Изначально проблему попытались устранить в версии 2.2.1, но исправление оказалось неэффективно. Ошибка долгое время оставалась незамеченной и начала проявляться после изменений, внесённых в утилиту "cp" в пакете coreutils 9.x. Предполагается, что в Red Hat Enterprise Linux и дистрибутивах на его основе проблема не проявляется, так как в RHEL 9 используется пакет coreutils 8.x с иной логикой работы утилиты "cp".

Проблема проявляется при использовании утилит копирования файлов, умеющих определять и оптимизировать пустые области в файлах. Повреждение может возникнуть в нагруженных ФС при копировании файла, если операция выполнена почти сразу после изменения и часть данных остаётся только в dirty-кэше и ещё не сброшена на диск.

Для оптимизации работы с пустыми областями в файлах, OpenZFS, начиная с выпуска 0.6.2, поддерживает операции SEEK_HOLE и SEEK_DATA, позволяющие пропустить пустую область файла при чтении с диска. Распознавание пустых областей и сохранение информации о них производится только после сброса на диск всех остающихся в кэше данных, связанных с файлом. Для инициирования сброса в OpenZFS имеется проверка, которая оценивает присутствие в кэше несохранённых данных и производит принудительный сброс информации на диск, необходимый для использования SEEK_HOLE и SEEK_DATA.

К сожалению, проверка оказалась неполной и при некотором стечении обстоятельств данные о состоянии сброса определялись неверно, и на диске находилась старая информация о содержимом файла, если запрос попадал в небольшое временное окно между двумя операциями сброса данных из кэша. Операции чтения, оптимизирующие загрузку пустых областей, в этот момент могли пропустить чтение части данных, посчитав их пустыми, в то время как работающая с файлом программа до этого могла внести в пустые области изменения. В результате применение утилиты "cp" могло привести к созданию копии, содержащей пустые области там, где их не было в оригинальном файле.

1. OpenNews: В OpenZFS выявлена ошибка, которая может привести к повреждению файлов
2. OpenNews: Релиз OpenZFS 2.2, реализации ZFS для Linux и FreeBSD
3. OpenNews: В инсталляторе Ubuntu 23.10 будет возвращена поддержка ZFS
4. OpenNews: Ошибка в патчах FreeNAS, вызывающая скрытое повреждение данных в ZFS
5. OpenNews: Уязвимость в OpenZFS, нарушающая обработку прав доступа во FreeBSD

В Mesa 23.3 доступна поддержка графического API Vulkan 1.3 в драйверах anv для GPU Intel, radv для GPU AMD, tu для GPU Qualcomm, в программном растеризаторе lavapipe (lvp) и в режиме эмулятора (vn). Поддержка Vulkan 1.1 реализована в драйвере NVK (NVIDIA), а Vulkan 1.0 в v3dv (GPU Broadcom VideoCore VI из Raspberry Pi 4).

В Mesa также обеспечивается полная поддержка OpenGL 4.6 для драйверов i965, iris (Intel), radeonsi (AMD), zink, llvmpipe, virgl (виртуальный GPU Virgil3D для QEMU/KVM), freedreno (Qualcomm Adreno) и d3d12 (прослойка для организации работы OpenGL поверх DirectX 12). Поддержка OpenGL 4.5 доступна для GPU AMD (r600) и NVIDIA (nvc0).

Основные новшества:

• Добавлен экспериментальный драйвер NVK для видеокарт NVIDIA, реализующий API Vulkan 1.1 и поддерживающий GPU NVIDIA на базе микроархитектуры Turing (TITAN RTX, GeForce RTX 2060/2070/2080, GeForce GTX 1660, Quadro RTX 3000-8000, Quadro T1000/T2000).
• В состав принят новый бэкенд компилятора, используемый в драйвере NVK, написанный на языке Rust.
• В OpenGL-драйвере Asahi для GPU Apple AGX (Apple M1 и M2), добавлена поддержка OpenGL ES 3.1 и реализованы OpenGL-расширения GL_ARB_compute_shader, GL_ARB_shader_atomic_counters, GL_ARB_shader_image_load_store, GL_ARB_shader_image_size, GL_ARB_shader_storage_buffer_object, GL_ARB_sample_shading, GL_OES_sample_variables, GL_OES_shader_multisample_interpolation и GL_OES_gpu_shader5.
• В драйверы RadeonSI и RADV добавлена поддержка GPU AMD GFX11.5 (RDNA 3.5), используемых в APU AMD Ryzen 8000.
• В OpenGL драйвере V3D и Vulkan-драйвере V3DV добавлена начальная поддержка подсистемы Broadcom VideoCore 7.1, используемой в платах Raspberry Pi 5.
• В драйвере d3d12, предоставляющем прослойку для организации работы OpenGL поверх DirectX 12, реализована поддержка OpenGL 4.6.
• В драйвер ANV (Intel) добавлена поддержка Vulkan-расширения VK_EXT_pipeline_robustness.
• В драйвер RADV (AMD) добавлена поддержка Vulkan-расширений VK_KHR_maintenance5 и VK_KHR_cooperative_matrix (для GFX11+).
• Обеспечена работа EGL-расширения EGL_ANDROID_blob_cache при отключении кэширования на диске.

1. OpenNews: В Mesa принят код NVK, открытого Vulkan-драйвера для видеокарт NVIDIA
2. OpenNews: Релиз Mesa 23.1, свободной реализации OpenGL и Vulkan
3. OpenNews: Релиз Mesa 23.0, свободной реализации OpenGL и Vulkan
4. OpenNews: В NVK, открытом драйвере для видеокарт NVIDIA, обеспечена поддержка Vulkan 1.0

LibreQoS позволяет снизить задержки и повысить надёжность работы интерактивных сеансов, игр, платформ online-обучения, VoIP-трафика и видеовызовов в условиях большой нагрузки на сеть, например, из-за загрузки некоторыми пользователями фильмов в несколько потоков или активности любителей torrent-ов (LibreQoS решает проблему с заиканием видеовызовов, когда кто-то в той же сети начинает загружать 4K-видео). Применение LibreQoS снижает доступную одному пользователю пиковую пропускную способность, но зато даёт возможность значительно уменьшить задержки и справедливо распределить ресурсы между всеми участниками обмена данных. В проведённом тесте в контексте одного пользователя LibreQoS позволил снизить задержки при приёме данных со 106 до 9 мс, а при передаче с 517 до 23 мс, ценой снижения скорости непрерывной загрузки с 74 до 25 Mbps и передачи с 29 до 8 Mbps.

В основе LibreQoS лежит применение системы управления сетевыми очередями CAKE (Common Applications Kept Enhanced) и планировщика пакетов fq_codel (Fair Queuing Controlled Delay), а также использование eBPF и XDP (Express Data Path) для выполнения обработчиков на уровне сетевого драйвера с возможностью прямого доступа к DMA-буферу пакетов. Алгоритм CAKE спроектирован для замены и упрощения сложной иерархии дисциплин обработки очередей пакетов, способен выжать максимально возможную пропускную способность и предоставить минимальный уровень задержек даже на самых медленных каналах связи с провайдером и при работе на маломощных устройствах. LibreQoS

LibreQoS также предоставляет средства для отслеживания задержек между отправкой запроса и получением ответа (RTT, round-trip time), в привязке к отдельным пользователям, точкам доступа и сайтам. Для анализа состояния разработан web-интерфейс, дающий возможность наглядно оценить трафик в сети, проследить изменение нагрузки и задержек, выявить наиболее активных пользователей. Возможно создание гибких иерархических схем ограничения трафика и интеграция с UISP и Splynx для маппинга топологий и клиентов.

LibreQoS устанавливается на сервер, размещаемый между граничным маршрутизатором провайдера и базовым маршрутизатором локальной сети. Один сервер с LibreQoS может выполнять урезание трафика для многих тысяч пользователей, например, сервера с 16-ядерным CPU Xeon Gold достаточно для обработки трафика клиентов ISP с пропускной способностью 11 gbit/s.

В новой версии:

• Задействована новая архитектура на основе бэкенда, написанного на языке Rust. Бэкенд включает в себя:
  • Фоновый процесс lqosd, отвечающий за загрузку и настройку программ eBPF, извлечения статистики напрямую из eBPF и предоставления шины для обмена данными между компонентами.
  • утилиту lqtop для просмотра текущей активности.
  • web-интерфейс lqos_node_manager для категоризации трафика, мониторинга, учёта состояния системы и анализа текущей активности.
  • обвязку lqos_python для организации доступа к шине из скриптов на языке Python.
  • генератор файлов конфигурации lqos_setup.
  • систему аутентификации пользователей lqos_users.
• Добавлена возможность использования ускорителя сетевых мостов на базе XDP вместо штатной подсистемы ядра bridge. В данном режиме можно добиться повышения производительности на 30%.
• Добавлена поддержка анализа пакетов и потоков трафика.
• Добавлен режим работы Single-interface, позволяющий использовать один сетевой интерфейс и VLAN-ы для для внешнего (провайдер) и внутреннего (локальная сеть) трафика.
• Предложен новый web-интерфейс с большим числом новых графиков.

1. OpenNews: Релиз ядра Linux 4.19
2. OpenNews: Представлена библиотека Aya для создания eBPF-обработчиков на языке Rust
3. OpenNews: Открыт код Remy, системы динамической генерации алгоритмов контроля перегрузки TCP
4. OpenNews: Анализ проблем с буферизацией в современных TCP/IP сетях
5. OpenNews: Проект по избавлению Linux-ядра от излишней сетевой буферизации

Основные новшества:

• Добавлена экспериментальная поддержка работы в окружении на базе протокола Wayland. Портирование находится на начальной стадии, поэтому многие возможности, доступные при запуске Cinnamon в окружении на базе X.org, пока отсутствуют или некорректно работают в сеансе на базе Wayland. При этом, при запуске в Wayland-окружении уже работает управление окнами и виртуальными рабочими столами, а также запускается большая часть приложений и компонентов, включая файловый менеджер и панель. Довести работу Cinnamon в окружении Wayland до полной готовности планируется до выпуска Linux Mint 23, который будет сформирован в 2026 году.
• Расширены возможности IPTV-проигрывателя Hypnotix, в котором появилась возможность ведения общего списка избранных телеканалов, работающего без привязки к провайдерам (можно держать все интересующие каналы в одном месте, даже если используется подключение к нескольким телевещательным провайдерам). Добавлена встроенная возможность загрузки и установки новых версий приложения yt-dlp, используемого для просмотра Youtube (в дистрибутивах обычно поставляются старые версии yt-dlp, что создаёт проблемы в случае появления в Youtube изменений, нарушающих совместимость).
• Добавлена возможность использования изображений в формате AVIF в качестве обоев рабочего стола.
• Для более эффектного смешивания цветов при формировании градиента фона (lightbox) задействован дизеринг (симуляция оттенков путём смешивания имеющихся цветов).
• Добавлена возможность изменения размера окна с редактором меню.
• В апплет управления звуком добавлен параметр для постоянного отображения индикатора отключения микрофона, независимо от активации микрофона (полезно, когда нужно отключить микрофон заранее, до запуска программы работы с ним). Реализована обработка нажатия средней кнопки мыши при удерживании клавиши Shift.
• Добавлена настройка для выбора экрана, на котором будут выводиться уведомления.
• Добавлен экранный жест для масштабирования рабочего стола.
• В контекстное меню добавлена опция для показа детальной информации о приложении.
• В сервис для создания скриншотов добавлена возможность определения цвета выбранной точки на экране.
• Отключена обработка экранных жестов при активном хранителе экрана (изменение можно трактовать как устранение уязвимости, так как жесты потенциально можно использовать для выполнения команд, несмотря на блокировку экрана).

1. OpenNews: Первые результаты портирования Cinnamon на Wayland
2. OpenNews: Выпуск пользовательского окружения Cinnamon 5.8
3. OpenNews: Ubuntu Cinnamon получил статус официальной редакции Ubuntu
4. OpenNews: Выпуск дистрибутива Linux Mint Debian Edition 6
5. OpenNews: Релиз дистрибутива Linux Mint 21.2

Для формирования сборок используются пакетные базы Debian и Ubuntu, но окружение полностью пересобирается при помощи собственной сборочной системы с включением оптимизаций для уменьшения размера, увеличения производительности и применения дополнительных механизмов защиты. Например, раздел /var/log монтируется с использованием zram и хранится в ОЗУ в сжатом виде со сбросом данных на накопитель раз в день или при завершении работы. Раздел /tmp монтируется при помощи tmpfs.

Проектом поддерживается более 30 вариантов сборок ядра Linux для разных платформ ARM и ARM64. Для упрощения создания своих системных образов, пакетов и редакций дистрибутива предоставляется SDK. Для подкачки используется ZSWAP. При входе по SSH предоставляется опция для использования двухфакторной аутентификации. В состав входит эмулятор box64, позволяющий запускать программы, собранные для процессоров на базе архитектуры x86. Предлагаются готовые пакеты для запуска пользовательских окружений на базе KDE, GNOME, Budgie, Cinnamon, i3wm, Mate, Xfce и Xmonad.

Особенности выпуска:

• Усовершенствованы правила поддержки плат, подразумевающие наличие трёх уровней поддержки: стандартный (полное сопровождение), промежуточный (staging, проверка готовности поддержки) и сопровождение сообществом. В категорию стандартной поддержки переведены платы Khadas VIM1S, Khadas VIM4, Texas Instruments TDA4VM и Xiaomi Pad 5 Pro.
• Добавлена поддержка плат Hikey 960, NanoPi R6S/R6C, TI SK-TDA4VM, Xiaomi-elish, Tanix TX6, Inovato Quadra и Mekotronics R58X-Pro.
• Предоставлена возможность выбора разных менеджеров входа (LightDM, SDDM и GDM3).
• Ядро Linux обновлено до выпуска 6.6. Добавлена возможность использования ядра 6.6 для плат NanoPi R6S/R6C.
• Обновлены настройки ядра для поддержки Waydroid и Redroid (окружения для запуска Android-приложений в дистрибутивах Linux).
• Для плат VIM1S/VIM4 включена поддержка Bluetooth.
• Улучшена работа на платах Banana Pi CM4.
• Для плат RK3588 задействовано свежее ядро Linux с экспериментальной поддержкой HDMI.
• Устранены проблемы в менеджерах экрана.
• Для плат RK3588 добавлена экспериментальная поддержка UEFI/EDK2.
• Началось формирование ежедневных сборок на базе Debian 13 ("Trixie") и Ubuntu 23.10.
• Расширены автоматизированные тесты для проверки качества сборок.

1. OpenNews: Выпуск дистрибутива Armbian 23.08
2. OpenNews: Выпуск дистрибутива Raspberry Pi OS, переведённого на Debian 12, PipeWire и Wayland
3. OpenNews: Выпуск DietPi 8.17, дистрибутива для одноплатных ПК

Прямое слияние кодовых баз Roundcube и Nextcloud не планируется, как не планируется и прекращение разработки нынешнего почтового клиента Nextcloud Mail, который продолжит разрабатываться. Отмечается, что в Nextcloud Mail и Roundcube имеются свои сильные и слабые стороны, а также различные сценарии использования. Из ближайших планов упоминается намерение нанять дополнительных разработчиков для форсирования развития Roundcube и создания на его основе полноценного продукта, подходящего широкому кругу пользователей и способного конкурировать с централизованными коммерческими аналогами.

Roundcube развивается с 2008 года и предоставляет работающий в браузере почтовый клиент (web-интерфейс), использующий для доступа к хранимой на сервере почте протокол IMAP. Оформление Roundcube приближено к классическим почтовым клиентам и использует технологию Ajax для организации асинхронного обмена данными с сервером без перезагрузки компонентов web-страницы. Интерфейс адаптируется к размеру экрана и может использоваться как на настольных системах, так и на мобильных устройствах. Предоставляется возможность настройки оформления на свой вкус через систему шаблонов.

В приложении поддерживается адресная книга, поиск сообщений, проверка правописания, обработка MIME-типов, навигация в режиме Drag&Drop, древовидное представление сообщений, предпросмотр вложений, PGP-шифрование, отображение HTML-сообщений, кэширование для быстрого доступа к почтовым папкам, расширение через плагины (например, имеется плагин с календарём-планировщиком) и другие типичные возможности обособленных почтовых клиентов. Код Roundcube написан на языке PHP и распространяется под лицензией GPLv3.

Несмотря на то, что в пресс-релизе Nextcloud продукт назван "secure mail client", безопасность Roundcube оставляет желать лучшего, например, в октябре в сети была выявлена активность злоумышленников, использующих неисправленную 0-day уязвимость (CVE-2023-5631) в Roundcube, приводящую к выполнению JavaScript-кода при открытии специально оформленного сообщения, что можно было использовать, например, для переотправки писем на сервер атакующих. Похожие XSS уязвимости в Roundcube находят регулярно, например, они исправлялись в сентябре, октябре и ноябре. Уязвимости находили и серверных частях Roundcube, например, в 2020 году были найдены проблемы, позволявшие выполнить PHP-код на сервере или узнать содержимое локальных файлов из-за отсутствия экранирования "/.." в именах плагинов и спецсимволов в запускаемой через shell-команде для преобразования изображений.

1. OpenNews: Уязвимость в Roundcube Webmail, позволяющая выполнить код на сервере
2. OpenNews: Доступен Roundcube Webmail 1.2.0 с поддержкой PGP
3. OpenNews: Доступна платформа для организации совместной работы Nextcloud Hub 5

Основные новшества:

• Добавлена возможность размещения видео, защищённых паролем. Пароль можно выставить при загрузке, импорте или обновлении, после чего только пользователи знающие пароль смогут получить доступ к контенту. Через REST API можно задавать несколько паролей (например, каждому пользователю можно выдавать отдельный пароль) и отзывать выданные пароли.
  
  
• Обеспечен показ эскизов при перемещении указателя мыши по ползунку, отражающему позицию воспроизведения, что позволяет наглядно перемещаться по потоку. Раскадровка с эскизами формируется во время загрузки или импорта видео, т.е. поддержка эскизов станет доступна только для новых видео, загруженных после обновления узла до PeerTube 6.0. Для создания эскизов к старым видео администратору следует выполнить команду "npm run create-generate-storyboard-job".
  
  
• Добавлена возможность загрузки новой версии видео, которую можно использовать для обновления видео, например, после исправления ошибки или добавления недостающей информации. После обновления старый вариант видео безвозвратно теряется и по старой ссылке становится доступен обновлённый вариант (сохраняются также комментарии и статистика). Так как возможность может использоваться для злоупотреблений, например, для подстановки рекламы после проверки, администратор должен явно включить поддержку загрузки обновлений на своей платформе.
  
  
• Добавлена возможность прикрепления оглавления к видео, позволяющего посмотреть список эпизодов и быстро переключаться между ними. Для определения эпизодов на страницу с настройками добавлена вкладка "chapters", на которой можео определить время начала и описание основных моментов в видео. Эпизоды также автоматически переносятся при импорте видео с YouTube.
  
  
• Продолжено внесение изменений и оптимизаций, подготовленных на основе стресс-тестирования live-вещания и классического стриминга видео с несколькими тысячами одновременных участников. Например, проведена оптимизация обработки unicast HTTP в рабочих потоках, заверения запросов ActivityPub, обработки рекомендаций, SQL-запросов с фильтрацией по тегам, массовых запросов /videos/{id}/views. Добавлена возможность отключения HTTP-лога.
• Удалена поддержка протокола WebTorrent, а разработка сфокусирована на использовании протокола HLS (HTTP Live Streaming) с WebRTC для P2P.
• Повышена эффективность видеопроигрывателя, в котором обеспечен автоматический выбор размера окна с учётом соотношения сторон видео, реализовано запоминание настроек и убрано перестраивание при смене видео.
• Улучшена поддержка возможностей для поисковых оптимизаторов (SEO).
• Расширены средства для людей с ограниченными возможностями.

Платформа PeerTube изначально была основана на применении BitTorrent-клиента WebTorrent, запускаемого в браузере и использующего технологию WebRTC для организации прямого P2P-канала связи между браузерами. Позднее вместо WebTorrent был задействован протокол HLS (HTTP Live Streaming) в связке с WebRTC, позволяющий адаптивно управлять потоком в зависимости от полосы пропускания. Для объединения разрозненных серверов с видео в общую федеративную сеть, в которой посетители участвуют в доставке контента и имеют возможность подписки на каналы и получения уведомлений о новых видео, задействован протокол ActivityPub. Предоставляемый проектом web-интерфейс построен с использованием фреймворка Angular.

Федеративная сеть PeerTube образуется как содружество связанных между собой небольших серверов хостинга видео, на каждом из которых имеется свой администратор и могут быть приняты свои правила. Каждый сервер с видео выполняет роль BitTorrent-трекера, на котором размещены учётные записи пользователей данного сервера и их видео. Идентификатор пользователя формируются в форме "@имя_пользователя@домен_сервера". Передача данных при просмотре осуществляется непосредственно из браузеров других посетителей, просматривающих контент.

Если видео никто не просматривает, отдача организуется сервером, на который изначально загружено видео (используется протокол WebSeed). Помимо распределения трафика между пользователями, просматривающими видео, PeerTube также позволяет узлам, запущенным авторами для первичного размещения видео, кэшировать видео других авторов, формируя распределённую сеть не только из клиентов, но и из серверов, а также обеспечивая отказоустойчивость. Имеется поддержка потокового вещания (live streaming) с доставкой контента в режиме P2P (для управления стримингом могут использоваться типовые программы, такие как OBS).

Для начала вещания через PeerTube пользователю достаточно загрузить на один из серверов видеоролик, описание и набор тегов. После этого ролик станет доступен во всей федеративной сети, а не только с сервера первичной загрузки. Для работы с PeerTube и участия в распространении контента достаточно обычного браузера и не требуется установка дополнительного ПО. Пользователи могут отслеживать активности в выбранных видеоканалах, подписавшись на интересующие каналы в федеративных социальных сетях (например, в Mastodon и Pleroma) или через RSS. Для распространения видео с использованием P2P-коммуникаций пользователь также может добавить на свой сайт специальный виджет со встроенным web-плеером.

В настоящее время для размещения контента функционирует 1122 сервера, поддерживаемых разными добровольцами и организациями. Если пользователя не устраивают правила размещения видео на определённом сервере PeerTube, он может подключиться к другому серверу или запустить свой собственный сервер. Для быстрого развёртывания сервера предоставляется преднастроенный образ в формате Docker (chocobozzz/peertube).

1. OpenNews: Выпуск децентрализованной видеовещательной платформы PeerTube 5.2
2. OpenNews: Выпуск децентрализованной видеовещательной платформы PeerTube 5.0
3. OpenNews: Выпуск libtorrent 2.0 с поддержкой протокола BitTorrent 2
4. OpenNews: WebTorrent, самодостаточный torrent-клиент, работающий внутри браузера
5. OpenNews: В libtorrent добавлена поддержка протокола WebTorrent

Уязвимости были выявлены в ходе анализа описанных в стандарте механизмов достижения прямой секретности (Forward and Future Secrecy), противодействующих компрометации сеансовых ключей в случае определения постоянного ключа (компрометация одного из постоянных ключей не должна привести к расшифровке ранее перехваченных или будущих сеансов) и повторному использованию сеансовых ключей (ключ от одного сеанса не должен быть применим к другому сеансу). Найденные уязвимости позволяют обойти указанную защиту и повторно использовать ненадёжный сеансовый ключ в разных сеансах. Уязвимости вызваны недоработками в базовом стандарте, не специфичны для отдельных Bluetooth-стеков, и проявляются в чипах различных производителей.

Предложенные методы атак реализуют разные варианты организации спуффинга классических (LSC, Legacy Secure Connections на базе устаревших криптографических примитивов) и защищённых (SC, Secure Connections на базе ECDH и AES-CCM) Bluetooth-соединений между системой и периферийным устройством, а также организации MITM-атак для соединений в режимах LSC и SC. Предполагается, что все реализации Bluetooth, соответствующие стандарту, подвержены тем или иным вариантам атаки BLUFFS. Работа метода продемонстрирована на 18 устройствах от таких компаний, как Intel, Broadcom, Apple, Google, Microsoft, CSR, Logitech, Infineon, Bose, Dell и Xiaomi.

Суть уязвимостей сводится к возможности без нарушения стандарта принудительно откатить соединение на использование старого режима LSC и ненадёжного короткого сессионного ключа (SK), через указание в процессе согласования соединения минимально возможной энтропии и игнорируя содержимое ответа с параметрами аутентификации (CR), что приводит к генерации сессионного ключа на основе постоянных входных параметров (сессионный ключ SK вычисляется как KDF от постоянного ключа (PK) и согласованных во время сеанса параметров). Например, атакующий в ходе MITM-атаки может заменить в процессе согласования сеанса параметры 𝐴𝐶 и 𝑆𝐷 на нулевые значения, а энтропию 𝑆𝐸 выставить в значение 1, что приведёт к формированию сессионного ключа 𝑆𝐾 с фактической энтропией в 1 байт (штатный минимальный размер энтропии составляет 7 байт (56 бит), что по уровню надёжности сопоставимо с подбором ключей DES).

Если атакующему в процессе согласования соединения удалось добиться использования более короткого ключа, далее он может при помощи подбора (brute force) определить постоянный ключ (PK), используемый для шифрования и добиться расшифровки трафика между устройствами. Так как в ходе MITM-атаки можно инициировать использование одного и того же ключа шифрования, если данный ключ будет подобран, то его можно задействовать и для расшифровки всех прошлых и будущих сеансов, перехваченных атакующим.

Для блокирования уязвимостей исследователем предложено внести в стандарт изменения, расширяющие протокол LMP и меняющие логику использования KDF (Key Derivation Function) при формировании ключей в режиме LSC. Изменение не нарушает обратную совместимость, но приводит к включению расширенной LMP-команды и необходимости отправки дополнительных 48 байтов. Организация Bluetooth SIG, отвечающая за разработку стандартов Bluetooth, в качестве меры защиты предложила отклонять соединения по шифрованному каналу связи с ключами, размером до 7 байт. Реализациям, всегда применяющим уровень Security Mode 4 Level 4, рекомендуется отклонять соединения с ключами, размером до 16 байт.

1. OpenNews: BIAS - новая атака на Bluetooth, позволяющая подделать сопряжённое устройство
2. OpenNews: Атака KNOB, позволяющая перехватить зашифрованный трафик Bluetooth
3. OpenNews: Уязвимость, компрометирующая шифрование в различных реализациях Bluetooth
4. OpenNews: BlueBorne - опаснейшая удалённая уязвимость в Bluetooth-стеках Linux, Android, iOS и Windows
5. OpenNews: Уязвимости в ядре Linux, удалённо эксплуатируемые через Bluetooth

Переход от системы X Window System, которой в следующем году исполнится 40 лет, к более новому стеку на базе Wayland происходит уже 15 лет, и компания Red Hat с самого начала принимает в нём активное участие. Со временем стало ясно, что протокол X11 и сервер X.org имеют фундаментальные проблемы, которые необходимо решить, и Wayland стал таким решением.

В то время как сообщество реализовывало новые возможности и устраняло недоработки в Wayland, разработка сервера X.org и инфраструктуры X11 сворачивалась. Wayland значительно улучшается, но это приводит к увеличению нагрузки на обслуживание двух стеков: возникает много новой работы для поддержки Wayland, но остаётся и необходимость обслуживания старого стека на базе X.org. В конечном счёте, подобное дробление усилий стало приводить к трудностям и желанию сосредоточиться на решении основных задач.

По мере развития и расширения возможностей Wayland компания Red Hat, совместно с различными поставщиками оборудования, программного обеспечения, клиентами, представителями индустрии визуальных эффектов (VFX) и другими проектами, пыталась понять и разработать необходимые проекты для устранения имеющихся ограничений и расширения стека Wayland. Среди подобных проектов:

• Поддержка высокого динамического диапазона (HDR) и управления цветом;
• Развитие Xwayland в качестве основы для обратной совместимости с клиентами X11;
• Разработка инфраструктуры для поддержки современных решений для удалённых рабочих столов;
• Анализ и разработка поддержки явной (explicit) синхронизации в протоколе Wayland и соответствующих проектах;
• Создание библиотеки Libei для обеспечения эмуляции и захвата ввода;
• Участие в инициативе Wakefield по обеспечению работы OpenJDK с (X)Wayland.

В начале 2023 года в рамках планирования RHEL 10 инженеры из Red Hat провели исследование, чтобы понять состояние Wayland не только с точки зрения инфраструктуры, но и с точки зрения экосистемы. В результате проведённой оценки был сделан вывод, что, несмотря на то, что ещё есть некоторые недоработки и существуют приложения, требующие определённой адаптации, в целом инфраструктура и экосистема Wayland находятся в хорошей форме и остающиеся недоработки могут быть устранены к выходу RHEL 10.

В связи с этим, решено удалить сервер X.org и другие X-серверы (кроме Xwayland) из RHEL 10 и последующих релизов. C большинством X11-клиентов, которые не будут сразу перенесены на Wayland, должен справиться Xwayland. При необходимости клиенты компании смогут остаться на RHEL 9 на весь его жизненный цикл, пока решаются вопросы перехода на экосистему Wayland. В анонсе отдельно отмечается, что "X.org Server" и "X11" не следует воспринимать как синонимы: X11 - это протокол, который будет продолжать поддерживаться через Xwayland, а X.org Server - это одна из реализаций протокола X11.

Удаление X.org Server позволит, начиная с RHEL 10, сосредоточить усилия исключительно на современном стеке и экосистеме, что даст возможность решить такие проблемы, как поддержка HDR, предоставить повышенную безопасность, возможность работать одновременно с мониторами с разной плотностью пикселей, улучшить горячее подключение видеокарт и дисплеев, улучшить управление жестами и прокрутку и т.д.

1. OpenNews: В Fedora 40 утверждено прекращение поддержки сеанса KDE на базе X11
2. OpenNews: Для GNOME предложены изменения, нацеленные на прекращение поддержки X11
3. OpenNews: Wayland использует менее 10% Linux-пользователей Firefox
4. OpenNews: Red Hat намерен прекратить развитие сервера X.Org
5. OpenNews: Рассматривается возможность прекращения в GTK5 поддержки X11

Смена значительного номера версии Weston обусловлена наличием изменений, нарушающих совместимость. Изменения в новой ветке Weston:

• Добавлена возможность загрузки сразу нескольких бэкендов, например, вместе с основным бэкендом вывода можно загрузить вторичные бэкенды vnc, rdp и pipewire.
• В бэкенды backend-vnc, backend-pipewire и backend-rdp добавлена поддержка отрисовки с использованием OpenGL.
• В оболочке для создания интернет-киосков (kiosk-shell) улучшена работа в полноэкранном режиме. Добавлена возможность создавать полноэкранные поверхности для приложений, запускаемых через xwayland.
• Добавлена поддержка совмещения (overlapping) вывода, позволяющая размещать элементы на плоскостях, показываемых на нескольких устройствах вывода.
• В оболочке desktop-shell реализована возможность ограничения области перемещения указателя (pointer confinement) на полноэкранных поверхностях.
• В бэкенде drm-backend и различных клиентах прекращена поддержка версий библиотеки libgbm до 21.1.1.
• Добавлена функция weston_view_move_to_layer() для перемещения видимой области (view) на указанный слой или удаления из графа сцены, если в качестве слоя указано значение NULL.
• Функции weston_view_set_position, weston_touch и weston_output, а также оболочки, переведены на использование структуры weston_coord.
• Добавлена функция weston_log_scopes_iterate() для перебора областей в логе.
• Удалён компонент launcher-logind, вместо которого следует использовать launcher-libseat, также поддерживающий systemd-logind.

1. OpenNews: Выпуск композитного сервера Weston 12.0
2. OpenNews: wayward - пользовательская оболочка на основе композитного сервера Weston
3. OpenNews: Доступен композитный сервер Wayfire 0.8, использующий Wayland
4. OpenNews: Доступен Wayland 1.22
5. OpenNews: Выпуск Wayland-Protocols 1.32

Delta Chat не использует собственные серверы и может работать практически через любой почтовый сервер, поддерживающий SMTP и IMAP (для быстрого определения поступления новых сообщений применяется техника Push-IMAP). Поддерживается шифрование с использованием OpenPGP и сквозное шифрования при помощи стандарта Autocrypt или децентрализованных протоколов SecureJoin. Трафик шифруется с использованием TLS в реализации штатных системных библиотек.

Delta Chat полностью контролируется пользователем и не привязан к централизованным сервисам. Для работы не требуется регистрация в новых сервисах - в качестве идентификатора можно использовать существующий email. Если корреспондент не использует Delta Chat он может прочитать сообщение как обычное письмо. Борьба со спамом осуществляется при помощи отсеивания сообщений от неизвестных пользователей (по умолчанию отображаются только сообщения от пользователей из адресной книги и тех, кому раньше отправлялись сообщения, а также ответы на собственные сообщения). Возможно отображение вложений и прикреплённых изображений и видео.

Поддерживается создание групповых чатов, в которых могут общаться несколько участников. При этом имеется возможность привязки к группе верифицируемого списка участников, не позволяющего прочитать сообщения посторонним лицам (проверка участников осуществляется по криптографической подписи, а сообщения шифруются с использованием оконечного шифрования). Подключение к верифицированным группам осуществляется через отправку приглашения с QR-кодом.

Ядро мессенджера разрабатывается отдельно в форме библиотеки и может быть использовано для написания новых клиентов и ботов. Актуальный вариант базовой библиотеки написан на языке Rust (старый вариант был написан на языке Си). Имеются биндинги для Python, Node.js и Java. В разработке неофициальные биндинги для Go. Существует DeltaChat для libpurple, который может использовать как новое Rust-ядро, так и старое Cи-ядро.

В версии 1.42 представлена новая реализация сквозного шифрования, основанная на использовании децентрализованных протоколов SecureJoin, гарантирующих защиту от перехвата начальных ключей интернет-провайдерами или администраторами серверов. Ранее применяемое сквозное шифрование было основано на механизме автоматического обмена ключами Autocrypt, который обходится без использования серверов ключей за счёт передачи ключа в первом отправленном сообщении. Соответственно, во время передачи первого сообщения ключ мог быть перехвачен в ходе MITM-атаки или действий на стороне почтового сервера.

SecureJoin решает проблемы с компрометацией сеанса сквозного шифрования в ходе MITM-атак и предоставляет защиту от совершения вредоносных действий на уровне транзитных сетей и почтовых серверов. Новый метод основан на использовании QR-кодов для верификации пользователей и настройки ключей шифрования. После сканирования QR-кода в приложении создаётся чат с группой из двух участников (1:1), помеченной специальной "зелёной меткой" и позволяющей отправлять и принимать шифрованные сообщения, защищённые от транзитного перехвата. В дальнейшем через отправку приглашений с QR-кодом к группе могут быть подключены дополнительные участники.

Другие изменения:

• Между всеми устройствами пользователя обеспечена синхронизация действий, связанных с принятием/блокировкой, архивированием, закреплением и отключением уведомлений.
• В версии для настольных систем включено сжатие отправляемых изображений.
• В версии для настольных систем реализована общая галерея (Global Gallery) с изображениями, документами и мультимедийными файлами из всех чатов.
• В расширенные настройки версии для Android добавлена опция для включения реакций.

1. OpenNews: Выпуск DeltaTouch 1.0.0, клиента Delta Chat для Ubuntu Touch
2. OpenNews: Доступен мессенджер Delta Chat 1.22
3. OpenNews: Delta Chat получил от Роскомнадзора требование о доступе к данным пользователей
4. OpenNews: Мессенджер Signal возобновил публикацию серверного кода и интегрировал криптовалюту

После полного открытия исходных текстов (код ThreadX был доступен и до этого, но под ограничивающей лицензией), запланированного на январь 2024 года, продукт перейдёт под покровительство некоммерческой организации Eclipse Foundation и будет развиваться под именем Eclipse ThreadX в виде независимого совместного проекта, не привязанного к отдельным поставщикам. Предполагается, что перевод проекта на независимую площадку позволит привлечь к разработке новых участников и подстегнуть развитие платформы и связанной с ней экосистемы. О присоединении к совместному проекту уже заявили компании AMD, Cypherbridge, NXP, PX5, Renesas, ST Microelectronics, Silicon Labs и Witekio (Avnet).

Операционная система Eclipse ThreadX в минимальной сборке занимает всего 2 КБ, способна работать на чипах с 1 КБ оперативной памяти, обеспечивает переключение контекста за доли микросекунд и загрузку за 120 процессорных циклов. Среди возможностей ThreadX: архитектура на базе пикоядра, планировщики для вытесняющей многозадачности (на базе приоритетов) и кооперативной многозадачности, механизм минимизации переключений контекста за счёт отключения вытеснения задач до указанного порогового приоритета, поддержка связывания событий (event chaining), большой набор подключаемых системных сервисов, очень быстрая обработка прерываний, дополнительная оптимизация обработки прерывания от таймера, средства управления памятью c поддержкой MMU/MPU, защита памяти, механизм обмена сообщениями и организации обмена данными между потоками, доставка уведомлений о событиях, механизмы синхронизации потоков, поддержка мьютексов и семафоров.

Помимо кода операционной системы будут открыты и переданы Eclipse сопутствующие компоненты:

• NetX Duo - сетевой стек, рассчитанный на использование в системах реального времени и устройствах интернета вещей (IoT). Поддерживаются IPv4, IPv6, TCP, UDP, ICMP, TLS, DTLS, IPsec, PPPoE, DHCP, DNS, HTTP, IGMP, POP3, SMTP, SNMP, MQTT, CoAP, LWM2M.
• USBX - USB-стек с поддержкой клиентского, хостового (EHCI, OHCI) и OTG (on-the-go) режимов.
• FileX - файловая система, совместимая с FAT (FAT12/16/32 и exFAT) и полностью интегрируемая в ядро ThreadX.
• LevelX - реализация алгоритма выравнивания износа (Wear Leveling) для ФС FileX, позволяющая продлить время жизни Flash-накопителей.
• GUIX - библиотека для создания встраиваемых графических интерфейсов пользователя.
• GuiX Studio - среда проектирования, позволяющая создавать графические элементы для библиотеки GUIX и автоматически генерировать Си-код для запуска в окружении ThreadX.
• TraceX - инструмент для трассировки, предоставляющий графический интерфейс для отслеживания и анализа событий в режиме реального времени.

Поддерживается работа на большинстве популярных микроконтроллеров и процессоров, включая многоядерные процессоры x86, MIPS, RISC-V и ARM, а также чипы от STM, NXP, Qualcomm, Renesas, Texas Instruments и Microchip. Предоставляются прослойки для обеспечения совместимости с FreeRTOS, POSIX и OSEK. Система сертифицирована для использования на критических важных системах, требующих особого уровня надёжности, признана соответствующей требованиям стандартов безопасности и надёжности IEC 61508, IEC 62304, ISO 26262, EN 50128 и EAL4+ Common Criteria.

Связанные с сертификацией компоненты также переданы организации Eclipse и будут доступны под открытой лицензией на условиях не требующих выплаты отчислений (royalty-free). Имеющиеся сертификаты позволяют использовать Eclipse ThreadX на химических производствах, системах для нефтегазовой отрасли, электростанциях, аэрокосмической промышленности, железной дороге, автомобильных системах (включая чипы управления двигателем, системы помощи при вождении и автопилоты) и медицинских устройствах.

1. OpenNews: Уязвимость в прошивках Marvell Avastar, позволяющая атаковать различные устройства через WiFi
2. OpenNews: Доступна операционная система реального времени RT-Thread 5.0
3. OpenNews: Выпуск свободной операционной системы реального времени Zephyr 1.8
4. OpenNews: Релиз свободной операционной системы реального времени BeRTOS 2.5
5. OpenNews: FreeRTOS перешёл под крыло Amazon и выпущен под лицензией MIT

PipeWire предоставляет возможности для обработки любых мультимедийных потоков, способен смешивать и перенаправлять потоки с видео, может применяться для управления источниками видео, такими как устройства захвата видео, web-камеры или выводимое приложениями содержимое экрана. Например, PipeWire даёт возможность организовать совместную работу нескольких приложений с веб-камерой и решает проблемы с безопасным захватом содержимого экрана и удалённым доступом к экрану в окружении Wayland.

PipeWire также может выступать в роли звукового сервера, обеспечивающего минимальные задержки и предоставляющего функциональность, комбинирующую возможности PulseAudio и JACK, в том числе учитывающую потребности систем профессиональной обработки звука, на которую не мог претендовать PulseAudio. Кроме того, PipeWire предлагает расширенную модель безопасности, позволяющую управлять доступом на уровне отдельных устройств и конкретных потоков, и упрощающую организацию проброса звука и видео из изолированных контейнеров и в них. Одной из главных целей является поддержка самодостаточных приложений в формате Flatpak и работа в графическом стеке на базе Wayland.

Основные возможности:

• Захват и воспроизведение звука и видео с минимальными задержками;
• Средства для обработки видео и звука в режиме реального времени;
• Многопроцессная архитектура, позволяющая организовать совместный доступ к контенту нескольких приложений;
• Модель обработки на основании графа мультимедийных узлов с поддержкой циклов обратной связи и атомарных обновлений графа. Допускается подключение обработчиков как внутри сервера, так и внешних плагинов;
• Эффективный интерфейс доступа к видеопотокам через передачу файловых дескрипторов и доступа к звуку через совместно используемые кольцевые буферы (shared ringbuffer);
• Возможность обработки мультимедийных данных от любых процессов;
• Наличие плагина к GStreamer для упрощения интеграции с существующими приложениями;
• Поддержка изолированных окружений и Flatpak;
• Поддержка плагинов в формате SPA (Simple Plugin API) и возможность создания плагинов, работающих в режиме жесткого реального времени;
• Гибкая система согласования используемых мультимедийных форматов и выделения буферов;
• Использование одного фонового процесса для маршрутизации звука и видео. Возможность работы в форме звукового сервера, хаба для предоставления видео приложениям (например, для gnome-shell screencast API) и сервера для управления доступом к аппаратным устройствам захвата видео.

Из изменений по сравнению с веткой 0.3 отмечается включение по умолчанию поддержки jackdbus, позволяющей использовать PipeWire в качестве полноценного клиента звуковой системы JACK. Для ALSA задействовано планирование на базе IRQ в профиле Pro-Audio, позволяющее добиться задержек на уровне JACK. Добавлена поддержка одновременно старой и новой версии webrtc-audio-processing. В pw-cat добавлена поддержка файлов DFF DSD. Добавлена поддержка платформы GNU/Hurd.

1. OpenNews: Ubuntu 22.10 перейдёт на обработку звука при помощи PipeWire вместо PulseAudio
2. OpenNews: Выпуск дистрибутива Raspberry Pi OS, переведённого на Debian 12, PipeWire и Wayland
3. OpenNews: Доступен мультимедийный сервер PipeWire 0.3, идущий на смену PulseAudio
4. OpenNews: Представлен мультимедийный сервер PipeWire, идущий на смену PulseAudio

Основные изменения:

• Проведена реорганизация структуры файловой системы - все исполняемые файлы и библиотеки из корневых директорий перенесены в раздел /usr (каталоги /bin, /sbin и /lib* оформлены как символические ссылки на соответствующие каталоги внутри /usr).
• Компилятор Clang, используемый для сборки пакетов, обновлён до ветки LLVM 17. Для сборки всех компонентов дистрибутива можно обойтись только Clang, в том числе доступен вариант пакета с ядром Linux, собранный в Clang.
• Обновлены системные пакеты, в том числе ядро Linux 6.6.2, systemd 254.5, GCC 13.1, glibc 2.38, binutils 2.41, инсталлятор Calamares 3.2.62.
• Обновлены компоненты рабочего стола и графического стека: KDE Plasma 5.27.9, KDE Frameworks 5.112, KDE Gear 23.08.3, LXQt 1.4, Qt 5.15.11, Xorg 21.1.9, Wayland 23.2.2, Mesa 23.3.0 rc4.3
• Обновлены пользовательские приложения: LibreOffice 7.6.3, Falkon 23.08.3, Firefox 120, Chromium 119, Krita 5.2.1, GIMP 2.10.36, Calligra Suite 3.3.0, Digikam 8.1.0, SMPlayer 23.6.0, VLC 3.0.18, VirtualBox 7.0.12a, OBS Studio 30.0.0.
• Возобновлена поддержка установки на разделы с ФС BTRFS и XFS.
• Помимо предлагаемого по умолчанию пакетного менеджера dnf4 в качестве альтернатив предложены dnf5 и zypper.
• Добавлена поддержка пакетов в формате Flatpak.
• Началось формирование урезанной сборки с KDE и cборки с пользовательским окружением LXQt.
• Обновлены развиваемые для OpenMandriva приложения OM Welcome, OM Control Center, Repository Selector (repo-picker), Update Configuration (om-update-config).
• Как и ранее в сборках присутствует конфигуратор Desktop Presets (om-feeling-like), предлагающий набор преднастроек, позволяющих придать рабочему столу KDE Plasma внешний вид других окружений (например, сделать похожим на интерфейс Ubuntu, Windows 7, Windows 10, macOS, Plasma).
• Продолжается работа над портом для архитектуры RISC-V, который возможно войдёт в состав релиза 6.0.

1. OpenNews: Выпуск дистрибутива Mageia 9, форка Mandriva Linux
2. OpenNews: Выпуск дистрибутива OpenMandriva ROME 23.08
3. OpenNews: Релиз дистрибутива OpenMandriva Lx 4.3
4. OpenNews: Опубликованы сборки дистрибутива OpenMandriva с пользовательским окружением LXQt
5. OpenNews: Релиз дистрибутива OpenMandriva Lx 4

Всего выделено более 150 типов утечек конфиденциальной информации, среди которых обычные пароли, криптографические ключи, токены доступа к облачным сервисам, системам непрерывной интеграции и API. Как минимум 768 учётных данных оставались действующими на момент проведения исследования. В качестве примера популярных утечек, сохраняющих актуальность, упоминаются ключи доступа к Azure Active Directory, учётные данные к SSH, MongoDB, MySQL и PostgreSQL, ключи к GitHub OAuth App, Dropbox и Auth0, параметры входа в Coinbase и Twilio.

Из набирающих популярность типов утечек упоминаются токены для доступа к ботам в Telegram, число которых удвоилось в начале 2021 года и затем ещё раз удвоилось весной 2023 года. Постоянный рост утечек также фиксируется с 2020 года для ключей доступа к Google API, а с 2022 года - учётных данных к СУБД. Из пакетов, лидирующих по числу утечек, упоминаются пакеты chatllm и safire, в которых были забыты 209 ключей к OpenAI и 320 ключей к Google Cloud.

Среди типов файлов, в которых выявлено наибольшее число утечек, помимо файлов с расширением ".py", отмечаются файлы с расширением .json (610 утечек), .md (270), PKG-INFO (240), METADATA (210), .txt (170), а также файлы README (209) и файлы из каталогов с именем test (675). Много утечек также связано с недосмотром и ошибками с настройкой исключения файлов при формировании пакетов. Например, файлы с локальными файлами конфигурации (.cookiecutterrc, .env, .pypirc и т.п.) могут исключаться из Git-репозитория через файл ".gitignore", который не учитывается при создании пакета. В частности, в репозитории было найдено 43 файла .pypirc, содержащих учётные данные для доступа к PyPI. В 15 случаях утечек разработчики не планировали публично размещать пакеты, изначально созданные для внутреннего использования, но опубликовали их в PyPI по ошибке.

Дополнительно можно упомянуть ещё два события, связанных с PyPI:

• В репозитории PyPI выявлены 8 вредоносных пакетов, преподносимых как утилиты для обфускации, т.е. приведения кода к нечитаемому виду, усложняющему восстановление алгоритма работы. Выявленные пакеты содержали в названиях строку "pyobf" (Pyobftoexe, Pyobfusfile, Pyobfexecute, Pyobfpremium, Pyobflight, Pyobfadvance, Pyobfuse и pyobfgood) и были загружены более 2000 раз.

  Интегрированный в пакеты вредоносный код был специфичен для платформы Windows и позволял подключаться к внешнему управляющему серверу, запускать произвольные команды на компьютере разработчика, находить и отправлять на внешний сервер конфиденциальную информацию, такую как ключи доступа, а также передавать произвольные файлы с системы. Кроме того, вредоносный код мог выполнять функции кейлоггера, перехватывать вводимые в Chrome пароли, создавать скриншоты, записывать звук и даже управлять web-камерой.

• Опубликованы результаты независимого аудита кодовой базы инструментария, применяемого для организации работы репозитория pypi.org, и фреймворка "cabotage", задействованного в инфраструктуре для оркестровки контейнеров. Аудит проведён при поддержке некоммерческой организации OTF (Open Technology Fund). В ходе аудита не выявлено проблем с высоким уровнем опасности, а исходные тексты признаны отвечающими основным требованиям к безопасному написанию кода. При этом отмечен недостаточный охват тестами кодовой базы cabotage и выявлено 29 проблем, из которых восьми присвоен умеренный уровень опасности, 6 - низкий, а 14 помечены как информирующие замечания.

  Наиболее заметные проблемы:

  • Недостаточная проверка цифровых подписей, используемых для интеграции PyPI с AWS SNS, позволяла отправлять уведомления на email отдельных пользователей.
  • Утечка информации в обработчике загрузок, позволяющая определить существование учётной записи без генерации событий о попытках входа.
  • Применение ненадёжных криптографических хэшей, не исключающих атаки по отравлению кэша.
  • При наличии прав запуска процессов сборки через cabotage, атакующий потенциально мог добиться подстановки своих команд.
  • При наличии прав развёртывания (deployment) в cabotage, атакующий потенциально мог развернуть легитимно выглядящий образ.

1. OpenNews: 46% Python-пакетов в репозитории PyPI содержат потенциально небезопасный код
2. OpenNews: В публичных логах Travis CI выявлено около 73 тысяч токенов и паролей открытых проектов
3. OpenNews: Анализ утечек конфиденциальных данных через репозитории на GitHub
4. OpenNews: Новый поиск на GitHub привёл к выявлению забытых в репозиториях конфиденциальных данных
5. OpenNews: GitHub реализовал проверку утечки конфиденциальных данных в репозиториях