В качестве примера ошибок в ядре, которые удалось бы избежать при использовании Rust, упомянута ошибка в подсистеме Bluetooth, остававшаяся незамеченной 15 лет, и проблема в гипервизоре Xen. В первом случае разработчик выполнил разыменование указателя без проверки, а во втором забыл снять блокировку в коде обработки ошибок. По словам Грега, большинство ошибок в ядре вызваны подобными мелочами, которые со временем накапливаются и всплывают как уязвимости. В Rust многие из подобных проблемы предотвращаются компилятором, например, Rust-абстракции для блокировок в ядре допускают получение доступа к внутренним указателям структур только после захвата соответствующей блокировки, которая снимается автоматически. Без захвата блокировки получить доступ к указателям структур на Rust не получится.

Грег считает, что подобные возможности Rust недопустили бы появления 60% ошибок, выявляемых в ядре, а выполняемые компилятором проверки избавили бы сопровождающих от траты времени на обсуждение с авторами корректности обработки ошибок и обоснованности выставления блокировок в нужном месте. Более того, внедрение поддержки Rust уже оказало благотворное влияние и на Си код в ядре, благодаря приведению в порядок Си-кода и интерфейсов, а также заимствованию некоторых приёмов разработки (например, были реализованы блокировки с ограниченной областью видимости).

Благодаря системе типов, гарантирующей соблюдение заданных правил, и применению систем непрерывной интеграции, проверяющих код на этапе сборки, при рецензировании изменений на Rust сопровождающие могут сосредоточиться на проверке логики работы, а не отслеживании манипуляций с ресурсами. Применение Rust также позволяет более внимательно относится к данным, поступающим от оборудования или из внешних систем. Подобное достигается благодаря явному разграничению заслуживающих и не заслуживающих доверия данных на уровне системы типов - разработчику достаточно выполнить анализ при переходе из недоверительного в доверительное состояние.

Последнее время команда, отвечающая за безопасность в ядре, публикует каждый день примерно 13 отчётов об уязвимостях, что на фоне прошлой динамики выявления уязвимостей воспринимается как какое-то безумие (для примера за вчерашний день было опубликовано 277 отчётов об уязвимостях в ядре). По мнению Грега, использование Rust является одним из реальных способов добиться снижения числа ошибок в ядре, вызванных традиционными оплошностями при обработке ошибок и управлении ресурсами. В ядре поддержка Rust уже вышла за рамки эксперимента и в конце прошлого года была признана штатной возможностью ядра.

1. OpenNews: Интервью с Грегом Кроа-Хартманом о созданных через AI отчётах об ошибках
2. OpenNews: Грегу Кроа-Хартману присуждена премия за вклад в открытое ПО
3. OpenNews: Мнение Грега Кроа-Хартмана и Кейса Кука о продвижении Rust в ядро Linux
4. OpenNews: Поддержка Rust переведена из экспериментальных в основные возможности ядра Linux
5. OpenNews: Уязвимость в Binder, подсистеме ядра Linux, написанной на Rust

Автор проекта - Андрей Квапил (@kvaps), основатель Cozystack и участник некоммерческой организации Piraeus, в рамках которой развиваются оператор и CSI-драйвер LINSTOR для Kubernetes. Автор известен в Kubernetes-сообществе как популяризатор LINSTOR и неоднократно выступал с техническими докладами по теме. Изначально разработка задумывалась как небольшая "пятничная" инициатива, однако в итоге превратилась примерно в 20 дней непрерывной работы. На текущий момент проект развивается как исследовательский, однако в перспективе рассматривается как возможная замена LINSTOR в роли системы хранения по умолчанию в Cozystack.

В качестве причин создания нового проекта упоминаются сложности с сопровождением оригинального проекта и передачей изменений в основной проект, а также архитектурные ограничения LINSTOR. Оригинальный проект использует "request-based" модель обработки запросов в реальном времени, который показывает проблемы на масштабах, тогда как декларативный reconciliation-подход Kubernetes и framework controller-runtime, по мнению автора, значительно лучше подходит для построения распределённых систем.

В отличие от LINSTOR, архитектура Blockstor полностью основана на подходе Kubernetes controller-runtime. Конфигурация и текущее состояние системы представлены в виде Kubernetes CRD-объектов, а сама система не рассчитана на работу вне Kubernetes-кластера.

Среди основных возможностей Blockstor:

• Реплицируемые поверх DRBD тома на базе LVM, LVM-thin, ZFS, ZFS-thin и файловых бэкендов.
• Автоматическое размещение реплик с учётом зон, свойств узлов и правил "replicas-on-different".
• Поддержка TieBreaker, quorum и изменения размера томов без остановки работы.
• Возможность работы без DRBD в режиме локального (single-replica diskful) или бездискового хранилища.
• Шифрование томов через LUKS.
• Поддержка снапшотов: создание, откат, клонирование и восстановление в виде нового ресурса.
• Перенос снапшотов внутри кластера через zfs send/recv и thin-send-recv.
• Создание storage pool’ов из физических дисков.
• Собранные для разных архитектур контейнерные образы (linux/amd64 и linux/arm64), опубликованные в GHCR.

Особенностью проекта стало активное использование AI-инструментов при разработке. Практически весь код был подготовлен с помощью Claude Code (модель Opus 4.7) компании Anthropic. Разработка велась почти круглосуточно в течение примерно 20 дней. В отдельные моменты одновременно работало до 60 AI-агентов, а общий диалог разработки составил около 1320 запросов со стороны автора и порядка 36 тысяч ответов модели в рамках одной непрерывной сессии. На выходе получилось 1500 коммитов, в которых 83 тысячи строк кода заняла реализация и ещё 137 тысяч строк кода тесты. По предварительной оценке, суммарно было израсходовано около 18.9 млрд токенов, а эквивалентная стоимость такого объёма при использовании API-тарифов составила бы около 40 тысяч долларов.

Автор первоначально рассчитывал на почти полностью автономную разработку силами AI-модели, однако сложная логика DRBD потребовала постоянного участия человека. Наиболее сложными оказались сценарии схождения DRBD-состояний, работа с Generation Identifier (GI), пропуска изначальной синхронизации и обработка split-brain сценариев. Поскольку оригинальный LINSTOR распространяется под лицензией GPL, использовать его код напрямую было нельзя. Основная часть реализации создавалась на основе анализа API-контрактов, поведения утилит, Python-клиента LINSTOR, а также совместимых по лицензии проектов, включая piraeus-operator и CSI-драйвер.

В наиболее сложных случаях применялась схема с разделением ролей AI-агентов: один агент анализировал исходный код LINSTOR и формировал текстовую спецификацию поведения, после чего другой агент реализовывал функциональность исключительно по этой спецификации без прямого копирования исходного кода. Из-за отсутствия открытых тестов у оригинального проекта тестовую базу пришлось формировать самостоятельно.

1. OpenNews: В ядро Linux предложено включить распределённое реплицируемое блочное устройство DRBD 9
2. OpenNews: Релиз распределенного реплицируемого блочного устройства DRBD 9.2.0
3. OpenNews: Первый альфа-выпуск etcd-оператора для Kubernetes
4. OpenNews: Опубликован код COSI-драйвера для SeaweedFS
5. OpenNews: Выпуск Cozystack 1.2, открытой PaaS-платформы на базе Kubernetes

Навигация в браузерном интерфейсе осуществляется при помощи VR-контроллеров или через отслеживание движения глаз, а для ввода данных в web-формы применяется виртуальная клавиатура или система голосового ввода, дающая возможность заполнять формы и отправлять поисковые запросы с использованием развиваемого системы распознавания речи. Возможен просмотр в браузере пространственных видео, снятых в режиме 360 градусов. В качестве стартовой страницы браузер предоставляет интерфейс для доступа к избранному контенту и навигации по коллекции, адаптированных для 3D-шлемов игр, web-приложений, 3D-моделей и пространственных видео.

Готовые сборки формируются для платформы Android и поддерживают такие 3D-шлемы, как Huawei VR Glass, Huawei Vision Glass, VIVE Focus, Lynx R1, Lenovo A3, Magic Leap 2, Meta Quest 2/3/Pro, Oculus Quest и Pico 4/4E. В режиме тестирования возможен запуск на обычном Android-смартфоне без 3D-шлема. Код Wolvic написан на языках Java и C++, и распространяется под лицензией MPLv2.

Среди изменений в новых выпусках:

• Предоставлена возможность добавления и использования по умолчанию своих поисковых движков.
• Задействован новый движок для распознавания речи, применяемый для голосового поиска и позволяющий выполнять транскрибирование. В движке задействованы модели автоматического распознания речи от проекта Vosk, загружаемые по мере необходимости и занимающие менее 50 МБ. Распознавание производится на устройстве без обращения к внешним сервисам. Поддерживаются английский, испанский, немецкий, итальянский, китайский, французский и русский языки.
• Реализована корректная работа с сервисами, такими как Google Earth, предлагающими установить отдельное приложение. Для подобных программ Wolvic теперь откатывается на использование web-версии.
  
  
• Добавлены четыре новых виртуальных окружения, включаемые через диалог "Settings > Environment".
• Обеспечено сохранение состояния браузера после обновления - все открытые до обновления вкладки теперь сохраняются.
• Расширены возможности виджетов для выбора даты и времени.
• Возобновлена поддержка 3D-шлема Lynx-R1.
• Браузерный движок Gecko и компоненты Mozilla для Android обновлены до версии 140, соответствующей Firefox 140 (в прошлых выпусках использовались версии Mozilla Android Components 128 и Gecko 128).

1. OpenNews: Первый выпуск редакции браузера Wolvic с движком Chromium
2. OpenNews: Опубликован Wolvic 1.7, web-браузер для устройств виртуальной реальности
3. OpenNews: Представлен wxrd, композитный сервер на базе Wayland для систем виртуальной реальности
4. OpenNews: Плагин к KWin для использования KDE в виртуальной реальности
5. OpenNews: Выпуск открытой платформы виртуальной реальности Monado 25.1.0

В числе основателей проекта выступили 12 компаний и организаций, среди которых Qualcomm Technologies, Meta, Analog Devices, Baochip, SIMPLE Crypto Association, Tenstorrent, Winbond и ZeroRISC. Проект развивается на нейтральной площадке, не зависящей от отдельных производителей, и управляется участниками из образованного вокруг него сообщества.

Pavona предоставляет IP-блоки с ядрами RISC-V (Ibex RV32IMCB и VexII), криптоускорителями с поддержкой классических и постквантовых криптоалгоритмов, контроллерами OTP/flash, SRAM, JTAG, ADC, I2C, GPIO и SPI. Среди реализованных на аппаратном уровне криптоалгоритмов: HMAC, KMAC, AES, EDN, ASCON, ML-KEM, ML-DSA, DSA-SHA2 и SLH-DSA-SHAKE. Предоставляется полная документация и ресурсы для верификации перед производством (Design Verification collateral) и RTL-код. Помимо аппаратных компонентов проектом также предоставляется программное обеспечение, такое как криптографическая библиотека для интеграции с криптоускорителями, прошивки и сопутствующие утилиты.

На базе Pavona подготовлены две эталонные реализации: обособленный чип со встроенными криптографическими возможностями для использования в роли "Root of Trust" и реализация "Root of Trust" для архитектуры чиплетов, опробованные в производстве с использованием техпроцесса TSMC 3nm (N3). Чиплеты позволяют создавать комбинированные гибридные интегральные схемы (многочиповые модули), образованные из независимых полупроводниковых блоков. Отмечается, что Pavona стал первым проектом, предоставляющим готовый к производству встраиваемый в чипы открытый стек с поддержкой постквантовых криптографических алгоритмов (PQC).

1. OpenNews: Intel, AMD и ARM представили UCIe, открытый стандарт для чиплетов
2. OpenNews: Программно-аппаратная платформа CHERIoT 1.0 для повышения безопасности кода на языке Си
3. OpenNews: Микроядро Xous и открытый чип Baochip-1x для создания безопасных встраиваемых систем
4. OpenNews: Готов к производству первый прототип открытого чипа Libre-SOC
5. OpenNews: В Chromebook началась интеграция открытых чипов OpenTitan

Дистрибутив по возможности бинарно совместим с Red Hat Enterprise Linux и может использоваться в качестве замены RHEL 10.2 и CentOS 10 Stream. Помимо ребрендинга и удаления специфичных для RHEL пакетов в AlmaLinux 10.2 отмечены следующие отличия от RHEL 10.2:

• Опубликован репозиторий пакетов, собранных для архитектуры i686, а также образы контейнеров в формате Docker для 32-разрядных систем x86. Компания Red Hat отказалась от формирования 32-разрядных сборок для архитектуры x86 в выпуске RHEL 7, опубликованном в 2014 году. В ветке CentOS 7 сборка 32-разрядных пакетов была продолжена командной CentOS Linux AltArch SIG , но начиная с ветки CentOS 8 формирование подобных сборок прекратилось. Причиной возрождения сборок для архитектуры i686 в AlmaLinux стало желание предоставить возможность запуска старых приложений, доступных только в форме исполняемых файлов для 32-разрядных систем. Сборки также могут быть полезны для формирования 32-разрядных окружений для тестирования кода в системах непрерывной интеграции и для запуска контейнеров для 32-разрядных программ.
• Возвращена поддержка файловой системы Btrfs. Добавлена возможность разметки накопителей с использованием Btrfs в инсталляторе, обеспечена установка модуля ядра btrfs.ko, возвращён набор утилит btrfs-progs, а также проведена работа по адаптации работы с Btrfs стека управления хранением данных и проверена корректность функционирования пакетов bcc, buildah, cockpit, ignition, libblockdev, libguestfs, osbuild, osbuild-composer, podman, pykickstart, python-blivet, skopeo, udisks2 и virt-v2v в окружениях с Btrfs. Компания Red Hat объявила ФС Btrfs устаревшей в выпуске RHEL 7.4 (2017 год) и полностью прекратила её поддержку в ветке RHEL 8.
• По умолчанию активирован репозиторий пакетов CRB (CodeReady Builder), в котором поставляется подборка пакетов, по умолчанию не предлагаемых в Red Hat Enterprise Linux, таких как приложения для разработчиков, дополнительные библиотеки и обвязки, а также пакеты с отладочными данными, документацией, заголовочными файлами, статическими сборками и примерами кода (пакеты "-devel", "-example", "-doc" и "-static"). Среди прочего в CRB присутствуют библиотеки, использующиеся в качестве зависимостей в пакетах из репозитория EPEL (Extra Packages for Enterprise Linux).
• Cформированы пакеты для установки драйверов NVIDIA и стека CUDA. Драйверы могут использоваться в конфигурациях с UEFI Secure Boot. Модули ядра из официального набора проприетарных драйверов от компании NVIDIA не могут быть загружены в режиме UEFI Secure Boot, так как они не заверены цифровой подписью дистрибутива. Данное ограничение удалось обойти благодаря использованию открытых компанией NVIDIA модулей ядра, на базе которых сформирован собственный пакет nvidia-open-kmod с модулями, заверенными цифровой подписью AlmaLinux. Отдельно оформлен пакет almalinux-release-nvidia-driver с конфигурацией поддерживаемого компанией NVIDIA внешнего репозитория, из которого выполняется загрузка CUDA-драйверов и проприетарных компонентов драйвера NVIDIA, работающих в пространстве пользователя.
• Сформированы отдельные сборки для второй версии микроархитектуры x86-64 (x86-64-v2), которые сопровождаются параллельно с базовыми сборками x86-64, формируемыми с оптимизациями для микроархитектуры x86-64-v3, которая используется в RHEL 10. Дополнительная поддержка x86-64-v2 позволяет обеспечить совместимость с CPU старее Intel Haswell и AMD Excavator, спроектированными до 2013 года. Помимо штатных репозиториев сборки x86-64-v2 также подготовлены и для пакетов из репозитория EPEL.
• Возвращены серверные и клиентские реализации протокола SPICE, позволяющего организовать удаленную работу с рабочим столом, функционирующим в виртуальном окружении под управлением QEMU/KVM. В отличие от протоколов VNC и RDP в SPICE отрисовка содержимого экрана и обработка аудиопотоков производится на стороне клиента, а не на сервере. В RHEL поддержка SPICE была прекращена в выпуске 9.0.
• Возвращено использование процессорного регистра %rbp в качестве базового указателя на кадр стека, содержащий адреса возврата и переменные функции (frame pointer). Использование указателя на кадры стека позволяет использовать в дистрибутиве дополнительные возможности для трассировки и профилирования системы.
• Реализована возможность использования гипервизора KVM на системах с процессорами IBM POWER. В RHEL подобная поддержка была прекращена в ветке 9.0.
• Поддерживается репозиторий Synergy, в котором размещены пакеты, отличающиеся от Red Hat Enterprise Linux. В настоящее время в репозитории Synergy уже опубликованы пакеты c пользовательским окружением Pantheon, развиваемым проектом Elementary OS, и утилитой Warpinator, предназначенной для шифрованного обмена файлами между двумя компьютерами.
• Реализована возможность загрузки в режиме UEFI Secure Boot для систем с процессорами Intel/AMD и ARM.
• Возобновлена поддержка более 150 аппаратных устройств, не поддерживаемых в RHEL 10.2. Например, возвращены идентификаторы старых PCI-устройств в драйверах:
  • aacraid - Dell PERC2, 2/Si, 3/Si, 3/Di, Adaptec Advanced Raid Products, HP NetRAID-4M, IBM ServeRAID & ICP SCSI
  • be2iscsi - Emulex OneConnectOpen-iSCSI для BladeEngine 2 и 3
  • be2net - Emulex BladeEngine 2 and 3 adapters *
  • hpsa - HP Smart Array Controller
  • lpfc - Emulex LightPulse Fibre Channel SCSI
  • megaraid_sas - Broadcom MegaRAID SAS
  • mlx4_core - Mellanox Gen2 и ConnectX-2
  • mpt3sas - LSI MPT Fusion SAS 3.0
  • mptsas - Fusion MPT SAS Host
  • qla2xxx - QLogic Fibre Channel HBA
  • qla4xxx - QLogic iSCSI HBA.

Дистрибутив AlmaLinux основан компанией CloudLinux в ответ на преждевременное сворачивание поддержки CentOS 8 компанией Red Hat (выпуск обновлений для CentOS 8 прекращён в конце 2021 года, а не в 2029 году, как предполагали пользователи). Проект курирует отдельная некоммерческая организация AlmaLinux OS Foundation, которая была создана для разработки на нейтральной площадке с участием сообщества и c использованием модели управления, похожей на организацию работы проекта Fedora. Дистрибутив бесплатен для всех категорий пользователей. Все наработки AlmaLinux публикуются под свободными лицензиями.

Кроме AlmaLinux, в качестве альтернатив классическому CentOS также позиционируются Rocky Linux (развивается сообществом под руководством основателя CentOS), Oracle Linux, SUSE Liberty Linux и EuroLinux. Кроме того, компания Red Hat предоставила возможность бесплатного использования RHEL в организациях, развивающих открытое ПО, и в окружениях индивидуальных разработчиков, насчитывающих до 16 виртуальных или физических систем.

1. OpenNews: Релиз дистрибутива Red Hat Enterprise Linux 10.2
2. OpenNews: Доступен дистрибутив AlmaLinux 10.1
3. OpenNews: Развитие AlmaLinux для профессиональных видеостудий
4. OpenNews: В AlmaLinux появилась поддержка архитектуры RISC-V
5. OpenNews: В AlmaLinux возобновлена сборка пакетов для 32-разрядных систем x86

Уязвимость позволяет добиться продолжения выполнения фонового JavaScript-обработчика (Service Worker) даже после закрытия окна браузера, что даёт возможность атакующему организовать постоянный контроль за браузером с возможностью загрузки и выполнения в любой момент своего JavaScript-кода в контексте своей страницы. Сценарий атаки сводится к тому, что атакующий может добиться открытия своей страницы в версии браузера, не содержащей уязвимостей, после чего дождаться выявления серьёзной уязвимости в браузере и организовать выполнение эксплоита без необходимости повторного открытия пользователем страницы атакующего. Суть метода в создании страницы с Service Worker-ом, выполняющей операцию загрузки данных, которая никогда не прерывается.

По мнению выявившего проблему исследователя, уязвимость может использоваться для создания ботнета из браузеров, пользователи которых не подозревают, что один раз закрепившись, атакующий может удалённо выполнить JavaScript-код на их устройстве без совершения действий с их стороны. Подобный ботнет и без эксплуатации других уязвимостей может применяться для организации DDoS-атак и проксирования вредоносного трафика через системы жертв. Проблема затрагивает все браузеры на движке Chromium.

1. OpenNews: Лог изменений в V8 помог создать эксплоит для неисправленной уязвимости в Chrome

Поправки сужают понятия "провайдер операционной системы" и "приложение", к которым применяются требования по обеспечению верификации возраста. В поправках из действия закона выведены физические лица и организации, распространяющие операционные системы или приложения под лицензиями, разрешающими копирование, распространение и внесение изменений в код. Исключение также распространяется на программное обеспечение, которое не предлагается потребителям в форме отдельных исполняемых файлов через магазины-каталоги приложений.

В случае утверждения поправок, разработчики открытых приложений и дистрибутивы, такие как Fedora, Ubuntu, Arch Linux и Debian, поставляющие открытое ПО, будут не обязаны выполнять требования по верификации возраста. Дистрибутивам и платформам, таким как SteamOS, включающим проприетарные программы или завязанным на внешние проприетарные каталоги приложений, придётся учитывать требования о верификации возраста.

Принятый в Калифорнии Закон о верификации возраста предписывает добавление в операционные системы возможности для указания возраста пользователя на этапе регистрации учётной записи и предоставления приложениям программного интерфейса для определения возраста текущего пользователя. В соответствии с требованиями закона, загруженные и запущенные приложения должны иметь возможность получать от операционной системы информацию о возрасте в 4 градациях: младше 13 лет, от 13 до 16 лет, от 16 до 18 лет, 18 лет и старше.

Разработчик приложения должен использовать полученную информацию о возрасте для соблюдения законодательства о защите детей в интернете. За невыполнение требований предусмотрены штрафы до $2500 за неумышленное и до $7500 за умышленное нарушение в отношении каждого пострадавшего ребёнка. Закон вступает в действие в Калифорнии 1 января 2027 года, а в Колорадо - 1 июля 2028 года.

Помимо этого, 17 марта в Бразилии вступил в силу закон 15.211/2025 "Digital ECA", который отличается значительными штрафами и жёсткими требованиями - производителям операционных систем и магазинов приложений необходимо проводить строгую проверку возраста с применением методов верификации, таких как проверка документов или прохождение аутентификации в уполномоченных сервисах. При этом из области действия закона выведена "базовая функциональность, необходимая для работы интернета, включая открытые и универсальные технические протоколы и стандарты", а основная ответственность ложится не на операционные системы, а на приложения, которые при необходимости должны внедрять собственные механизмы для предотвращения несанкционированного доступа несовершеннолетних.

1. OpenNews: В законопроект о верификации возраста CO SB51 добавлено исключение для открытых проектов
2. OpenNews: Проект Arch Linux 32 заблокировал доступ из Бразилии из-за закона о верификации возраста
3. OpenNews: Создан дистрибутив Ageless Linux для противодействия законам о проверке возраста
4. OpenNews: В Калифорнии утверждён законопроект об интеграции в ОС API для проверки возраста
5. OpenNews: Создан форк systemd без хранения возраста. GrapheneOS отказался верифицировать возраст

Labwc задействован в графическом окружении дистрибутива Raspberry Pi OS и опционально поддерживается в средах рабочего стола Xfce и LXQt. Среди целей проекта labwc упоминаются минимализм, компактная реализация, широкие возможности настройки и высокая производительность. Принципиально не поддерживаются анимированные эффекты, градиенты и пиктограммы, за исключением кнопок для окон. В качестве основы используется библиотека wlroots, развиваемая разработчиками пользовательского окружения Sway и предоставляющая базовые функции для организации работы композитного менеджера на базе Wayland.

Возможно подключение надстроек с реализацией таких функций, как создание скриншотов, отображение обоев на рабочем столе, размещение панели и меню. Для запуска X11-приложений в окружении на базе протокола Wayland поддерживается использование DDX-компонента XWayland. Тема оформления, базовое меню и горячие клавиши настраиваются через файлы конфигурации в формате xml. Имеется встроенная поддержка экранов с высокой плотностью пикселей (HiDPI).

Помимо встроенного базового меню, настраиваемого через файл menu.xml, можно подключить сторонние реализации меню приложений, такие как bemenu, fuzzel и wofi. В качестве панели можно использовать Waybar, sfwbar, Yambar или LavaLauncher. Для управления подключением мониторов и изменением их параметров предлагается использовать wlr-randr или kanshi. Блокировка экрана осуществляется при помощи swaylock.

В новой версии:

• Осуществлён переход на выпуск библиотеки wlroots 0.20, в котором реализована поддержка возможностей для управления цветом, HDR, настройки внешнего вида курсора и виртуальных рабочих столов.
• Реализована частичная поддержка захвата контента, выводимого на Wayland-поверхности верхнего уровня (toplevel-capture), позволяющая создавать скриншоты и записывать скринкасты для содержимого отдельных окон. Реализация пока не охватывает дочерние и всплывающие окна приложений, запущенных через XWayland, а также вложенные Wayland-поверхности xdg.
• Добавлена поддержка расширенного диапазона яркости с возможностью вывода на мониторы, поддерживающие HDR10 (работает только при использовании бэкенда отрисовки на базе Vulkan).
• Реализован ускоренный переход к элементам меню через нажатие первой буквы названия. Например, для запуска Firefox достаточно вызвать меню комбинацией "Meta+a" и нажать букву "f".
• Добавлена комбинация клавиш Super-d для скрытия и возвращения окон. Для настройки собственных комбинаций клавиш с данным действием предложен параметр ToggleShowDesktop.
• Добавлена опция командной строки "-t" (--title) для выставления заголовка окна при вложенном запуске labwc.
• В утилиту labnag добавлены опции "--details-border-color" и "--details-margin" для выставления цвета и отступа области вокруг содержимого.
• Обеспечена установка systemd-юнита labwc-session.target при наличии systemd.
• В файл конфигурации добавлена настройка "<focus><raiseOnFocusDelay> для внесения задержки перед переключением фокуса.
• В опцию "<libinput><device><scrollMethod>" добавлена поддержка метода прокрутки "onbutton", а также реализована отдельная опция "<libinput><device><scrollButton>" для прокрутки содержимого с использованием кнопок.
• Добавлена опция <tabletTool minPressure="0.0" maxPressure="1.0" /> для настройки диапазона чувствительности к нажатию для графического планшета.
• В файл конфигурации добавлена опция <privilegedInterfaces> для ограничения доступа к привилегированным протоколам.
• Добавлен отладочный параметр DebugToggleKeyStateIndicator для отображения поверх содержимого сведений о состоянии клавиш.
• Добавлена поддержка Wayland-протоколов для управления цветом: color-representation-v1 и color-management-v1.
• Реализован интерфейс wl_fixes, позволяющий решать проблемы с другими программными интерфейсами базовых протоколов, которые не могут быть устранены собственными возможностями этих интерфейсов. Например, запрос "wl_fixes::destroy_registry" позволяет ликвидировать объект wl_registry, после чего клиент не сможет его использовать, а композитный сервер прекратит передачу через него событий.

1. OpenNews: Выпуск композитного сервера Weston 15.0
2. OpenNews: Выпуск labwc 0.9.0, композитного сервера для Wayland
3. OpenNews: Выпуск miracle-wm 0.9, композитного менеджера на базе Wayland и Mir
4. OpenNews: Выпуск композитного сервера Niri 26.04, использующего Wayland
5. OpenNews: Выпуск композитного сервера Hyprland 0.55

Sway позволяет использовать автоматическое размещение окон (оконный менеджер динамически выбирает позицию и размер окна, учитывая другие открытые окна и не допуская перекрытия окон), вместо традиционного ручного позиционирования (пользователь выбирает произвольное место и размер окна с возможным перекрытием окон). Окна располагаются, образуя сетку, оптимально использующую экранное пространство и позволяющую быстро манипулировать окнами только при помощи клавиатуры. Совместимость с i3 обеспечена на уровне команд, файлов конфигурации и IPC, что позволяет использовать Sway в качестве прозрачной замены i3, использующей Wayland вместо X11.

Для обустройства полноценного пользовательского окружения предлагаются сопутствующие компоненты: swayidle (фоновый процесс с реализацией ждущего режима), swaylock (хранитель экрана), mako (менеджер уведомлений), grim (создание скриншотов), slurp (выделение области на экране), wf-recorder (захват видео), waybar (панель приложений), virtboard (экранная клавиатура), wl-clipboard (работа с буфером обмена), wallutils (управление обоями рабочего стола).

Sway развивается как модульный проект, построенный поверх библиотеки wlroots, в которую вынесены все базовые примитивы для организации работы композитного менеджера. Wlroots включает бэкенды для абстрагирования доступа к экрану, устройствам ввода, отрисовки без прямого обращения к OpenGL, взаимодействию с KMS/DRM, libinput, Wayland и X11 (предоставляется прослойка для запуска X11-приложений на базе Xwayland). Помимо Sway библиотека wlroots активно используется и в других проектах. Кроме поддержки языков Си/С++, предоставляются обвязки для языков Scheme, Common Lisp, Go, Haskell, OCaml, Zig, Python и Rust.

В новом выпуске:

• Добавлена возможность захвата отдельных окон.
• Реализована поддержка вывода в расширенном динамическом диапазоне яркости HDR10 при использовании отрисовки на базе API Vulkan.
• Добавлена поддержка Wayland-протоколов:
  • color-management-v1 для управления цветом и поддержки расширенного динамического диапазона яркости (HDR, High Dynamic Range).
  • color-representation-v1 для определение цветового представления Wayland-поверхности.
  • xdg-toplevel-tag-v1 для прикрепления Wayland-клиентами тегов к поверхностями верхнего уровня, которые композитный сервер может использовать для восстановления позиции, размера и свойств окон после перезапуска, а также для определения особых правил для отдельных видов окон.
  • ext-workspace-v1 для создания панелей или индикаторов, выводящих список доступных виртуальных рабочих столов и позволяющих переключаться между ними.
  • wl_fixes для решения проблем с другими программными интерфейсами базовых протоколов, которые не могут быть устранены собственными возможностями этих интерфейсов.
• Реализована опция "--device-primaries", при указании которой цветовой профиль формируется на основе данных, вызываемых монитором через EDID.
• Добавлена поддержка определения наличия кейпада, используя флаг LIBINPUT_SWITCH_KEYPAD_SLIDE в libinput.
• В файл конфигурации включены привязки специальных мультимедийных клавиш (приостановить, продолжить воспроизведение, следующая композиция и т.п.) для управления воспроизведением мультимедийного содержимого при помощи утилиты playerctl.
• Цветовой профиль вывода srgb переведён на использование кусочной (piece-wise) передаточной функции sRGB вместо gamma 2.2 (для gamma 2.2 следует использовать отдельный профиль gamma22, который применяется по умолчанию).
• Запуск в системах с неподдерживаемыми GPU (например, при использовании проприетарных драйверов NVIDIA), теперь приводит к выводу предупреждения, а не к завершению работы с ошибкой. Предупреждение можно отключить при помощи флага "--unsupported-gpu" или переменной окружения SWAY_UNSUPPORTED_GPU.
• Добавлена официальная поддержка использования дисплейных менеджеров для запуска Sway.
• Задействованы новые возможности библиотеки wlroots 0.20. Среди изменений в новой версии wlroots: Поддержка определения цветового представления Wayland-поверхности, управления цветом и использования HDR при помощи протоколов color-representation-v1 и color-management-v1. Поддержка Wayland-протоколов cursor-shape-v1 для настройки внешнего вида курсора, ext-workspace-v1 для использования концепции виртуальных рабочих столов и xdg-toplevel-tag-v1 для идентификации окон/поверхностей через привязку тегов.

1. OpenNews: Выпуск пользовательского окружения Sway 1.11
2. OpenNews: Выпуск дистрибутива Ubuntu Sway Remix 25.10
3. OpenNews: На базе Sway развивается порт пользовательского окружения LXQt, поддерживающий Wayland
4. OpenNews: Выпуск Cage 0.3, композитного сервера на базе Wayland для создания киосков

В systemd-appd будет реализована функциональность для назначения приложениям идентификаторов и хранения привязанных к этим идентификаторам полномочий. Использование systemd-appd позволит решить проблемы с надёжной аутентификацией запущенных Flatpak-приложений и определением какое именно приложение пытается получить доступ к системным ресурсам. Благодаря systemd-appd появится возможность использования вложенных sandbox-окружений (например, для дополнительной изоляции процессов в браузерах), реализовать поддержку мультимедийного сервера PipeWire и избавиться от D-Bus прокси, применяемого для фильтрации доступа к системным сервисам.

В докладе также представлен проект Flatpak Next (Flatpak 2.0), в котором планируют переделать архитектуру Flatpak с учётом накопленного опыта и с использованием современных технологий. При этом поддержку systemd-appd планируют добавить не дожидаясь Flatpak Next в ветку Flatpak 1.x.

На вопрос станет ли systemd-appd обязательной зависимостью во Flatpak, Адриан Вовк ответил, что изначально он намеревался очень внимательно отнестись к системам без systemd, но после обрушившейся на него агрессивной критики, возникшей на пустом месте (разработка пока находится только в планах и ни одной строчки кода systemd-appd не написано), он не намерен тратить своё время на поддержку систем без systemd.

На аналогичный вопрос, Джорж Кастро (Jorge Castro), менеджер по взаимодействию с сообществом в проекте FlatHub, подтвердил, что Flatpak будет зависеть от systemd.

Развиваемый компанией Bambu Lab пакет Bambu Studio является форком свободного проекта Prusa Slicer и так же как исходный проект распространяется под лицензией AGPLv3. В выпущенное год назад обновление прошивки к 3D-принтерам Bambu Lab было внесено изменение, блокирующее возможность прямой печати. После обновления прошивки для продолжения работы с 3D-принтером в альтернативных пакетах подготовки моделей к 3D-печати, таких как OrcaSlicer, требовалась установка дополнительного проприетарного приложения Bambu Connect, без которого послойный вывод на печать перестал работать.

Один из энтузиастов реализовал для OrcaSlicer возможность напрямую отправлять команды 3D-принтерам Bambu Lab без необходимости установки Bambu Connect, но компания Bambu Studio под угрозой судебного разбирательства вынудила разработчика удалить репозиторий с созданным кодом, при том, что реализованный энтузиастом метод прямой отправки команд на 3D-принтеры был основан на содержимом из репозитория AGPL-проекта Bambu Studio.

Организация SFС трактовала данный шаг как ущемление прав, предоставляемых лицензией AGPLv3. При давлении на энтузиаста компания Bambu Lab применила тактику запугивания и утверждала, что условия использования продукта (terms of service) превалируют над требованиями AGPLv3, что является нарушение пункта 10.3 лицензии AGPL. Данный пункт запрещает налагать дополнительные ограничения, мешающие осуществлению прав, предоставленных лицензией.

Помимо этого, правозащитная организация SFC выявила прямое нарушения условий лицензии AGPLv3 в приложении Bambu Studio, в котором используется библиотека libbambu_networking, исходный код которой не предоставляется. Так как Bambu Studio является ответвлением от другого открытого AGPL-проекта, он должен распространяться строго под исходной лицензией APGLv3 и не имеет права вносить в неё исключения. Соответственно, все компоненты должны быть доступны в исходном коде без дополнительных ограничений и комбинирование AGPL-кода с проприетарной библиотеке в одном продукте недопустимо. Библиотека libbambu_networking загружается через интерактивный запрос в интерфейсе пользователя, но подобный манёвр не позволяет обойти условия AGPL.

Для оказания помощи пользователям 3D-принтеров, испытывающим трудности из-за нарушений AGPLv3 компанией Bambu Lab, создан проект baltobu, в рамках которого под защитой SFC создано три репозитория:

• reverse-networking - проект по обратному инжинирингу библиотек libbambu_networking.so, bambu_networking.dll и libbambu_networking.dylib, и создания их открытой замены. Подразумевается, что так как данные библиотеки используются в коде под лицензией AGPLv3, на них тоже распространяется данная лицензия, что даёт право на проведение обратного инжиниринга. Дополнение: проект open-bamboo-networking уже подготовил открытую замену для проприетарного плагина bambu_networking.
• orca-slicer-for-bambu - репозиторий для продолжения работы над форком OrcaSlicer, поддерживающим прямую работу с 3D-принтерами Bambu Lab. Репозиторий воссоздаёт код проекта OrcaSlicer-bambulab, который ранее был удалён после угроз от Bambu Lab.
• Viscose - репозиторий c форком ПО Bambu Studio, гарантирующий сохранение предоставляемых AGPL свобод и прав пользователей, а также поддерживающий открытую кодовую базу на случай, если компания Bambu Lab решит что-то удалить из своего репозитория.

1. OpenNews: Bambu Lab добилась удаления альтернативного проекта для отправки команд на свои 3D-принтеры
2. OpenNews: Дэниэл Бернштейн подал в суд из-за утаивания NIST информации о постквантовых криптоалгоритмах
3. OpenNews: Stockfish и ChessBase урегулировали разбирательство, связанное с нарушением лицензии GPL
4. OpenNews: В закон DMCA внесены исключения, разрешающие замену прошивок маршрутизаторов
5. OpenNews: В коде Winamp обнаружено нарушение лицензии GPL

Обилие присылаемых последнее время отчётов об ошибках, выявленных при помощи AI-ассистентов, Линус охарактеризовал как краткосрочную боль, которая принесёт пользу в долгосрочной перспективе - любая выявленная и исправленная ошибка лучше, чем остающаяся незамеченной. Для небольших команд и одиночных сопровождающих шквал сгенерированных через AI сообщений об ошибках становится проблемой и приводит к выгоранию, особенно когда подобные отчёты отправляются без проверки, а отправивший их не способен ответить на вопросы и предоставить дополнительную информацию.

По поводу AI Линус высказался, что это всего лишь ещё один инструмент, повышающий эффективность работы и меняющий способ разработки, но не меняющий принципы программирования. Когда-то появление компиляторов и высокоуровневых языков повысило производительность разработки в 1000 раз и избавило разработчиков от необходимости вводить дампы машинных кодов и вычислять смещения для операций ветвления. Примерно также AI позволяет повысить производительность, беря на себя выполнение рутинной работы и оставляя разработчику постановку задач и проверку результата. При этом важно, чтобы разработчик не только умел формировать запросы, но и имел компетенцию для оценки и проверки результата. AI-ассистент рассматривается как новое звено перед компилятором, который, в своё время, для упрощения разработки стал звеном перед ассемблером.

1. OpenNews: Линус Торвальдс раскритиковал приватный разбор уязвимостей, выявленных при помощи AI
2. OpenNews: Модель угроз и особенности оценки уязвимостей в ядре Linux
3. OpenNews: Инициатива по удалению из ядра старых Ethernet-драйверов из-за ошибок, выявляемых через AI
4. OpenNews: Линус Торвальдс принял план передачи управления репозиторием ядра Linux в непредвиденных ситуациях
5. OpenNews: Линус Торвальдс поэкспериментировал с вайб-кодингом в своём новом проекте AudioNoise

Выявлено, что в CPU 80386 каждая инструкция полностью исполняется через микрокод, в то время как в 8086 и современных процессорах часть инструкций обрабатывается напрямую. Кроме того, в отличие от процессоров 8086, в 80386 микрокод не реализует алгоритмы напрямую, а в основном настраивает аппаратные ускорители (умножитель, делитель, быстрый сдвиг, PTU (Protection Test Unit)).

В ходе исследования также была обнаружена возможная проблема с безопасностью при обработке битовой карты прав доступа к вводу/выводу (IO permission bitmap): при 4-байтовом обращении к портам проверялись биты прав доступа только для первых 3 байтов, а доступ к 4-му байту не проверялся, что теоретически допускало обращение к аппаратным регистрам, доступ к которым должен был быть запрещён.

На основе опубликованного микрокода разработан открытый CPU z386, реализованный на языке SystemVerilog и работающий с использованием FPGA. Вместо реализации каждой инструкции в форме отдельного RTL (Register-transfer level) в z386 реализованы аппаратные структуры, которыми управляет оригинальный микрокод. Производительность подготовленной реализации соответствует быстрому 386 ПК (~70MHz). Под управлением z386 удалось успешно запустить DOS 6/7, DOS/4GW, DOS/32A и игры, такие как Doom и Cannon Fodder.

1. OpenNews: Атака TSA, приводящая к утечке информации из микроархитектурных структур CPU AMD
2. OpenNews: Google опубликовал инструментарий для анализа и изменения микрокода AMD
3. OpenNews: CPU AMD Zen 5 подвержены уязвимости, допускающей изменение микрокода и обход изоляции SEV-SNP
4. OpenNews: Intel устранил все замечания в новой лицензии на микрокод
5. OpenNews: Опубликован инструментарий для дешифровки микрокода Intel

1752 из 6202 уязвимостей, отнесённых AI-моделью Mythos к категории опасных, были проверены независимыми компаниями, специализирующимися на компьютерной безопасности. В 1587 случаях (90.6%) наличие уязвимости было подтверждено, а в 1094 (62.4%) - сохранился высокий или критический уровень опасности. При текущих показателях ложных срабатываний предполагается, что из 6202 заявленных AI-моделью опасных уязвимостей примерно 3900 (62.4%) сохранят выбранный моделью высокий уровень опасности, не считая опасных уязвимостей найденных отдельно при проверке 50 участниками проекта Glasswing.

Сведения об 467 верифицированных уязвимостях переданы сопровождающим открытые проекты представителями компаний, проводивших рецензирование. По отдельным запросам сотрудники Anthropic напрямую передали сопровождающим информацию о 1129 непроверенных проблемах. Всего сопровождающие 281 открытого проекта получили сведения о 1596 проблемах и подтвердили наличие 1451 уязвимостей. При этом в кодовых базах пока исправлено только 97 проблем и выпущено 88 публичных отчётов об уязвимостях.

Кроме того, сообщается, что 50 участников проекта Glasswing, которым был предоставлен ранний доступ к модели Mythos, выявили в своих кодовых базах более 10 тысяч опасных уязвимостей. Например, компания Cloudflare нашла при помощи Mythos более 2000 ошибок, из которых 400 отмечены как уязвимости с высоким и критическим уровнем опасности. Уровень ложных срабатываний по оценке Cloudflare оказался ниже, чем при тестировании людьми. Компания Mozilla при проверке кода Firefox 150 нашла при помощи Mythos 271 уязвимость, что в 10 раз больше, чем было найдено при проверке Firefox 148 моделью Claude Opus 4.6.

В качестве примера уже исправленной критической проблемы приводится уязвимость (CVE-2026-5194) в криптографической библиотеке wolfSSL. Mythos смог подготовить эксплоит, позволяющий атакующему сформировать поддельный ECDSA-сертификат для сайтов и почтовых серверов, который при проверке библиотекой wolfSSL обрабатывался как корректный. Проблема была вызвана отсутствием в коде проверки размера хэша и OID, что позволяло указать в сертификате хэш, размером меньше допустимого.

1. OpenNews: Anthropic анонсировал AI-модель Claude Mythos, умеющую создавать рабочие эксплоиты
2. OpenNews: AI-модель Claude Mythos не продемонстрировала особых достижений при поиске уязвимостей в Curl
3. OpenNews: Служба здравоохранения Великобритании намерена закрыть свои репозитории с открытым кодом из-за AI
4. OpenNews: AI-модель Claude Opus 4.6 выявила более 500 ранее неизвестных уязвимостей
5. OpenNews: Линус Торвальдс раскритиковал приватный разбор уязвимостей, выявленных при помощи AI

Из новых возможностей, по сравнению с Asset Library, отмечается появление рейтинга и рецензирования ассетов, доступ к аналитике о загрузках, возможность предоставления нескольких версий для загрузки, добавление страницы со списком изменений и поддержка привязки тегов к ассетам, включая собственные теги. При доступе в Asset Store используется общая с инфраструктурой Godot система учётных записей, например, если у пользователя есть учётная запись в форуме, то ему не нужно создавать отдельный аккаунт в Asset Store.

Разработчикам рекомендуется начать переносить свои ассеты из Asset Library в Asset Store. Автоматически такой перенос решили не производить из-за необходимости получения разрешения от каждого автора на миграцию, переноса на свой хостинг файлов со сторонних ресурсов и нежелании переносить давно не поддерживаемые устаревшие ассеты. В дальнейшем доступ к каталогу Asset Library будет сохранён для поддержки старых версий движка Godot, но будет переведён в режиме только для чтения.

Изначально организация Godot Foundation не хотела создавать собственный официальный каталог ассетов и полагалась на экосистему и существующие платформы, такие как itch.io, но в конечном счёте из-за ряда проблем изменила свои намерения. Запуск Asset Store избавит сообщество от путаницы с магазинами приложений (многие пользователи не понимали, какой из магазинов рекомендован Godot Foundation), решит проблемы с авторскими правами и злоупотреблениями (некоторые каталоги размещали платные версии бесплатных ассетов без информации об авторстве) и позволит избавиться от технического долга (в Asset Library использовалась своя система учётных записей, не интегрированная с остальными сервисами Godot).

Исходный код игрового движка Godot был открыт в 2014 году студией OKAM, после десяти лет развития проприетарного продукта профессионального уровня, который использовался для создания и публикации многих игр для PC, игровых консолей и мобильных устройств. Движок подходит для создания 2D- и 3D-игр, предоставляет простой для изучения язык задания игровой логики, графическую среду для проектирования игр, систему развёртывания игр в один клик, возможности анимации и симуляции физических процессов, встроенный отладчик и систему выявления узких мест в производительности. Код игрового движка, среды проектирования игр и сопутствующих средств разработки (физический движок, звуковой сервер, бэкенды 2D/3D рендеринга и т.п.) распространяется под лицензией MIT.

1. OpenNews: Сопровождающие Godot перегружены из-за обилия сомнительных изменений, созданных с помощью AI
2. OpenNews: Выпуск открытого игрового движка Godot 4.6
3. OpenNews: Обнаружено вредоносное ПО, использующее игровой движок Godot как платформу для запуска
4. OpenNews: Библиотека LibGodot для встраивания в приложения сцен, созданных для игрового движка Godot
5. OpenNews: Проект GodotOS подготовил оболочку операционной системы на игровом движке Godot