/ Для пользователя / Установка и управление пакетами
·	24.01.2023	Microsoft выпустил открытый пакетный менеджер WinGet 1.4 (131 +11)
	Компания Microsoft представила пакетный менеджер WinGet 1.4 (Windows Package Manager), предназначенный для установки приложений в Windows из репозитория, поддерживаемого при участии сообщества, и выступающего альтернативой каталога Microsoft Store, с которой можно работать из командной строки. Код написан на языке С++ и распространяется под лицензией MIT... (131 +11) обсуждение | весь текст
·	10.01.2023	Уязвимость в пакетном менеджере Cargo, применяемом в экосистеме Rust (115 +27)
	В пакетном менеджере Cargo, применяемом для управления пакетами и сборки проектов на языке Rust, выявлена уязвимость (CVE-2022-46176), допускающая проведение MITM-атаки, позволяющей вклиниться в канал связи с сервером. Уязвимость вызвана отсутствием проверки хостового открытого ключа во время клонирования индексов и зависимостей по SSH, что позволяет перенаправить обращение на подставной сервер при наличии у атакующего возможности перехвата трафика (например, при контроле над беспроводной точкой доступа или компрометации домашнего/офисного маршрутизатора)... (115 +27) обсуждение | весь текст
·	05.12.2022	Создатель brew развивает новый пакетный менеджер tea (156 +5)
	Макс Хауэлл (Max Howell), автор популярной на платформе macOS системы управления пакетами brew (Homebrew), развивает новый пакетный менеджер Tea, позиционируемый как продолжение развития brew, выходящее за рамки пакетного менеджера и предлагающее унифицированную инфраструктуру управления пакетами, работающую с децентрализованными репозиториями. Проект изначально развивается как многоплатформенный (в настоящее время поддерживаются macOS и Linux, в разработке поддержка Windows). Код проекта написан на языке TypeScript и распространяется под лицензией Apache 2.0 (brew был написан на Ruby и поставлялся под лицензией BSD)... (156 +5) обсуждение | весь текст
·	02.12.2022	Root-уязвимость в инструментарии управления пакетами Snap (74 +13)
	Компания Qualys выявила третью в этому году опасную уязвимость (CVE-2022-3328) в утилите snap-confine, поставляемой с флагом SUID root и вызываемой процессом snapd для формирования исполняемого окружения для приложений, распространяемых в самодостаточных пакетах в формате snap. Уязвимость позволяет локальному непривилегированному пользователю добиться выполнения кода с правами root в конфигурации Ubuntu по умолчанию. Проблема устранена в выпуске snapd 2.57.6. Обновления пакетов выпущены для всех поддерживаемых веток Ubuntu... (74 +13) обсуждение | весь текст
·	25.11.2022	Инструментарий SerpentOS доступен для тестирования (53 +10)
	После двух лет работы над проектом разработчики дистрибутива SerpentOS заявили о возможности тестирования основного инструментария, включающего в себя:... (53 +10) обсуждение | весь текст
·	03.11.2022	В NPM включена обязательная двухфакторная аутентификация для сопровождающих значимых пакетов (21 –7)
	GitHub расширил применение в репозитории NPM обязательной двухфакторной аутентификации, которая отныне станет применяться к учётным записям разработчиков, сопровождающих пакеты, насчитывающие более 1 млн загрузок в неделю или используемые в качестве зависимости у более 500 пакетов. Ранее двухфакторная аутентификация была обязательной только для сопровождающих 500 самых популярных NPM-пакетов (по числу зависимых пакетов)... (21 –7) обсуждение | весь текст
·	27.10.2022	Эксперимент по получению контроля над пакетами в репозитории AUR (115 +14)
	Опубликованы результаты эксперимента по захвату контроля над пакетами в репозитории AUR (Arch User Repository), применяемом для распространения сторонними разработчиками своих пакетов без включения в основные репозитории дистрибутива Arch Linux. Исследователи подготовили скрипт, проверяющий истечение регистрации доменов, фигурирующих в файлах PKGBUILD и SRCINFO. В ходе запуска данного скрипта было выявлено 14 просроченных домена, используемых в 20 пакетах для загрузки файлов... (115 +14) обсуждение | весь текст
·	24.10.2022	Релиз CQtDeployer 1.6, утилиты для развертывания приложений (15 +10)
	Группа разработчиков QuasarApp опубликовала релиз CQtDeployer v1.6, утилиты для быстрого развёртывания C, C++, Qt и QML приложений. CQtDeployer поддерживает создание deb-пакетов, zip-архивов и qifw-пакетов. Утилита является кросс-платформенной и кросс-архитектурной, что позволяет развертывать arm- и x86-сборки приложений под Linux или Windows. Сборки CQtDeployer распространяются в пакетах deb, zip, qifw и snap. Код написан на С++ и распространяется под лицензией LGPL 3.0... (15 +10) обсуждение | весь текст
·	14.10.2022	Атака на NPM, позволяющая определить наличие пакетов в приватных репозиториях (30 +7)
	В NPM выявлена недоработка, позволяющая определить существование пакетов в закрытых репозиториях. Проблема вызвана разным временем реакции при запросе существующего и несуществующего пакета сторонним пользователем, не имеющего доступа к репозиторию. При отсутствии доступа для любых пакетов в приватных репозиториях сервер registry.npmjs.org возвращает ошибку с кодом "404", но в случае существования пакета с запрошенным именем ошибка выдаётся с ощутимой задержкой. Атакующий может использовать данную особенность для определения наличия пакета при подборе имён пакетов по словарям... (30 +7) обсуждение | весь текст
·	21.09.2022	Выпуск пакетного менеджера RPM 4.18 (43 +10)
	После года разработки состоялся релиз пакетного менеджера RPM 4.18.0. Проект RPM4 развивается компанией Red Hat и используется в таких дистрибутивах, как RHEL (включая производные проекты CentOS, Scientific Linux, AsiaLinux, Red Flag Linux, Oracle Linux), Fedora, SUSE, openSUSE, ALT Linux, OpenMandriva, Mageia, PCLinuxOS, Tizen и многих других. Ранее независимой командой разработчиков развивался проект RPM5, который непосредственно не связан с RPM4 и в настоящее время заброшен (не обновлялся с 2010 года). Код проекта распространяется под лицензиями GPLv2 и LGPLv2... (43 +10) обсуждение | весь текст
·	09.09.2022	В Fedora 39 намечен переход на DNF5, избавленный от компонентов на языке Python (235 +37)
	Бен Коттон (Ben Cotton), занимающий в компании Red Hat должность Fedora Program Manager, объявил о намерении перевести Fedora Linux по умолчанию на пакетный менеджер DNF5. В Fedora Linux 39 планируется заменить пакеты dnf, libdnf и dnf-cutomatic на инструментарий DNF5 и новую библиотеку libdnf5. Предложение пока не рассмотрено комитетом FESCo (Fedora Engineering Steering Committee), отвечающим за техническую часть разработки дистрибутива Fedora... (235 +37) обсуждение | весь текст
·	24.08.2022	Релиз системы самодостаточных пакетов Flatpak 1.14.0 (178 +2)
	Опубликована новая стабильная ветка инструментария Flatpak 1.14, который предоставляет систему для сборки самодостаточных пакетов, не привязанных к конкретным дистрибутивам Linux и выполняемых в специальном контейнере, изолирующем приложение от остальной системы. Поддержка выполнения Flatpak-пакетов обеспечена для Arch Linux, CentOS, Debian, Fedora, Gentoo, Mageia, Linux Mint, Alt Linux и Ubuntu. Пакеты с Flatpak включены в репозиторий Fedora и поддерживаются в штатной программе управления приложениями GNOME... (178 +2) обсуждение | весь текст
·	21.08.2022	Flathub внедряет поддержку пожертвований и платных приложений (191 +10)
	Flathub, web-каталог и репозиторий самодостаточных пакетов в формате Flatpak, начал тестирование изменений, подготовленных совместно с компанией Codethink и нацеленных на предоставление основным разработчикам и сопровождающим приложений, распространяемых через Flathub, возможностей для монетизации своих разработок. Развиваемые возможности можно оценить на тестовом сайте beta.flathub.org... (191 +10) обсуждение | весь текст
·	09.08.2022	В NPM планируют использовать Sigstore для подтверждения подлинности пакетов (90 –2)
	GitHub выставил на обсуждение предложение по внедрению сервиса Sigstore для верификации пакетов по цифровым подписям и ведения публичного лога для подтверждения подлинности при распространении релизов. Применение Sigstore позволит реализовать дополнительный уровень защиты от атак, нацеленных на подмену программных компонентов и зависимостей (supply chain). Например, внедряемое изменение защитит исходные тексты проектов в случае компрометации учётной записи разработчика одной из зависимостей в NPM и формирования злоумышленником обновления пакета с вредоносным кодом... (90 –2) обсуждение | весь текст
·	27.07.2022	Выпуск пакетного менеджера NPM 8.15 с поддержкой локальной проверки целостности пакетов (27 +6)
	Компания GitHub представила выпуск пакетного менеджера NPM 8.15, входящего в поставку Node.js и применяемого для распространения модулей на языке JavaScript. Отмечается, что ежедневно через NPM загружается более 5 миллиардов пакетов... (27 +6) обсуждение | весь текст
Следующая страница (раньше) >>