• Продолжена работа по переводу инфраструктуры непрерывной интеграции (dist-git CI), выполняющей пересборку RPM-пакетов после внесения изменений или обновления версий, на использование по умолчанию инструментария Packit вместо Fedora CI и Zuul.
• Включено по умолчанию использование жёстких ссылок для связывания идентичных файлов, устанавливаемых из разных пакетов в иерархию /usr. Создание жёсткой ссылки осуществляется автоматически при установке пакета обработчиком на стадии "post install".
• В репозиторий добавлен инструментарий с пакетным менеджером Nix, позволяющий устанавливать пакеты в формате Nix из коллекции nixpkgs. Пакеты можно ставить в однопользовательском (в домашний каталог пользователя) и многопользовательском (в каталог /nix) режимах.
• Прекращена поставка сборок QEMU для 32-разрядных хост-систем (i686). Изменение отражает работу проекта QEMU по удалению поддержки 32-разрядных хост-систем.
• Из состава атомарных редакций Fedora для десктоп систем удалены исполняемые файлы и библиотеки FUSE 2 (ранее данная версия была объявлена устаревшей и все пакеты переведены на использование FUSE 3). Также прекращена поддержка устаревших правил polkit, поставлявшихся в файлах с расширением pkla.
• PackageKit переключён на использование нового бэкенда DNF5, собранного с библиотекой libdnf5.
• В редакции дистрибутива с композитным менеджером MiracleWM оболочка рабочего стола nwg-shell заменена на Dank Material Shell.
• В Fedora Cloud вместо отдельного раздела /boot теперь предлагается одноимённый подраздел Btrfs.
• Прекращена поставка пакета libreoffice-KF5 с компонентами для интеграции LibreOffice с Qt5, на смену которому пришёл пакет libreoffice-kf6, обеспечивающий интеграцию с Qt6.
• Загрузка библиотеки OpenSSL ускорена за счёт распределения сертификатов по подкаталогам (формат directory-hash) вместо их размещения в одном файле /etc/pki/tls/cert.pem.
• Обновлены версии пакетов: ядро Linux 7.0, GCC 16.1-prerelease, LLVM 22, Ruby 4.0, Go 1.26, binutils 2.46, glibc 2.43, gdb 16.3, CMake 4.0, MariaDB 11.8, IBus 1.5.34, uutils-coreutils 0.5, nushell 0.109.2, Django 6.x, TagLib 2, Helm 4, Ansible 13, TeXLive 2025, GHC 9.10, PHP 8.5.
• Проведена работа по доведению инфраструктуры для воспроизводимых сборок до охвата не менее чем 99% пакетов в репозитории Fedora. В прошлых выпусках охват воспроизводимыми сборками оценивался в 90%, благодаря внесению в сборочную систему изменений, синхронизирующих метаданные о времени модификации файлов с эталонным исходным кодом, а также обеспечивающих постоянный порядок перечисления метаданных и структур в бинарных файлах. Для обеспечения воспроизводимых сборок в оставшихся 10% к участию были привлечены сопровождающие проблемных пакетов. Воспроизводимые сборки дают пользователю возможность лично убедиться, что распространяемые в пакетах бинарные файлы собраны из предоставляемого исходного кода и не содержат скрытых изменений, осуществлённых в результате компрометации компилятора или сборочного инструментария.

Для Fedora 44 введены в строй репозитории "free" и "nonfree" от проекта RPM Fusion, в которых доступны пакеты с дополнительными мультимедиа приложениями (MPlayer, VLC, Xine), видео/аудио кодеками, поддержкой DVD, проприетарными драйверами AMD и NVIDIA, игровыми программами и эмуляторами.

1. OpenNews: Выпуск дистрибутива Fedora Linux 43
2. OpenNews: Планы по введению статуса проверенного участника Fedora
3. OpenNews: Microsoft рассматривает возможность перевода Azure Linux на пакетную базу Fedora
4. OpenNews: Готовность платформы совместной разработки Fedora Forge
5. OpenNews: В Fedora утверждены правила использования AI-инструментов при разработке

При выборе AI-инструментов предпочтения будут отдаваться открытым моделям, распространяемым под лицензиями, отвечающими духу дистрибутива, а также AI-платформам на базе открытого кода. По умолчанию AI-модели будут выполняться локально. Интеграция с внешними облачными AI-системами будет в форме опции, подконтрольной пользователю.

Подчёркивается, что цель инициативы не в превращении Ubuntu в AI-продукт и не в продвижении AI ради AI, а в выборочной интеграции в дистрибутив AI-возможностей там, где это будет действительно полезным для пользователей. Для тех, кто не желает использовать AI будет предоставлена возможность отключения AI-возможностей. В качестве примеров применения AI упоминается обработка голосовых команд, диагностика сетевых и системных проблем, настройка сервисов, анализ логов, выполнение рутинных задач и проведение аудита серверов.

Добавляемая в дистрибутив AI-функциональность разделена на неявное и явное использование AI. В первом случае AI-модели расширяют имеющиеся функции без изменения способа взаимодействия с пользователем, например, применяются для распознавания и синтеза речи. Во втором случае, AI-модели предлагаются как самостоятельные решения, например, как AI-агенты для автоматизации работы, AI-ассистенты для обучения, генерации и анализа контента.

Для обеспечения безопасности и упрощения установки AI-модели решено поставлять вместе с инструментарием для их выполнения в форме snap-пакетов, оптимизированных для различных аппаратных платформ. Модели будут выполняться в изолированном окружении, не имеющем прямого доступа к остальной системе, а AI-агенты будут функционировать в соответствии с существующими механизмами разграничения доступа и аудита.

Внутри компании Canonical решено не отталкиваться изначально от определённого AI-стека, а в течение следующих 6 месяцев предоставить командам возможность углубиться в тему, попробовать разные AI-стеки, выбрать оптимальные для их задач AI-решения, понять сильные стороны AI-инструментов и их ограничения. Сотрудники компании по-прежнему будут оцениваться по тому, как хорошо они выполняют свои задачи, а не по тому, используют ли они AI.

1. OpenNews: Релиз дистрибутива Ubuntu 26.04
2. OpenNews: Интервью с Грегом Кроа-Хартманом о созданных через AI отчётах об ошибках
3. OpenNews: Anthropic анонсировал AI-модель Claude Mythos, умеющую создавать рабочие эксплоиты
4. OpenNews: Платформа Cal.com прекратила публиковать код из-за опасения выявления уязвимостей через AI
5. OpenNews: SDL запретил приём кода от AI. Созданы форки Vim, избавленные от AI-изменений

Разработчик попытался запросить юридическое обоснование, список нарушаемых пунктов условий использования и информацию о том, какие именно файлы и коммиты в его репозитории содержат нарушения, но в ответ представители Bambu Lab не предоставили конкретных сведений, а лишь усилили давление и сослались на недопустимость обратного инжиниринга. Разработчик OrcaSlicer-bambulab решил не доводить дело до судебной тяжбы и добровольно удалил содержимое репозитория.

Проект OrcaSlicer-bambulab представлял собой ответвление от свободного пакета для подготовки моделей к 3D-печати OrcaSlicer, выполняющего преобразование 3D-модели в набор двумерных горизонтальных слоёв, последовательно выводимых на 3D-принтере. В свою очередь OrcaSlicer является форком пакета Bambu Studio, который когда-то ответвился от свободного проекта Prusa Slicer. Все упомянутые проекты распространяются под лицензией AGPLv3.

OrcaSlicer-bambulab был создан после блокирования возможности прямой печати из OrcaSlicer в выпущенном год назад обновлении прошивки к 3D-принтерам Bambu Lab. Для работы с устройствами после обновления прошивки требовалась установка дополнительного проприетарного приложения Bambu Connect, без которого послойный вывод на печать перестал работать. OrcaSlicer-bambulab возвращал в OrcaSlicer возможность напрямую отправлять команды 3D-принтерам Bambu Lab без необходимости установки Bambu Connect.

Bambu Lab считает, что при разработке OrcaSlicer-bambulab был проведён обратный инжиниринг проприетарного плагина, который в репозитории Bambu Studio описан как необязательный компонент, основанный на несвободных библиотеках. Автор OrcaSlicer-bambulab утверждает, что он не использовал данный плагин и не распространял его через свой репозиторий, а реализованный метод отправки команд на 3D-принтеры основан на общедоступном исходном коде Bambu Studio, поставляемом под лицензией AGPLv3, и собственном слое интеграции.

Среди претензий также упоминалось, что изменённая кодовая база OrcaSlicer-bambulab может использоваться для обхода реализованной в прошивке системы авторизации и защиты от отправки несанкционированных команд на 3D-принтер, способных повредить устройство. На данную претензии автор OrcaSlicer-bambulab ответил, что несмотря на попытку приписать проекту создание особой скрытой возможности, использованный метод отправки команд продолжает поддерживаться прошивкой и применяться в официальном Linux-стеке для принтеров Bambu Lab, т.е. возможность обхода авторизации предусмотрена в прошивке штатно.

Дополнительно автор OrcaSlicer-bambulab предположил, что проектом OrcaSlicer дело не ограничится и Bambu Lab может на уровне прошивки нарушить совместимость с открытым модулем подачи материала BMCU (Bambu Multi-Color Unit), который энтузиасты собирают своими руками из продаваемых AliExpress наборов деталей и используют для 4-цветной 3D-печати вместо продукта AMS Lite от Bambu Lab. В связи с этим началась работа над проектом по адаптации BMCU для 3D-принтеров, управляемых открытой прошивкой Klipper.

1. OpenNews: Компания Nintendo добилась прекращения разработки эмулятора Ryujinx
2. OpenNews: Разработчики Yuzu согласились закрыть проект и выплатить Nintendo компенсацию в 2.4 млн долларов
3. OpenNews: Дэниэл Бернштейн подал в суд из-за утаивания NIST информации о постквантовых криптоалгоритмах
4. OpenNews: Суд обязал компанию AVM выполнить условия лицензии LGPL
5. OpenNews: Sony намерена судиться с любым, кто причастен к публикации кода для взлома PlayStation 3

Из особенностей Trinity можно отметить собственные средства для управления параметрами экрана, основанная на udev прослойка для работы с оборудованием, новый интерфейс для настройки оборудования, переход на композитный менеджер Compton-TDE (форк Compton с расширениями TDE), улучшенный конфигуратор сети и механизмы аутентификации пользователей. Окружение Trinity может быть установлено и использовано одновременно с более актуальными выпусками KDE, в том числе предоставлена возможность использования в Trinity уже установленных в системе KDE-приложений. Также присутствуют средства для корректного отображения интерфейса GTK-программ без нарушения единого стиля оформления.

Основные изменения:

• В браузере konqueror актуализирован список поисковых систем, убраны устаревшие поисковые сервисы и добавлены новые, такие как DuckDuckGo, StartPage, Qwant и Brave Search. Также добавлен поиск по wiki-сайтам и репозиториям пакетов различных дистрибутивов. В раздел меню "Go" добавлена кнопка "Desktop" для открытия директории с содержимым рабочего стола.
• В программу для создания скриншотов ksnapshot добавлена поддержка перемещения изображений в другие приложения мышью в режиме drag&drop.
• В конфигуратор системы ввода kxkb добавлены дополнительные настройки, влияющие на совместимость, и опции включения клавиш быстрого ввода знаков валют.
• В оконном менеджере twin решены проблемы с прозрачностью и мозаичной компоновкой развёрнутых на весь экран окон.
• В панель kicker добавлена опция для показа объёмных рамок.
• В утилиту kdf (KDiskFree) добавлена возможность работы с накопителями, размером больше 2TB.
• В интерфейс просмотра таблицы символов kcharselect добавлена прокрутка для упрощения навигации и улучшено перемещение с использованием клавиш управления курсором и PgUp/PgDown.
• В утилите tdeio_iso реализована поддержка формата сжатия xz.
• На использование сборочной системы CMake переведены krusader и kvirc.
• В коде разрешено использование стандарта C++17.
• Добавлена поддержка FFmpeg 8.0 и binutils 2.46.
• Для Debian реализована возможность сборки для архитектуры loong64.
• Добавлена поддержка дистрибутивов Fedora 44 и Mageia 10.

1. OpenNews: Выпуск десктоп-окружения Trinity 14.1.5, продолжающего развитие KDE 3.5
2. OpenNews: Выпуск дистрибутива Q4OS 6.1, поставляемого с пользовательским окружением Trinity
3. OpenNews: Опубликована среда рабочего стола LXQt 2.4.0
4. OpenNews: Девятый экспериментальный выпуск среды рабочего стола Orbitiny
5. OpenNews: Проект LeanQt развивает урезанный форк Qt 5

В настоящее время пакеты в Fedora собираются для архитектуры x86_64-v1, но на стадии обсуждения находится план предоставления в Fedora Linux 45 сборок пакетов для архитектуры x86_64-v3 в дополнение к сборкам x86_64-v1. Одним из трёх авторов инициативы является Кайл Господнетич (Kyle Gospodnetich), инженер из Micrоsoft. Данный план ещё не утверждён комитетом FESCo (Fedora Engineering Steering Committee), отвечающим за техническую часть разработки Fedora Linux. Предполагается, что в случае одобрения плана можно будет совместить интересы обоих проектов, и организовать сотрудничество с Microsoft в области поддержки архитектуры x86_64-v3 в Fedora. В 2023 году на пакетную базу Fedora компания Amazon перевела дистрибутив Amazon Linux.

Версии x86-64-v* определяют неофициальный способ идентификации срезов состояния микроархитектуры, охватывающих определённые наборы расширений. Третья версия микроархитектуры x86-64 (x86-64-v3) применяется в процессорах Intel примерно с 2015 года (начиная с Intel Haswell) и отличается наличием расширений AVX, AVX2, BMI2, FMA, LZCNT, MOVBE и SXSAVE. Версия x86-64-v2 охватывает расширения SSE3, SSE4_2, SSSE3, POPCNT, LAHF-SAHF и CMPXCHG16B, а версия x86-64-v4 - AVX512F, AVX512BW, AVX512CD, AVX512DQ и AVX512VL. В большинстве случаев прирост производительности при сборке с оптимизациями для архитектуры x86-64-v3 составляет примерно 1%, но в отдельных ситуациях в приложениях, выполняющих ресурсоёмкие вычисления, может наблюдаться более заметное повышение производительности.

Дистрибутив Azure Linux предоставляет небольшой типовой набор основных пакетов, выступающих универсальной основой для создания начинки контейнеров, хост-окружений и сервисов, запускаемых в облачных инфраструктурах и на edge-устройствах. Azure Linux применяется в качестве основы мини-дистрибутива WSLg, в котором предоставляются компоненты графического стека для организации запуска GUI-приложений Linux в окружениях на базе подсистемы WSL2 (Windows Subsystem for Linux). Для управления сервисами и загрузкой применяется системный менеджер systemd, а для управления пакетами поставляются пакетные менеджеры RPM и DNF.

Система сборки Azure Linux позволяет генерировать как отдельные RPM-пакеты на основе SPEC-файлов и исходных текстов, так и монолитные системные образы, формируемые при помощи инструментария rpm-ostree и обновляемые атомарно без разбивки на отдельные пакеты. Соответственно, поддерживается две модели доставки обновлений: через обновление отдельных пакетов и через перестроение и обновление всего системного образа. Доступен репозиторий, включающий около 3000 уже собранных RPM-пакетов, который можно использовать для компоновки собственных образов на основе файла конфигурации. Базовая платформа включает только самые необходимые компоненты и оптимизирована для минимального потребления памяти и дискового пространства, а также для высокой скорости загрузки.

1. OpenNews: Планы по введению статуса проверенного участника Fedora
2. OpenNews: Бета-тестирование Fedora Linux 44. Инициатива по продвижению инноваций в Fedora
3. OpenNews: Microsoft опубликовал дистрибутив Azure Linux 3.0
4. OpenNews: Microsoft переименовал дистрибутив CBL-Mariner в Azure Linux и опубликовал Azure Sphere OS 24.03
5. OpenNews: Microsoft опубликовал дистрибутив Azure Linux 3.0.20241203