В качестве причин прекращения принятия публичных pull-запросов упоминается подготовка к первому альфа-выпуску, требующая более строгого распределения ответственности за вносимые изменения. По мнению создателей Ladybird код должен приниматься только от тех, кто заслуживает доверия и готов нести персональную ответственность за каждую строку кода, и то, соответствует ли код архитектуре проекта и сможет ли поддерживаться в будущем.

Из проблем возникающих при приёме изменений от всех желающих упоминается снижение уровня доверия к авторам патчей - из-за возможности формирования изменений через AI, размер патча теперь не корректирует с трудозатратами и потраченным на разработку временем. Принятие сторонних патчей также упрощает деятельность злоумышленников, первое время генерирующих рабочие изменения, чтобы заслужить доверие для последующего внедрения в код скрытой уязвимости.

Дополнительно можно отметить майский отчёт о развитии Ladybird. Из недавних достижений отмечается:

• Реализован JIT-компилятор для WebAssembly, основанного на Cranelift (переход от интерпретации к JIT-компиляции в 8 раз повысил производительность прохождения теста CoreMark и в 3-4 раза микротестов отдельных функций);
• Задействован новый блокировщик нежелательного контента, основанный на библиотеке adblock-rust от проекта Brave и поддерживающий фильтры в стиле Adblock Plus и EasyList;
• На языке Rust переписан парсер HTML;
• Код прокрутки содержимого вынесен из основного потока в отдельный процесс композитинга и переведён на асинхронную модель работы;
• Включён по умолчанию API Media Source Extensions и улучшена работа с потоковым видео;
• Добавлена система кэширования байткода JavaScript на диске;
• В сборщике мусора реализован инкрементальный режим очистки памяти, исключающий длительные приостановки вычислений и повышающий отзывчивость интерфейса;
• Расширена поддержка CSS, реализованы контейнерные запросы (@container), разграничение области видимости (@scope), "grid-template-columns: subgrid", "scroll-margin", "scroll-padding";
• Добавлен API Permissions;
• Реализован протокол HSTS (HTTP Strict Transport Security);
• Обеспечено автоматическое определения кодировки текста;
• В инструменты для web-разработчиков добавлена поддержка инспектирования flexbox- и grid-раскладок;
• Улучшена совместимость с Discord, Shopify, Reddit, а также с сайтами, использующими графики на базе библиотеки TradingView.
• Модернизирован интерфейс пользователя на базе библиотеки Qt. Реализован режим вертикального отображения вкладок. Добавлена поддержка перемещения вкладок мышью для их группировки, отсоединения или переноса в другое окно;
• Вместо типовых для Qt стилей панелей и кнопок, реализовано собственное оформление вкладок, панели инструментов и адресной строки. Добавлена возможность восстановления недавно закрытых вкладок и окон. Реализована функция вставки текста из буфера обмена средней кнопкой мыши.

Браузер Ladybird развивается Андреасом Клингом, который когда-то работал в компании Nokia и занимался разработкой KHTML, а затем в Apple был одним из разработчиков Safari. Изначально проект был создан как приложение для операционной системы SerenityOS, но летом 2024 года был выделен в отдельный проект и получил пожертвование в 1 млн. долларов. Браузер написан на языке С++ (стартовал проект переписывания компонентов на Rust) и распространяется под лицензией BSD. Проектом развиваются собственный движок LibWeb, JavaScript-интерпретатор LibJS и сопутствующие библиотеки.

1. OpenNews: Компоненты браузера Ladybird начали переписывать на Rust при помощи AI
2. OpenNews: Браузер Ladybird успешно прошёл 90% тестов на совместимость с Web-платформой
3. OpenNews: Уязвимость в LibJS, позволяющая выполнить код при открытии страницы в браузере Ladybird
4. OpenNews: Браузер Ladybird опередил Servo при тестировании поддержки web-технологий
5. OpenNews: Проект свободного браузера Ladybird получил пожертвование в 1 млн. долларов от сооснователя GitHub

Система поддерживает интеграцию с различными большими языковыми моделями, допускает привязку комментариев к конкретным строкам в коде и содержит встроенные наборы правил для выявление типовых проблем и уязвимостей, таких как ошибки при синхронизации потоков, межсайтовый скриптинг и подстановка SQL-кода. Проверка на основе правил предоставляется для языков Java, TypeScript, Go, Python, Kotlin, C++ и C.

Open Code Review предлагает инструментарий командной строки, читающий изменения из git, отправляющий их большой языковой модели через выбранного AI-агента и генерирующий структурированный отчёт с построчными комментариями. Помимо анализа переданных изменений AI-агент может выполнять поиск в кодовой базе, загружать файлы из репозитория и инспектировать другие изменённые файлы для более глубокого погружения к контекст и учёта связи с другими изменениями.

1. OpenNews: Компания Alibaba открыла наработки, связанные с RISC-V процессорами XuanTie
2. OpenNews: Компания Alibaba открыла код распределённой СУБД PolarDB, основанной на PostgreSQL
3. OpenNews: Rietveld - новый инструмент рецензирования кода
4. OpenNews: Введён в строй AI-сервис Sashiko для рецензирования изменений в ядре Linux

Для разработки решений на базе Roku LT OS поставляется SDK и примеры прошивок, а в качестве обучающего руководства предложен видеокурс. Roku использует Roku LT OS в пультах дистанционного управления телевизорами. Представленная ОС также задействована в университетском проекте LT Racing, развивающем гоночный электромобиль, в качестве операционной системы для блока управления (VCU, Vehicle Control Unit) на базе SoC STM32H755ZI. Данный чип включает два ядра ARM Cortex‑M4 и ARM Cortex‑M7, которые задействованы для раздельного изолированного выполнения независимых экземпляров Roku LT OS.

В качестве минимальных требований к оборудованию заявлены процессор 100Mhz и 64 Кб ОЗУ. Запускаемые в Roku LT OS приложения собираются в форме динамически загружаемых разделяемых библиотек. Имеется поддержка TCP/IP стека lwIP, кодеков MP4 и Opus, шифрования и TLS. Поставляются драйверы для различных датчиков, Bluetooth, USB, устройств ввода, Wi-Fi, SD-карт, NPU, SPI, I2C.

1. OpenNews: Выпуск MicroPythonOS 0.9, ОС с графическим интерфейсом для микроконтроллеров
2. OpenNews: В чипах ESP32 выявлены недокументированные команды для управления контроллером Bluetooth
3. OpenNews: Meshtastic - реализация самодостаточной mesh-сети на базе передатчиков LoRa
4. OpenNews: Компания LG опубликовала платформу webOS Open Source Edition 2.28
5. OpenNews: Samsung адаптирует мобильную платформу Tizen для архитектуры RISC-V

По сравнению с Azure Linux 3.0 новая ветка переведена с собственной пакетной базы на использование пакетов из дистрибутива Fedora 43. В качестве основы используются штатные SRPM-пакеты из репозиториев Fedora, для которых поставляется набор оверлеев - файлов конфигурации в формате TOML, дающих возможность пересобирать пакеты с дополнениями, оптимизациями и изменениями, необходимыми для Azure Linux. Для генерации результирующих RPM-пакетов на основе SRPM-пакетов Fedora и оверлеев применяется инструментарий azldev, написанный на языке Go и поставляемый под лицензией MIT. Система сборки Azure Linux даёт возможность генерировать как классические установочные окружения с RPM-пакетами, так и монолитные атомарно обновляемые системные образы.

В Azure Linux 4.0 поставляется ядро Linux 6.18 с дополнительными оптимизациями, добавлена защита от атак через зависимости (supply chain), обеспечен предсказуемый цикл поддержки и выпуска обновлений, реализованы инструменты для интеграции с облаком Azure и включены возможности для усиления безопасности, такие как фильтрация системных вызовов, шифрование дисковых разделов, верификация репоизиториев и пакетов по цифровой подписи, защита от атак, связанных с символическими ссылками и сборка с опциями для защиты от переполнений буфера.

В состав включены новые драйверы, оптимизированные для оборудования, применяемого в Azure, улучшена интеграция с гипервизором Hyper-V и добавлена поддержка GPU- и AI-ускорителей. Пакетный менеджер tdnf заменён на dnf5. Обеспечена поддержка SELinux. Среди задействованных версий системных компонентов: glibc 2.42, OpenSSL 3.5, systemd 258, Python 3.14, RPM 6.0.

1. OpenNews: Microsoft опубликовал дистрибутив Azure Linux 3.0.20260506
2. OpenNews: Microsoft развивает дистрибутив Azure Linux 4 на базе Fedora Linux
3. OpenNews: Microsoft рассматривает возможность перевода Azure Linux на пакетную базу Fedora
4. OpenNews: Microsoft открыл код Windows Subsystem for Linux и текстового редактора Edit
5. OpenNews: Компания Microsoft продемонстрировала собственный Linux-дистрибутив для коммутаторов

Основные изменения в Chrome 149 (1, 2, 3, 4):

• В конфигуратор в секцию "Система" ("System") добавлены настройки для управления загрузкой и использованием AI-моделей, выполняемых на устройстве пользователя. Например, можно полностью запретить использование подобных моделей и удалить ранее загруженные модели.
• В июне начнётся публикация официальных сборок Chrome 149 для Linux-систем на базе архитектуры ARM64, поставляемых в пакетах deb и rpm. Ранее официальные сборки Chrome для Linux публиковались только для архитектуры x86_64, а для архитектуры ARM64 были доступны только сторонние сборки Chromium, предлагаемые дистрибутивами.
• В Service Worker-ах ограничено использование API Background Fetch для фоновой загрузки данных.
• В CSS реализована поддержка настройки оформления разделителей между элементами в контейнерах grid и flexbox. Добавлены CSS-свойства column-rule-inset и row-rule-inset для укорачивания или удлинения разделителей, а также column-rule-visibility-items и row-rule-visibility-items для управления видимостью разделителей (только между заполненными элементами или во всех промежутках сетки). Ширину, цвет и отступы можно анимировать с помощью переходных эффектов (transition), активируемых, например, при наведении курсора.
• Убрано влияние активных WebSocket-соединений на сохранение страницы в кэше перехода (BFCache - Back-forward cache), обеспечивающем мгновенный переход при использовании кнопок "Назад" и "Вперёд" или при навигации по уже просмотренным страницам текущего сайта. Ранее наличие WebSocket-соединения не позволяло поместить страницу к кэш и приводило к необходимости её полной перезагрузки при нажатии кнопок "Назад" или "Вперёд".
• В CSS-свойстве shape-outside реализована возможность использования функций path(), shape(), rect() и xywh().
• В CSS-свойство "image-rendering" добавлено значение "crisp-edges", предписывающее масштабировать изображение без размытия с сохранением контраста и чётких границ.
• Добавлено CSS-свойство path-length, позволяющее изменять атрибут pathLength в SVG.
• В объект Intl.Locale добавлена возможность задавать и получить информацию об используемом варианте языка.
• Внесены улучшения в инструменты для web-разработчиков, в которых стабилизирована реализация MCP-сервера (Model Context Protocol) и интерфейса командной строки для AI-агентов. Добавлена возможность эмуляции собственных HTTP-заголовков. Значительное переработана панель AI-ассистента. Реализована экспериментальная возможность отладки страниц, использующих API WebMCP. В панель CSS добавлена поддержка автодополнения стилей, используя AI-модель Gemini.
  
  

1. OpenNews: Google случайно раскрыл детали неисправленной уязвимости в Chromium
2. OpenNews: В библиотеку ANGLE, используемую в Chrome и Android, добавлена поддержка Wayland
3. OpenNews: Релиз Chrome 148
4. OpenNews: Google увеличил вознаграждение за выявление уязвимостей в Android до $1.5 млн, а в Chrome - до $500 тысяч
5. OpenNews: Chrome переходит на двухнедельный цикл подготовки релизов

Уязвимость использует метод, напоминающий zip-бомбу, применяемую к функциональности сжатия заголовков в HTTP/2. Идея в том, что запрос может содержать тысячи сжатых заголовков, таких как "Cookie", без прикреплённых данных, каждый из которых в запросе представлен однобайтовой ссылкой в индексе HPACK, но на сервере требует полноценного выделения памяти под весь заголовок. Уровень расходования памяти в различных HTTP-серверах варьируется от примерно 70 байт на каждый байт в индексе для nginx, IIS и Pingora, до 4000 байт в Apache httpd и 5700 в Envoy. При атаке с потребительского компьютера, имеющего канал связи 100Mbps, для исчерпания 32 ГБ памяти требуется примерно 10 секунд при атаке на сервер с Envoy 1.37.2, 18 секунд - Apache httpd 2.4.67 и 45 секунд - nginx 1.29.7.

Для блокирования уязвимости в выпуске nginx 1.29.8 из проекта freenginx была перенесена директива max_headers, по умолчанию допускающая обработку не более 1000 заголовков. В Envoy исправление включено в состав выпусков 1.35.11 и 1.36.7, в которых реализованы лимиты mutable_max_request_headers_kb и max_headers_count. В Apache httpd исправление предложено в выпуске модуля mod_http2 2.0.41, который ещё не вошёл в релизы Apache httpd. Для Microsoft IIS и Cloudflare Pingora исправления пока отсутствуют. В качестве обходного пути защиты можно отключить использование протокола HTTP/2 и выставить ограничение на размер памяти, доступный для рабочих процессов.

Дополнение 1: HTTP-сервер Angie не подвержен уязвимости, поскольку перенес защиту от этой атаки из freenginx ещё в версии 1.8.0, вышедшей в 2024 году.

Дополнение 2: Сформировано обновление pingora 0.8.1 с добавлением ограничений, блокирующих атаку.

Дополнение 3: Наличие проблемы подтверждено в HTTP-сервере h2o. Исправление доступно в форме патча.

1. OpenNews: Использование zip-бомбы для борьбы с вредоносными web-ботами
2. OpenNews: Представлена техника совершения DoS-атаки через отправку PNG-бомбы
3. OpenNews: Уязвимость в протоколе HTTP/2, задействованная в крупнейшей DDoS-атаке
4. OpenNews: Атака Continuation flood, приводящая к проблемам на серверах, использующих HTTP/2.0
5. OpenNews: Уязвимость в реализациях протокола HTTP/2, упрощающая проведение DoS-атак

Уязвимость присутствует в udev-обработчике libinput-device-group и вызвана отсутствием должного экранирования спецсимволов в атрибутах, получаемых от устройств и передаваемых в подсистему udev в форме "ключ=значение". Через подстановку символа перевода строки ("\n") в атрибут, можно добиться добавления своего правила udev, например, через выполнение uinput-команды UI_SET_PHYS("poc\n<SECOND_KEY>=<value>"). Для выполнения произвольных команд с правами root достаточно подобным способом подставить udev-правило со свойством "REMOVE_CMD", запускающем указанную команду после отключения устройства.

Для эксплуатации уязвимости атакующий должен иметь доступ к устройству /dev/uinput или /dev/uhid. Обычно доступ к uinput и uhid имеет только пользователь root, но в некоторых дистрибутивах поставляются udev-правила, позволяющие непривилегированным пользователям использовать uinput. Например, в Fedora подобные правила выставляются при установке пакетов steam-devices, antimicrox и kdeconnectd. Доступен прототип эксплоита.

1. OpenNews: Уязвимость в libinput, приводящая к выполнению кода при подключении вредоносного устройства
2. OpenNews: Релиз Libinput 1.4 с реализацией всех запланированных функций

Некоторые из регрессий в rsync 3.4.3:

• Начали завершаться с ошибкой команды для инкрементального создания резервных копий, в которых было указано несколько опций "--compare-dest";
• Стало невозможно собрать rsync на системах с ядрами Linux до версии 5.6 из-за задействования системного вызова openat2 (коммит 1, коммит 2);
• Перестал работать формат "хост::модуль/путь" (коммит).
• Перестали восприниматься команды, использующие опцию "--delete-missing-args" вместе с "--files-from" (коммит).
• При синхронизации стали выдаваться ошибки о нахождении значения modtime_nsec вне допустимого диапазона.
• Нарушилась сборка на старых версиях macOS.
• Изменилось поведение опции "--link-dest" (коммит).
• Возникли сбои при запуске в мультиплексоре терминалов tmux.

Эндрю Триджелл (Andrew Tridgell), основатель проектов samba и rsync, два года назад вернувшийся к сопровождению rsync и добавивший проблемные коммиты, опубликовал заметку с пояснением сложившейся ситуации. По словам Эндрю, проект rsync столкнулся с лавиной отчётов об уязвимостях, многие из которых были сгенерированы через AI. В релизе rsync 3.4.3 появление регрессий стало ценой устранения уязвимостей. Эндрю сознательно предпочёл исправить уязвимости, несмотря на то, что исправления могли нарушить работу некоторых редких, но корректных сценариев использования rsync. Подобные сценарии не покрывались старым тестовым набором и ручными проверками, поэтому регрессии остались не замеченными и будут устранены в следующим выпуске 3.4.4.

Возникшая ситуация побудила Эндрю модернизировать тестовый набор, ввести проверку покрытия кода и реализовать тестирование в системе непрерывной интеграции на разных платформах, а также выполнить анализ потенциальных уязвимостей. Так как Эндрю уже почти 60 лет и он предпочёл бы путешествовать на яхте, а не тратить своё время на устранение уязвимостей в rsync, он решил привлечь AI-ассистенты для выполнения рутинных задач в условиях свалившейся лавины сообщений об уязвимостях. Эндрю разработал архитектуру, план проверки и структуру нового тестового набора, после чего при помощи AI сгенерировал его на Python и заменил им ранее применявшийся тестовый shell-скрипт. При разработке использовалась модель Claude с ручной проверкой результата и перекрёстной проверкой в Codex и Gemini.

1. OpenNews: Выпуск утилиты для синхронизации файлов Rsync 3.3.0. Эндрю Триджелл возвращается в проект
2. OpenNews: В состав OpenBSD добавлена собственная реализация rsync - openrsync
3. OpenNews: В Rsync 3.4.0 устранены уязвимости, позволявшие выполнить код на сервере и клиенте
4. OpenNews: В состав macOS включён openrsync от проекта OpenBSD
5. OpenNews: Уязвимость в rsync, позволяющая повысить свои привилегии в системе

Реализация основана на коде проекта uutils (Rust Coreutils), развивающего вариант GNU Coreutils на языке Rust, а также реализациях утилит find и grep на Rust. Утилиты собраны в виде одного универсального исполняемого файла "C:\Program Files\coreutils\coreutils.exe", отдельные команды к которому привязаны при помощи жёстких ссылок в NTFS.

Из-за конфликта с имеющимися штатными утилитами Windows или привязки к специфичным возможностям из поставки исключены утилиты dd, dir, dircolors, shred, sync, uname, expand, kill, more, paste, timeout и whoami. Из состава также исключены утилиты, завязанные на не поддерживаемые в Windows концепции POSIX: chcon, chgrp, chmod, chown, chroot, groups, hostid, id, install, logname, mkfifo, mknod, nice, nohup, pathchk, pinky, runcon, stdbuf, stty, tty, users, who.

Из ограничений и особенностей отмечается необходимость использовать NUL вместо /dev/null, отсутствие поддержки сигналов (SIGHUP, SIGPIPE, SIGUSR), возможность создания символических ссылок только после включения режима для разработчика, недоступность некоторых операций с правами доступа. При работе с каталогами принимаются как пути с символом "/", так и c "\".

Одновременно представлен первый выпуск эмулятора терминала Intelligent Terminal, представляющего собой форк Windows Terminal с интегрированным AI-агентом. Поддерживается подключение AI-агентов, поддерживающих протокол ACP (Agent Client Protocol), таких как gitHub Copilot, Claude, Codex и Gemini. Код терминала написан на языках C++ и Rust, и открыт под лицензией MIT.

По функциональности терминал близок к Windows Terminal и также поддерживает вкладки, темы оформления, профили, комбинации клавиши разделение экрана на отдельные области. Из отличий выделяется отдельная статусная строка с состоянием AI-агента и возможностью быстрого обращения к нему, а также привязанная к контексту закрепляемая панель для взаимодействия с AI-агентом. Имеется возможность просмотра истории действий AI-агентов и переключения между разными AI-агентами. Упоминается возможность отправки в Microsoft телеметрии с информацией об использовании программы.

Дополнительно анонсирован проект по созданию системы для запуска Linux-контейнеров в Windows, реализованной на базе прослойки WSL (Windows Subsystem for Linux). Инструментарий предоставляет типовой интерфейс командной строки wslc и API для создания, развёртывания и запуска контейнеров на базе Linux из окружения Windows, а также для обращения к запущенным контейнерам из Windows. Первую ознакомительную версию WSL-контейнеров намерены опубликовать в ближайшие месяцы в составе одного из обновлений WSL. Так как WSL является открытым проектом, отслеживать разработку можно уже сейчас на GitHub.

1. OpenNews: Выпуск GNU Coreutils 9.11
2. OpenNews: Microsoft развивает дистрибутив общего назначения Azure Linux 4 на базе Fedora Linux
3. OpenNews: Выпуск Cygwin 3.6.0, GNU-окружения для Windows
4. OpenNews: Microsoft открыл код Windows Subsystem for Linux и текстового редактора Edit
5. OpenNews: Microsoft открыл исходные тексты PowerShell и портировал для Linux

Например, на ноутбуке с 16 ГБ ОЗУ и видеокартой NVIDIA GeForce RTX 3070 с 8 ГБ VRAM через раздел подкачки можно задействовать дополнительные 7 ГБ памяти. В сочетании с применением модуля ядра zram для сжатого хранения раздела подкачки и подключением дополнительного раздела подкачки на SSD-накопителе общий размер адресуемой памяти в тестовой конфигурации доведён до 46 ГБ (при нехватке ОЗУ начинает использоваться видеопамять, затем привлекается сжатие при помощи zram и на последнем этапе задействуется подкачка на SSD). Производительность работы с видеопамятью при последовательном чтении оценивается примерно в 1.3 GB/s и задержками ниже NVMe из-за обращения к GPU по шине PCIe.

Реализация основана на применении фонового процесса nbd-vram, который выделяет VRAM через API драйвера CUDA и предоставляет системе доступ к полученной видеопамяти в форме блочного устройства на базе протокола NBD (Network Block Device). В ядре Linux используется встроенный драйвер nbd без загрузки собственных специализированных модулей. После создания блочного устройства /dev/nbdX, связанного с выделенной видеопамятью, на нём штатными утилитами создаётся раздел подкачки.

Для автоматизации запуска конфигурации с nbd-vram подготовлен инсталлятор и сервис systemd "vram-swap-nbd.service". Настройка сводится к заданию размера выделяемой видеопамяти и приоритета подкачки через переменные VRAM_SETUP_SIZE_MB и VRAM_SWAP_PRIORITY. Имеется опция для активации подкачки в видеопамяти только при подключении ноутбука к стационарному источнику питания, позволяющая экономить энергию в автономном режиме. Для работы nbd-vram требуется NVIDIA GPU c поддержкой CUDA (например, серии GeForce RTX и GTX), драйвер NVIDIA с библиотекой libcuda.so.1 (установка CUDA Toolkit не требуется), ядро Linux новее 3.0 и пакет nbd-client.

1. OpenNews: Изменение настроек ядра Linux 6.12 привело к проблемам c zRAM в некоторых дистрибутивах
2. OpenNews: Атаки GDDRHammer и GeForge, искажающие память GPU для доступа ко всей памяти CPU
3. OpenNews: Доступна библиотека управления памятью jemalloc 5.3.1
4. OpenNews: Для Linux представлена технология Zswap для сжатого кеширования в системе подкачки
5. OpenNews: Ubuntu переходит на использование файла подкачки вместо раздела подкачки

По мнению сопровождающего ScanCode успешному созданию клона способствовало наличие у проекта исчерпывающего автоматизированного тестового набора, включающего более 90 тысяч тестов, из которых 40 тысяч посвящены обнаружению использования тех или иных лицензий в коде. Авторы переписанной версии заявили о существенном повышении производительности (в 10-100 раз), но, по словам сопровождающего ScanCode, ценой ускорения стало неполное прохождение тестового набора, а также снижение корректности работы и полноты предоставляемой информации (клон выдавал некорректные результаты и находил не всю информацию при анализе).

Если в специальных тестах производительности Rust-порт существенно опережал ScanCode, то при прохождении стандартного тестового набора клон оказался медленнее, несмотря на то, что в нём пропускались некоторые проверки. После внесения в ScanCode оптимизаций, таких как кэширование, производительность ScanCode при сканировании кода стала не хуже, чем в клоне на Rust, при полном сохранении корректности работы.

Авторам клона также вменяется нарушение авторских прав и лицензии Apache 2.0, под которой распространяется код ScanCode. Отмечается, что в процессе переписывания были нарушены 4 основных требования лицензии: оставление оригинального файла с примечанием (NOTICE), сохранение упоминаний об авторских правах, выделение совершённых изменений и смена имени в производной работе. После замечания авторы клона разместили файл NOTICE и переименовали свой проект, но два нарушения пока остаются неустранёнными.

Сопровождающий ScanCode считает, что сообщество должно выработать критерии для разделения того, что при использовании AI считать производной работой, а что независимой реализацией. По его мнению, после переписывания кода на другом языке с сохранением алгоритмов и структуры результат продолжает оставаться производной работой, даже если в процессе были переименованы переменные и переделаны или удалены комментарии. Заявления авторов Rust-порта о независимой переработке, лишь вдохновлённой проектом ScanCode, в этом случае некорректно, так как работа нацелена на создание видимости оригинальной разработки, что даже хуже чем прямое копирование, так как подобные манипуляции сложнее обнаружить.

Значительной проблемой при генерации кода через AI называется отсутствие отслеживания происхождения кода, который был использован для получения результата. По умолчанию AI-агенты, использующие код из открытых проектов, игнорируют информацию об авторах, если специально не реализованы средства выявления и сохранения метаданных о лицензиях и авторстве. Проблема атрибуции затрагивает не только работу по переписыванию кода с одного языка на другой, но и генерацию кода в общем виде - результат в этом случае может достаточно точно повторять шаблоны из существующего открытого кода, используемого в процессе обучения модели.

1. OpenNews: Переписывание кода при помощи AI для перелицензирования открытых проектов
2. OpenNews: Компоненты браузера Ladybird начали переписывать на Rust при помощи AI
3. OpenNews: Платформа Cal.com прекратила публиковать код из-за опасения выявления уязвимостей через AI
4. OpenNews: Служба здравоохранения Великобритании намерена закрыть свои репозитории с открытым кодом из-за AI
5. OpenNews: Компания Cloudflare представила EmDash, альтернативу WordPress с изоляцией плагинов

Червь размещался в файле index.js и активировался через preinstall-обработчик, вызываемый при установке поражённого пакета. После активации червь выполнял поиск в системе токенов к NPM (~/.npmrc), PyPI, CircleCI, AWS, GCP, Docker, Azure, HashiCorp и KubernetesK8s, а также закрытых ключей SSH. Найденные данные отправлялись злоумышленникам. В случае обнаружения токена для подключения к каталогу NPM червь автоматически публиковал новые вредоносные релизы для разрабатываемых в текущем окружении пакетов, поражая дерево зависимостей.

Доступ к GitHub Actions был получен в результате компрометации учётной записи одного из сотрудников Red Hat, что позволило атакующим напрямую отправить коммиты в репозитории javascript-clients, frontend-components и platform-frontend-ai-toolkit, без прохождения стадии рецензирования. Через коммиты в систему непрерывной интеграции подставлялся файл ci.yaml, который при запуске сборочной работы запускал при помощи платформы bun скрипт _index.js. Скрипт использовал полномочие "id-token: write" для запроса у GitHub токена OIDC (OpenID Connect), который затем применялся для аутентификации в NPM при помощи механизма "trusted publishing".

NPM-пакеты, содержащие вредоносный код:

• @redhat-cloud-services/chrome (2.3.1, 2.3.2)
• @redhat-cloud-services/compliance-client (4.0.3, 4.0.4)
• @redhat-cloud-services/config-manager-client (5.0.4, 5.0.5)
• @redhat-cloud-services/entitlements-client (4.0.11, 4.0.12)
• @redhat-cloud-services/eslint-config-redhat-cloud-services (3.2.1, 3.2.2)
• @redhat-cloud-services/frontend-components (7.7.2, 7.7.3)
• @redhat-cloud-services/frontend-components-advisor-components (3.8.2)
• @redhat-cloud-services/frontend-components-config (6.11.3, 6.11.4)
• @redhat-cloud-services/frontend-components-config-utilities (4.11.2, 4.11.3)
• @redhat-cloud-services/frontend-components-notifications (6.9.2, 6.9.3)
• @redhat-cloud-services/frontend-components-remediations (4.9.2, 4.9.3)
• @redhat-cloud-services/frontend-components-testing (1.2.1, 1.2.2)
• @redhat-cloud-services/frontend-components-translations (4.4.1, 4.4.2)
• @redhat-cloud-services/frontend-components-utilities (7.4.1, 7.4.2)
• @redhat-cloud-services/hcc-feo-mcp (0.3.1, 0.3.2)
• @redhat-cloud-services/hcc-kessel-mcp (0.3.1, 0.3.2)
• @redhat-cloud-services/hcc-pf-mcp (0.6.1, 0.6.2)
• @redhat-cloud-services/host-inventory-client (5.0.3, 5.0.4)
• @redhat-cloud-services/insights-client (4.0.4, 4.0.5)
• @redhat-cloud-services/integrations-client (6.0.4, 6.0.5)
• @redhat-cloud-services/javascript-clients-shared (2.0.8, 2.0.9)
• @redhat-cloud-services/notifications-client (6.1.4, 6.1.5)
• @redhat-cloud-services/patch-client (4.0.4, 4.0.5)
• @redhat-cloud-services/quickstarts-client (4.0.11, 4.0.12)
• @redhat-cloud-services/rbac-client (9.0.3, 9.0.4)
• @redhat-cloud-services/remediations-client (4.0.4, 4.0.5)
• @redhat-cloud-services/rule-components (4.7.2, 4.7.3)
• @redhat-cloud-services/sources-client (3.0.10, 3.0.11)
• @redhat-cloud-services/topological-inventory-client (3.0.10, 3.0.11)
• @redhat-cloud-services/tsc-transform-imports (1.2.2)
• @redhat-cloud-services/types (3.6.1, 3.6.2, 3.6.4)
• @redhat-cloud-services/vulnerabilities-client (2.1.8, 2.1.9)

1. OpenNews: В 42 NPM-пакета TanStack интегрирован самораспространяющийся червь
2. OpenNews: Серверы инфраструктуры Fedora и Red Hat были взломаны
3. OpenNews: Анализ конфиденциальных данных, захваченных червём Shai-Hulud 2
4. OpenNews: При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакетов
5. OpenNews: Взлом внутреннего GitLab-сервера Red Hat

Применение AI допускается в случаях, когда полученная через AI информация в частном порядке используется только одним разработчиком и не распространяется публично. Например, когда разработчик задаёт AI вопросы по коду, формирует для себя сводку по комментариям к PR или issue, привлекает AI для рецензирования изменений, создаёт через AI инструменты для личного использования, консультируется через AI о возможных вариантах выбора решения. Также допускается создание через AI экспериментальных изменений, не подлежащих рецензированию другими участниками.

Запрещено применение AI для формирования комментариев, отчётов о проблемах и описаний изменений, публикуемых от имени участника. При этом разрешено цитирование выдачи от AI с явной пометкой, что контент сформирован через AI (например, прикрепление результатов диагностики через AI). Запрещено создание документации через AI. При рецензировании запрещено рассмотрение выводов AI как достаточных для приёма или отклонения изменений - результаты проверки через AI могут носить только рекомендательный характер.

С оговорками и явным упоминанием, что результат получен через AI, разрешено применение AI для машинного перевода на другие языки, поиска и верификации ошибок, а также внесения незначительных изменений в код и тексты (например, правка опечаток и подбор синонимов).

В рамках эксперимента допускается передача заранее согласованных, некритичных, досконально проверенных и хорошо протестированных изменений, изначально сгенерированных через AI. Перед отправкой pull-запроса c подобным изменением, разработчик должен заранее договориться с рецензирующими. Предлагаемые изменения должны помечаться меткой "ai-assisted" и могут затрагивать вторичные инструменты, такие как tidy и linkchecker, но не должны касаться ключевых возможностей и элементов языка. Для отслеживания результатов эксперимента изменения предписано отправлять в отдельный приватный Zulip-канал, доступ к которому предоставлен только участникам проекта.

1. OpenNews: Во Flathub запрещено размещение приложений, сгенерированных при помощи AI
2. OpenNews: Каталог GNOME Circle не будет принимать приложения, созданные с использованием AI
3. OpenNews: Благодаря AI для включения в ядро Linux стали присылать на 20% больше изменений
4. OpenNews: При помощи AI-модели Mythos выявлены 23 тысячи уязвимостей в открытом ПО

Для управления работой предоставляется графический интерфейс c возможностями для настройки виртуальных машин. Доступна эмуляция различных периферийных устройств, таких как видеоадаптеры, звуковые карты, сетевые карты и контроллеры жёстких дисков. Среди поддерживаемых операционных систем: MS-DOS, Windows 3.11/95, OS/2, различные дистрибутивы Linux, BeOS, NEXTSTEP и другие старые ОС.

В новом выпуске:

• В эмуляторе устройств хранения реализована симуляция звуков, издаваемых жёсткими дисками во время работы, таких как писк от вращение шпинделя и щёлканье при перемещении головок.
• Реализован виртуальный сетевой коммутатор для сетевого соединения нескольких эмулируемых систем, запущенных в разных экземплярах 86Box.
• Добавлен турбо-режим, отключающий принудительное ограничение производительности эмуляции.
• В панель инструментов добавлена отдельная кнопка для создания скриншотов. Помимо сохранения изображения в файл, реализованы команды для сохранения скриншота в буфер обмена и создания скриншота без постобработки и масштабирования.
• Добавлена кнопка для сброса системного каталога в исходное состояние.
• В пользовательском интерфейсе с использованием вкладок переработаны окна с настройками. В общие системные настройки перенесена секция для конфигурирования комбинаций клавиш. на отдельную страницу перенесены настройки монитора. В окна со списками устройств добавлена функция текстового поиска.
• В строку состояния добавлены индикаторы DVD, звуковых CD, ленточных накопителей и защиты накопителя от записи.
• Добавлен драйвер для проброса доступа к реальным устройствам с последовательным портом и к CD-ROM.
• Повышена производительность на хостах с процессорами ARM.
• Улучшена эмуляция CPU NEC V20/V30 и видеокарт S3 ViRGE и Trio3D/2X
• Реализована эмуляция звуковых карт Analog Devices AD1816, Aztech Sound Galaxy Pro 16 AZTPR16, Covox Sound Master, HP Multimedia Pro 16V-A, IBM Music Feature Card, MediaVision ThunderBoard, Pro Audio Spectrum и TexElec SAAYM (CMS/Game Blaster + Yamaha OPM) с шиной ISA, а также внешних звуковых карт FTL Sound Adapter, SiliconSoft SoundJr, OPL2LPT, OPL3LPT, CMSLPT и TNDLPT, подключаемых через параллельный порт.
• Добавлена эмуляция сетевой карты SMC 83C170 PCI.
• Реализована эмуляция ленточных накопителей с интерфейсом SCSI, а также жёстких дисков MFM/RLL, SCSI-контроллера QLogic ISP1xxx PCI и IDE-контроллера jr-IDE PCjr.
• Добавлена поддержка подключения реальных (не эмулируемых) жёстких дисков и дисководов.
• Добавлена эмуляция жёстких дисков Quantum Fireball EL2.5AT, EL5.1AT, EL7.6AT, EL10.2AT, Western Digital Expert 200BA.
• Добавлена поддержка запуска 86Box в ARM64-версиях Windows.
• Добавлена эмуляция компьютеров:
  • 808x: IBM Multistation 5550
  • 286: Nixdorf 8810 M30
  • 386: Philips P3345, Tandy 1000 RSX, ICOP-6021 (Hand386 или Pocket 386), JUMPtec MOPS/386A
  • 486 Socket 1: Pioneer Vantage 4865C-25/33, Tandy Sensation
  • 486 Socket 2: Intel Classic R/R Plus, Samsung SPC-7500P, Tandy Sensation II
  • 486 Socket 3: ADD-X Normerel Xenon
  • 586 Socket 5: Compaq Presario 7100 Series 586
  • 586 Socket 7: ASUS TXP4-X, Lucky Star 5AVP3, MSI MS-5156, Siemens Simatic OP47
  • 686 Slot 1: AIR P6KDI, FIC KN-6000, HP Brio 83xx, MSI MS-6117, TriGem Como

1. OpenNews: Выпуск эмулятора 86Box 5.3
2. OpenNews: Выпуск эмулятора FEX 2508, позволяющего запускать x86-программы на системах ARM64
3. OpenNews: Выпуск Box64 0.4.0, эмулятора для запуска x86-игр на системах ARM64, RISC-V и Loongarch64
4. OpenNews: Выпуск эмулятора QEMU 11.0.0

При использовании Nix результат сборки пакетов хранится в отдельном подкаталоге в /nix/store. Например, после сборки пакет firefox может записываться в /nix/store/8onlv1pc3ed6n5nskg6ad4twcfd0d5ae4ed5c4-firefox-151.0.2/, где "8onlv1pc3ed6n5nskg6ad4twcfd0d5ae4ed5c4" является хешем всех его зависимостей и инструкций сборки. Под установкой пакета подразумевается его сборка или скачивание уже собранного (при условии, что он был уже собран на Hydra - сервисе сборки проекта NixOS), а также формирование директории с символическими ссылками на все пакеты в профиле системы или пользователя, с последующим добавлении этой директории в список PATH. Аналогичный подход применяется в пакетном менеджере GNU Guix, который основан на наработках Nix. Коллекция пакетов представлена в специальном репозитории Nixpkgs.

Основные новшества:

• Добавлено 20442 пакета, удалено 17532 пакета, обновлено 20641 пакетов. Добавлено 85 новых модулей и 1547 опций конфигурации, удалено 355 опций и 25 модулей. В разработке и сопровождении пакетов приняли участие 2842 разработчика, подготовивших 59703 изменения.
• Среди новых модулей: OpenThread Border Router, knot-resolver, LibreChat, DankMaterialShell, mangowc, Tailscale, udp-over-tcp, turborepo-remote-cache, ReFrame, LogiOps.
• Содержимое начального RAM-диска (initrd) переведно по умолчанию на использование системного менеджера systemd. Поддержка старой реализации на базе shell-скриптов объявлена устаревшей и будет удалена в выпуске NixOS 26.11.
• Платформа x86_64-darwin, которая перестала использоваться компанией Apple, объявлена устаревшей. Сопровождение и сборка бинарных пакетов для данной платформы будет осуществляться до конца года.
• Набор компиляторов GCC обновлён до ветки 15. Инструментарий LLVM остаётся на версии 21. Стандартная библиотека glibc обновлена до версии 2.42.
• Среда рабочего стола GNOME обновлена до ветки 50, в которой удалён код для поддержки X11, переработан интерфейс родительского контроля, улучшена поддержка нецелых уровней масштабирования и механизма VRR (Variable Refresh Rate), реализована поддержка Wayland-протокола color-management-v2 для управления цветом.
• Среда рабочего стола Budgie обновлена до версии 10.10, переведённой на Wayland.
• По умолчанию предложено ядро Linux 6.18 (было 6.12). Из-за отсутствия сопровождающих прекращена поставка варианта ядра linux-rt.
• Добавлен файл system.nix, позволяющий сконфигурировать NixOS без использования nix-channel.
• Реализация D-Bus переведена с dbus на более высокопроизводительный и стабильный пакет dbus-broker.
• В Nixpkgs прекращена поддержка ФС Reiserfs и ecryptfs.

1. OpenNews: Уязвимости в Nix и Lix, позволяющие поднять привилегии в системе
2. OpenNews: Доступен пакетный менеджер GNU Guix 1.5 и дистрибутив на его основе
3. OpenNews: Доступен дистрибутив NixOS 25.11, использующий пакетный менеджер Nix
4. OpenNews: Отставка команды модераторов NixOS из-за разногласий с управляющим комитетом
5. OpenNews: Мейнтейнеры NixOS отказались поддерживать XLibre