До ветки 8.x проект развивал собственный дистрибутив для быстрого развёртывания типовых серверов, основанный на CentOS, а начиная с выпуска NethServer 8 трансформирован в универсальную платформу, устанавливаемую поверх дистрибутивов Rocky Linux 9, CentOS Stream 9, AlmaLinux 9 и Debian 12. Вместо установки компонентов в форме RPM-пакетов в NethServer 8 задействован запуск в изолированных контейнерах самодостаточных образов с различными серверными приложениями. Код платформы написан на языках Vue, Go и Python, и распространятся под лицензией GPLv3. Для установки в облачных окружениях и виртуальных машинах поставляются готовые сборки в форматах qcow2 (QEMU/Proxmox) и vmdk (VMWare), сформированные на базе Rocky Linux 9.

Приложения в контейнерах могут запускаться на разных хостах и управляться через один централизованный web-интерфейс. Узлы связываются между собой через шифрованный VPN. Установка и введение в строй выбранных серверных компонентов производится в один клик и не требует знания особенностей настройки каждого сервиса. Поддерживается перенос контейнеров с приложениями между хостами. Резервные копии с данными запущенных приложений и настройками кластера могут сохраняться как на локальных накопителях, так на на внешних хранилищах, таких как Amazon S3, Backblaze B2 и Microsoft Azure. Для организации работы инфраструктуры используются Podman, WireGuard, firewalld и OpenLDAP.

Для установки предлагаются модули для быстрого запуска почтового сервера (Postfix, Dovecot, Rspamd, ClamAV), системы совместной работы (Collabora Online или NextCloud), сервера телефонии (Asterisk), SIP-сервера, системы обмена сообщениями (Mattermost), web-сервера (Nginx, PHP, SFTPGo), платформы взаимодействия с клиентами (Odoo), СУБД (MariaDB, PostgreSQL), Wiki (DokuWiki), системы обнаружения вторжений (CrowdSec), контроллера домена Active Directory (Samba), облачного хранилища (MinIO) и т.п. Возможен запуск на одном узле разных версий одного приложения.

Среди изменений в новой версии:

• В центре установки приложений предоставлена возможность установки файлового сервера на базе Samba и его настройки для работы в качестве члена контроллера домена Active Directory. Для определения наличия сервера в сети задействован сервис WSDD. Обеспечена визуализация состояния в форме графиков.
• В раздел настроек добавлена новая секция "Metrics", через которую можно настроить визуализацию при помощи Grafana и отправку уведомлений о сбоях на email. Для сбора и хранения метрик задействованы Prometheus и Loki. Добавлена визуализация всплесков активности в логах.
• В модуль с почтовым сервером добавлена возможность доставки всех писем, приходящих на определённый домен, на адрес одного пользователя или группы.
• Улучшен интерфейс управления TLS-сертификатами. В процедуру запроса сертификата добавлены проверки, для исключения запросов уже используемых имён.
• Реализована опция для добавления завершающего слэша к HTTP-маршрутам.
• Обновлены версии Webtop 5.28.6, PEC Bridge 5.4.8, NethVoice 1.3.4, Nextcloud 31, Collabora 25, Roundcube 1.6.11, SOGo 5.12, Mattermost 10.5.5, PostgreSQL 17.5, Netdata 2.4, Crowdsec 1.6.8, Ejabberd 25.4.

1. Главная ссылка к новости
2. OpenNews: Релиз дистрибутива для создания межсетевых экранов NethSecurity 8.3
3. OpenNews: Доступен серверный дистрибутив NethServer 7.9
4. OpenNews: Выпуск инструментариев для управления контейнерами LXC 6.0, Incus 6.0 и LXD 5.21.1
5. OpenNews: Amazon адаптировал инструментарий управлениями контейнерами Finch для работы в Linux
6. OpenNews: Выпуск Proxmox VE 8.4, дистрибутива для организации работы виртуальных серверов

Отмечается, что в дальнейшем Mesa планируют избавить и от поддержки других механизмов, потерявших актуальность после появления DMA-BUF. В частности, планируется прекратить поддержку EGL-расширения EGL_WL_bind_wayland_display, реализованного для Wayland. Для обмена пиксельными буферами между клиентом и сервером Wayland предлагается использовать Wayland-протокол linux_dmabuf. Поддержку EGL_WL_bind_wayland_display планируют отключить по умолчанию и активировать только при указании сборочного флага "legacy-wayland", после чего удалить через несколько выпусков.

1. Главная ссылка к новости
2. OpenNews: Релиз Mesa 25.1, свободной реализации OpenGL и Vulkan
3. OpenNews: Проект Mesa заменил OpenGL-драйвер Nouveau на Zink для новых GPU NVIDIA
4. OpenNews: Доступен Wayland 1.24

Пользователям NixOS в качестве альтернативы предлагается воспользоваться механизмом оверлеев, который даёт возможность заменить оригинальный X.Org Server на любой другой пакет, включая XLibre. В этом случае пользователь сам ответственен за устранение всех проблем, которые могут возникнуть на его системе. О состоянии поддержки XLibre в других дистрибутивах можно ознакомиться на странице "Are We XLibre Yet", которая периодически обновляется авторами форка.

1. Главная ссылка к новости
2. OpenNews: Разработчик KWin объявил альтернативные X-серверы нежелательными в KDE
3. OpenNews: Дистрибутив Artix Linux начал поставку сборок с XLibre, форком X.Org Server
4. OpenNews: Релиз XLibre 25.0, форка X.Org Server
5. OpenNews: Проект X11Libre создал форк X.Org Server, избавленный от влияния корпораций
6. OpenNews: Разработчики САПР KiCad раскритиковали Wayland и рекомендовали использовать X11

Фактически при использовании AI-помощника на решение задачи в среднем было потрачено на 19% больше времени, в то время как участники полагали, что благодаря AI смогли выполнить работу на 20% быстрее, а до начала работы считали, что AI поможет им ускорить работу на 24%. Результаты также значительно расходятся с прогнозами экспертов в области экономики и машинного обучения, которые предсказывали экономию времени при использовании AI на 39% и 38%, соответственно.

В ходе эксперимента 16 разработчикам открытых проектов, имеющим средний опыт работы с AI-инструментами, было предложено решить 246 задач, связанных с исправлением ошибок и добавлением новых возможностей. Задачи были сформированы на основе реальных issue в GitHub-репозиториях проектов, с которыми у выбранных разработчиков был опыт работы не менее 5 лет. Случайным образом часть задач предлагалось решить вручную, а часть с использованием любого AI-помощника на выбор разработчика (большинство предпочли редактор кода Cursor с моделью Claude 3.5/3.7 Sonnet).

В эксперимент, который проводился с февраля по июнь 2025 года, были вовлечены такие открытые проекты, как mito, stdlib, ghc, cabal, flair, jsdom, hypothesis, trieve, scikit-learn, gpt-neox и transformers. В среднем задействованные проекты имели 23 тысячи звёзд на GitHub, 1.1 млн строк кода, 20 тысяч коммитов и 710 участников.

Упоминаются следующие возможные причины замедления решения задач при использовании AI:

• Низкое качество AI-рекомендаций - разработчики приняли менее 44% от сгенерированных AI предложений и потратили много времени на их чистку и проверку.
• Излишний оптимизм в плане полезности AI и завышенные ожидания от возможностей AI-инструментов.
• Большой опыт работы участников с репозиториями, для которых решались задачи. Разработчики очень хорошо ориентировались в проектах и помощь AI в этой ситуации не представляла ценности.
• В эксперименте использовались слишком крупные и сложные репозитории, с которыми AI работает хуже.
• Неявный контекст репозитория - AI не понимал контекст, в котором работал.

Итоговый вывод: при использовании AI-инструментов разработчики тратят меньше времени на написание кода, поиск информации и чтение документации, но данная экономия сводится на нет из-за повышенных затрат времени на формирование запросов к AI, разбор подсказок, ожидание результата, рецензирование предложений и бездействие. Вместо генерации кода время уходит на взаимодействие с AI, изучение результатов и проверку предложенного кода. Не исключено, что при участии в эксперименте менее опытных разработчиков, не столь ответственно относящихся к проверке кода или работающих с незнакомой кодовой базой, были бы получены иные показатели эффективности разработки.

Дополнительно можно отметить опрос 609 разработчиков, применяющих AI при написании кода, проведённый компанией Qodo. 78% отметили увеличение производительности труда после применения AI, 60% отметили повышение общего качества кода благодаря AI, 20% указали на снижение качества кода после применения AI. При этом 76% отметили, что они не задействуют код от AI без предварительного ручного рецензирования. В статье также отмечается, что отдельные разработчики чувствуют себя значительно лучше при использовании AI, так как могут предоставить больше кода, но ценой этого становится увеличение нагрузки на тех, кто отвечает за приём кода в проекты, рецензирование изменений и проверку качества.

1. Главная ссылка к новости
2. OpenNews: Применение книг для обучения AI-моделей признано добросовестным использованием
3. OpenNews: Компания SUSE открыла AI-модель для анализа лицензионной чистоты кода
4. OpenNews: Удалённая уязвимость в модуле ksmbd ядра Linux, выявленная при помощи AI
5. OpenNews: Mistral AI опубликовал Devstral, большую языковую модель для работы с кодом
6. OpenNews: Google использовал большую языковую модель для выявления уязвимости в SQLite

• В конфигуратор добавлена поддержка настройки вращающихся регуляторов на графических планшетах. Подобные круглые регуляторы обычно используются в графических редакторах для масштабирования холста или изменения размера кистей, но в KDE дополнительно предоставлена возможность их использования как аналога колеса мыши для прокрутки содержимого или как аналога клавиш управления курсором для перемещения вверх и вниз.
• В функцию показа QR-кода с параметрами подключения к текущей беспроводной сети добавлена возможность просмотра пароля доступа (для того чтобы узнать пароль больше не нужно отдельно переходить в конфигуратор).
• Настройки местоположения, применяемые для определения времени восхода и заката солнца, вынесены в конфигураторе на отдельную страницу, на которой собраны настройки дневного и ночного циклов. Подобные циклы применяются для автоматической смены светлой и тёмной версий обоев рабочего стола, а также для активации ночного режима, уменьшающего интенсивность синего цвета на экране для снижения напряжения глаз и сокращения факторов возникновения бессонницы при работе перед сном. В будущем настройки будут задействованы для автоматической смены темы оформления и цветовой схемы.
• Запись скринкастов отдельных окон теперь охватывает заголовок, рамки и тени окна.
• В ветке KDE Frameworks 6.17 сокращено число обработчиков событий в KQuickStyleItem и оптмизирована синхронизация состояния темы оформления. Изменения привели к небольшому повышению производительность всех приложений KDE, использующих QtQuick, включая конфигуратор, менеджер приложений и программу для создания скриншотов.

1. Главная ссылка к новости
2. OpenNews: Разработчик KWin объявил альтернативные X-серверы нежелательными в KDE
3. OpenNews: Сравнение производительности сеансов KDE Plasma на базе X11 и Wayland
4. OpenNews: Проект KDE развивает собственную виртуальную клавиатуру
5. OpenNews: Релиз среды рабочего стола KDE Plasma 6.4
6. OpenNews: Планы KDE по прекращению поддержки сеанса X11

В качестве основы используется библиотека wlroots, развиваемая разработчиками пользовательского окружения Sway и предоставляющая базовые функции для организации работы композитного менеджера на базе Wayland. Возможно подключение надстроек с реализацией таких функций, как создание скриншотов, отображение обоев на рабочем столе, размещение панели и меню. Для запуска X11-приложений в окружении на базе протокола Wayland поддерживается использование DDX-компонента XWayland. Тема оформления, базовое меню и горячие клавиши настраиваются через файлы конфигурации в формате xml. Имеется встроенная поддержка экранов с высокой плотностью пикселей (HiDPI).

Помимо встроенного корневого меню, настраиваемого через файл menu.xml, можно подключить сторонние реализации меню приложений, такие как bemenu, fuzzel и wofi. В качестве панели можно использовать Waybar, sfwbar, Yambar или LavaLauncher. Для управления подключением мониторов и изменением их параметров предлагается использовать wlr-randr или kanshi. Блокировка экрана осуществляется при помощи swaylock. Композитный менеджер задействован в графическом окружении дистрибутива Raspberry Pi OS и опционально поддерживается в средах рабочего стола Xfce и LXQt.

В новой версии:

• Добавлена поддержка возможностей нового выпуска библиотеки wlroots 0.19, таких как реализация новых протоколов Wayland, поддержка Multi-GPU и возможность явной синхронизации буферов при помощи объектов синхронизации DRM (Direct Rendering Manager).
• Обеспечена поддержка Wayland-протоколов:
  • ext-data-control - позволяет привилегированным клиентам управлять обработкой данных, например, для реализации менеджеров буфера обмена.
  • alpha-modifier - позволяет клиентам менять уровень прозрачности поверхности и выносить операции по обеспечению прозрачности на сторону композитного сервера.
  • xdg-toplevel-icon - реализует привязку пиктограммы к окну верхнего уровня.
  • drm-syncobj" - предоставляет инструменты для явной синхронизации буферов при помощи объектов синхронизации DRM (Direct Rendering Manager).
  • ext-image-copy-capture - организация захвата контента, выводимого на экран.
• Добавлена команда "lab-sensible-terminal" для запуска эмулятора терминала (программа выбирается на основе переменной окружения $TERMINAL). В корневое меню добавлен пункт для вызова терминала.
• Добавлена поддержка градиентной заливки области заголовка окна. Для настройки градиента предложены опции:
  • window.*.title.bg: Solid | Gradient ( Vertical | SplitVertical )
  • window.*.title.bg.colorTo:
  • window.*.title.bg.color.splitTo:
  • window.*.title.bg.colorTo.splitTo:
• В вывод при запуске с опциями "-v" ("--version") добавлена информация о поддерживаемых возможностях, например "+xwayland -rsvg".
• Обеспечена отправка ресурсов DRM (Direct Rendering Manager Leases) клиентам XWayland.
• Добавлена настройка <windowRule iconPriority="client|server"> для выбора приоритетного метода поиска пиктограмм.
• Добавлена поддержка цветовых тем, определённых с использованием синтаксиса X11-color-names и '#rgb'.
• Реализована поддержка XWayland-свойства _NET_WM_ICON и добавлено правило iconPriority для включения его поддержки.
• Добавлена настройка "<core><primarySelection>", позволяющая использовать автопрокрутку средним колесом мыши в Chromium и приложениях на платформе Electron без непреднамеренной вставки данных из буфера обмена.
• Обновлены поддерживаемые версии Wayland-протоколовp xdg_shell и wl_compositor.
• Добавлена поддержка вспомогательных кнопок на мышах.
• Добавлены настройки для libinput:
  • "<threeFingerDrag>"
  • "<dragLock>sticky</dragLock>"
  • "<scrollMethod>none|twofinger|edge</scrollMethod>"
• Добавлены параметры "{left,right}-occupied" для упрощения навигации между виртуальными рабочими столами, на которых имеются открытые окна.
• Добавлена настройка "<theme><dropShadowsOnTiled>" для включения показа тени для мозаичных окон.
• Добавлена поддержка эмуляции прокрутки колесом мыши, для управления которой предложены параметры EnableScrollWheelEmulation, DisableScrollWheelEmulation и ToggleScrollWheelEmulation.

1. Главная ссылка к новости
2. OpenNews: Выпуск labwc 0.8.0, композитного сервера для Wayland
3. OpenNews: Релиз среды рабочего стола Xfce 4.20 c частичной поддержкой Wayland
4. OpenNews: Опубликована среда рабочего стола LXQt 2.2.0
5. OpenNews: Новая версия дистрибутива Raspberry Pi OS
6. OpenNews: Доступен Wayland 1.24

Наиболее важные изменения:

• В драйвере для X11 (winex11) добавлена опция для использования при отрисовке нового бэкенда OpenGL, использующего EGL.
• Добавлена поддержка сервисов Bluetooth Low Energy.
• В реализации языка описания интерфейса WIDL (Wine Interface Definition Language) расширена поддержка генерации метаданных Windows Runtime (WinRT).
• В системе непрерывной интеграции на базе Gitlab обеспечена сборка для архитектуры ARM64.
• Компоненты FAudio с реализацией звуковых библиотек DirectX (API XAudio2, X3DAudio, XAPO и XACT3) обновлены до выпуска 25.07.
• Закрыты отчёты об ошибках, связанные с работой приложений: cmd.exe, Clip Studio Paint 3.0, HDX server, FindVUK, Total Commander 11.55.
• Закрыты отчёты об ошибках, связанные с работой игр: Train capacity 300% 2, Soldier of Fortune II, Betfair Poker.

1. Главная ссылка к новости
2. OpenNews: Выпуск Wine 10.11 и Wine staging 10.11

Начиная с одиннадцатой версии дистрибутив выпускается в двух редакциях - virtualization-pve и virtualization-one, базирующихся на платформах Proxmox Virtual Environment (PVE) и OpenNebula. На данный момент для загрузки доступна только редакция PVE, использующая инструменты, поставляемые дистрибутивом Proxmox VE, и предназначенная для управления виртуальными машинами и контейнерами при помощи гипервизора KVM и инструментария LXC (инструменты контейнеризации Kubernetes, Docker, CRI-O и Podman перенесены в дистрибутив "Альт Сервер").

Основные изменения:

• Обновлены версии системных компонентов, таких как ядро Linux 6.12, GCC 13, systemd 255 и Glibc 2.38.
• Обновлены версии компонентов PVE 8.4, LXC 6.0, QEMU 92, Ceph 19.2, OpenSSL 3.3, Proxmox Backup Client 3.3, Openvswitch 3.3, Corosync 3.1, Glusterfs 11.1, ZFS 2.3.
• Переработан инсталлятор, который теперь создаёт при установке логический раздел LVM Thin Pool и позволяет получить полностью сконфигурированный узел Proxmox VE, готовый для создания виртуальных машин и контейнеров.
• Улучшен веб-интерфейс Proxmox VE, в который добавлены возможности для обновления дистрибутива,управления пакетами и импорта виртуальных машин из хранилищ VMware ESXi.
• По умолчанию в хост-окружении задействован сервис tuned, выполняющий автоматическую оптимизацию настроек оборудования и ядра в зависимости от текущей нагрузки.
• Предоставлена возможность включения прямого доступа из гостевой системы к USB- и PCI-устройствам, а также каталогам хост-окружения.
• Добавлена поддержка программно-определяемых сетей (SDN).

1. Главная ссылка к новости
2. OpenNews: Выпуск дистрибутива Альт Образование 11.0
3. OpenNews: Выпуск дистрибутива Альт Сервер 11.0
4. OpenNews: Выпуск дистрибутива Альт Рабочая станция К 11.0
5. OpenNews: Опубликована одиннадцатая платформа ALT
6. OpenNews: Экспериментальные сборки ALT Linux для процессоров Loongarch64 и смартфона Pinephone Pro

Работа организуется через включение в код браузерных дополнений открытой JavaScript-библиотеки mellowtel.js, поставляемой под лицензией LGPLv3. Библиотека развивается проектом Mellowtel, продвигающим новую платформу монетизации, которая кроме браузерных дополнений может применяться в программах на базе фреймворков Flutter и Electron. Основная идея платформы в том, что разработчики браузерных дополнений и приложений могут зарабатывать деньги не через показ рекламы или сомнительные методы, такие как продажа данных, ущемляющих приватность пользователей, а через выполнение задач по индексации web-контента для обучения AI-систем.

Потребность AI-компаний в данных для обучения моделей привела к появлению многочисленных ботов, индексирующих сайты без разумного ограничения интенсивности отправки запросов и игнорируя правила индексирования robots.txt. Так как данные боты создают огромную паразитную нагрузку на серверы, нарушают нормальную работоспособность систем и отнимают время администраторов, последнее время их начинают активно блокировать. Например, сеть доставки контента Cloudflare реализовала опцию для блокирования подобных ботов по умолчанию, а многие проекты внедрили систему защиты от ботов Anubis, допускающую вход только после подбора на языке JavaScript значения, хэш SHA-256 от которого в сочетании с выданной сервером строкой содержит определённое число лидирующих нулей (данная задача требует ресурсов CPU для решения, но не требует ресурсов для проверки).

AI-компании готовы платить за индексацию и платформа Mellowtel предоставила возможность удовлетворить подобную потребность через вовлечение обычных пользователей в процесс сбора данных с сайтов. Платформа передаёт владельцам дополнений 55% от средств, вырученных от сотрудничества с AI-компаниями. Проект полностью легитимен и настаивает на том, что участие в скрапинге должно быть добровольным и активироваться только после явного согласия пользователя. Подразумевается, что пользователь в качестве благодарности к разработчикам дополнения может включить режим скрапинга и оказать им косвенную финансовую поддержку.

Проблема в том, что не все разработчики дополнений готовы работать честно и в открытую. В некоторых дополнениях пытаются скрыто от пользователя включить монетизацию Mellowtel в обход правил сервиса, что приводит к тому, что пользователь без явного согласия становится участником распределённой сети для загрузки данных с сайтов. Из 45 дополнений к Chrome, применяющих Mellowtel, 12 уже заблокированы Google за вредоносную активность. В каталоге Microsoft из 129 дополнений заблокировано 8, а в каталоге Mozilla из 71 дополнения заблокировано 2. Причины удаления не детализируются, но не исключается, что поводом стало некорректное использование Mellowtel.

Разработчик Mellowtel заявил, что для решения проблемы с возможным скрытым включением скрапинга сервис переходит на обязательную проверку всех дополнений, применяющих Mellowtel, на предмет обязательного отключения скрапинга по умолчанию (активация только после явного согласия пользователя) и наличия видимой кнопки для отключения. Запросы на получение заданий от дополнений не прошедших проверку будут помещаться в карантин и игнорироваться.

В процессе работы дополнения, использующие библиотеку Mellowtel, устанавливают websocket-соединение к внешнему серверу, размещённому в облаке AWS, через которое передают сведения о доступности пользователя, стране, пропускной способности канала связи и активации поддержки скрапинга пользователем. Периодически через соединение отправляются heartbeat-запросы, проверяющие доступность клиента. При появлении заданий на загрузку контента в просматриваемые пользователем страницы подставляется скрытый iframe, из которого осуществляется скрапинг.

Для загрузки внешних страниц из iframe, подставляемом при просмотре других сайтов, библиотека временно обходит предоставляемую в браузере защиту от загрузки стороннего контента, вырезая HTTP-заголовки Content-Security-Policy и X-Frame-Options и возвращая их после того, как нужная страница загружена. Вырезание осуществляется через модификацию сетевых запросов при помощи API declarativeNetRequest (для доступа к данному API дополнения запрашивают отдельное полномочие). Временное отключение заголовков Content-Security-Policy и X-Frame-Options негативно влияет на безопасность, так как на какое-то время убирает штатную защиту от атак с использованием межсайтового скриптинга (XSS).

Платформа Mellowtel аффилирована с компанией Olostep, предлагающей API для скрапинга, способный обходить защиту от ботов и параллельно выполнять до 100 тысяч запросов в минуту. Подобную активность сервиса, применённую в контексте одного сайта, можно сравнить с проведением распределённой DoS-атаки. Сервис также потенциально может использовать пользователей как прокси для извлечения контента из приватных сайтов, доступных только в подсетях, к которым пользователь получает доступ через VPN.

1. Главная ссылка к новости
2. OpenNews: Перегрузка инфраструктуры KDE, GNOME, Fedora, Codeberg и SourceHut из-за ИИ-индексаторов
3. OpenNews: Проблемы из-за подготовленных AI-инструментами отчётов об уязвимостях
4. OpenNews: Платформа совместной разработки SourceHut была выведена из строя на 7 дней из-за DDoS-атаки
5. OpenNews: По статистике Cloudflare 6.8% интернет-трафика является потенциально мусорным
6. OpenNews: Использование zip-бомбы для борьбы с вредоносными web-ботами

Ключевое отличие новой модели в том, что выпуски Developer Preview формировались по отдельности и их требовалось каждый раз специально прошивать на устройства, в то время как Canary является параллельно поддерживаемой тестовой веткой, непрерывно обновляемой (rolling stream) и отражающей актуальное состояние разработки платформы. Достаточно один раз прошить устройство на ветку Canary и все дальнейшие обновления с изменениями будут устанавливаться автоматически в режиме OTA (over-the-air). Сборки с веткой Canary подготовлены для прошивки на устройства Pixel и скоро станут доступны в Android Emulator (пока доступны только в тестовых версиях Android Studio и Android SDK).

Достоинством отдельной Canary-ветки также является независимость от релизов, что позволяет продолжить тестирования новых API после перехода очередного выпуска Android на стадию бета-тестирования. Ранее сборки Developer Preview привязывались к следующему релизу и прекращали формироваться после появления бета выпусков, что не позволяло продолжить тестирование экспериментальных API, которые не успели довести до готовности включения в бета-версию. В Canary такой проблемы не возникает и разработчики могут продолжать экспериментировать с ещё сырыми API, независимо от стадии подготовки будущего релиза. При этом не гарантируется, что все доступные в ветке Canary экспериментальные возможности попадут в состав ближайшего релиза.

1. Главная ссылка к новости
2. OpenNews: Google прекратил публикацию кода для поддержки устройств Pixel в репозитории с кодом Android
3. OpenNews: Apple обеспечит поддержку разработки Android-приложений на языке Swift
4. OpenNews: Выпуск мобильной платформы Android 16
5. OpenNews: Google переходит к разработке Android за закрытыми дверями с открытием кода после релизов
6. OpenNews: Предварительный выпуск Android 16

Устранённые уязвимости (первые 4 имеют умеренный уровень опасности, а остальные низкий):

• CVE-2024-42516 - возможность совершения атаки по разделению ответов HTTP на системах фронтэнд-бэкенд, позволяющей добиться расщепления содержимого заголовка Content-Type в ответе для того, чтобы вклиниться в содержимое ответов другим пользователям, обрабатываемых в том же потоке между фронтэндом и бэкендом.
• CVE-2024-43394 - специфичная для платформы Windows уязвимость SSRF (Server-Side Request Forgery), которая при отправке специально оформленных запросов может привести к утечке NTLM-хэшей на сервер, подконтрольный атакующим.
• CVE-2025-53020 - отказ в обслуживании через HTTP/2, приводящий к чрезмерному потреблению памяти.
• CVE-2025-49812 - уязвимость в mod_ssl, позволяющая атакующему, контролирующему трафик (MITM), выполнить подстановку HTTP-сеанса, вклинившись в момент перехода с HTTP на HTTPS.
• CVE-2025-23048 - обход ограничений доступа в mod_ssl при восстановлении прерванного сеанса.
• CVE-2025-49630 - отказ в обслуживании, приводящий к аварийному завершению работы модуля mod_proxy_http2.
• CVE-2024-47252 - некорректное экранирование символов в информации об ошибках mod_ssl, записываемой в лог.
• CVE-2024-43204 - SSRF-уявзимость в mod_headers, позволяющая добиться в mod_proxy отправки исходящего запроса по адресу, указанному атакующим.

Среди не связанных с безопасностью улучшений:

• В mod_systemd добавлена поддержка активации по сокету.
• Модуль mod_http2 добавлена директива H2MaxHeaderBlockLen для ограничения размера HTTP-заголовков при ответе.
• В mod_http2 обеспечена запись информации о продолжительности запросов HTTP/2.
• Модуль mod_md добавлены директивы DProfile и MDProfileMandatory для поддержки расширения протокола ACME, реализующего профили сертификатов.

1. Главная ссылка к новости
2. OpenNews: Релиз http-сервера Apache 2.4.63
3. OpenNews: Новая версия nginx 1.29.0
4. OpenNews: Выпуск HTTP/TCP-балансировщика HAProxy 3.0
5. OpenNews: Выпуск HTTPS-анализатора Mitmproxy 11 с поддержкой HTTP/3
6. OpenNews: Компания Cloudflare открыла код h3i, утилиты для тестирования HTTP/3

1. Главная ссылка к новости
2. OpenNews: Планы KDE по прекращению поддержки сеанса X11
3. OpenNews: Проект X11Libre создал форк X.Org Server, избавленный от влияния корпораций
4. OpenNews: Релиз XLibre 25.0, форка X.Org Server
5. OpenNews: Дистрибутив Artix Linux начал поставку сборок с XLibre, форком X.Org Server

Изначально было отмечено, что при тестировании на ноутбуке Lenovo IdeaPad 3 с интегрированным GPU AMD в сеансе Wayland процессор постоянно нагружен примерно на 8% независимо от активности, а каждые 2-3 секунды наблюдается скачок, полностью нагружающий GPU. В сеансе X11 нагрузка на CPU и GPU во время простоя была на нуле. Дальнейшая проверка утилитой radeontop показала большее потребление ресурсов в сеансе Wayland, особенно при включении профиля "Color Accuracy" в настройках экрана. В таблице ниже указана создаваемая средняя нагрузка на GPU в процентах при аналогичном наборе запущенных приложений и сборе данных каждую секунду в течение 60 секунд.

Тестирование потребления энергии утилитой powertop также показало преимущество сеанса X11: энергопотребление сеанса Wayland составило 6.09 ватт, Wayland с профилем "Color Accuracy" 6.05-6.08 ватт, а X11 - 5.67-5.87 ватт. В целом сделан вывод, что сеанс X11 расходует на 3-7% меньше заряда аккумулятора, чем Wayland.

Проверка нагрузки на CPU утилитой vmstat показала, что во время простоя сеанс X11 потреблял 1.83% CPU, а Wayland - 1.97% (2.1% с профилем Color Accuracy). Утилита была запущена на свежесозданных сеансах в терминале Konsole, подсчитывалось среднее значение при ежесекундной выборке на протяжении 60 секунд. Нагрузка на CPU при использовании Wayland оказалась выше на 7.6% (в режиме Color Accuracy на 14%), чем при использовании сеанса X11. В сеансе Wayland зафиксировано на 25% больше прерываний и на 48% больше переключений контекста.

Затем при помощи утилиты perf был проведён анализ вызовов во время простоя. KWin_wayland потреблял примерно 1% (1.5%) процессорного времени, а KWin_X11 - 0.44%. Обращения к amdgpu составляли 0.77% (1%) для Wayland и 0.65% для X11. В режиме простоя в сеансе X11 было выполнено примерно в два раза меньше процессорных инструкций, чем в сеансе на базе Wayland.

В следующей статье тесты были повторены в конфигурации c Kubuntu 24.04 с устаревшим выпуском KDE Plasma 5.27 и ноутбуком Lenovo Y50-70 с CPU Intel и видеокартой NVIDIA. Результаты оказались примерно теми же - сеанс Wayland оказался менее эффективен, чем X11: потребление энергии 22.42 ватт в Wayland и 21.86 ватт в X11, нагрузка на CPU в режиме простоя 0.067% против 0.050%, число переключений контекста - 43.835/s против 34.133/s, нагрузка при просмотре 4K видео в VLC - 12.54% против 4.26%, производительность WebGL - 16 FPS против 29 FPS.

Далее аналогичные тесты VLC и WebGL были воспроизведены на ноутбуке Lenovo IdeaPad 3 с CPU/GPU AMD с использованием свежей сборки от проекта KDE Neon.

• В тесте с воспроизведением 4K видео в VLC нагрузка на CPU при использовании KDE X11 с выключенным композитингом составила 3.72%, KDE X11 со включённым композитингом - 9.8%, KDE Wayland c Color Accuracy (CA) - 25.71%, KDE Wayland в режиме эффективного потребления энергии (PE) - 31.51%. Таким образом нагрузка на CPU при использовании Wayland оказалась в 8-10 раз выше, чем при использовании X11.
• При использовании Walyand в тесте VLC также зафиксирована генерация на 5-16% больше прерываний.
• Разница нагрузки на GPU в тесте VLC была в пределах 2% отличий: KDE Wayland (PE) - 56.33%, KDE Wayland (CA) - 57.33%, KDE X11 (Comp ON) - 57.98%, KDE X11 (Comp OFF) - 56.81%.
• В плане энергопотребления Wayland потребил в тесте VLC больше энергии на 8-49%: KDE X11 (Comp ON) - 10.7-12.1 ватт, KDE X11 (Comp OFF) - 11.4-14.9. ватт, KDE Wayland (CA) - 13.8-14.1 ватт, KDE Wayland (PE) - 13.8-20.4 ватт.
• В тесте WebGL Aquarium результаты для Wayland и X11 оказались примерно одинаковыми: KDE Wayland (PE) - 16-38 FPS, KDE Wayland (CA) - 18-37 FPS, KDE X11 (Comp ON) - 16-42 FPS, KDE X11 (Comp OFF) - 21-42 FPS, но потребление энергии при использовании Wayland оказалось выше примерно на 8%.

В конечном счёте был проведён ещё один эксперимент, на этот раз охватывающий GNOME из Fedora 42 и KDE Plasma 6.4 из KDE neon. Тестирование проведено на ноутбуке Lenovo IdeaPad 3 c CPU/GPU AMD. Окружения для тестирования GNOME и KDE отличаются, как на уровне ядра и системных компонентов, так и на уровне процессов и настроек, обеспечивающих работу графических сеансов. Измерения не претендуют на точность и на них могут оказываться влияние множество факторов, но они могут отражать общие тенденции в производительности конфигураций по умолчанию на одном и том же оборудовании.

• Нагрузка на CPU при нахождении системы в состоянии простоя: KDE X11 - 1.83%, KDE Wayland (PE) - 1.97%, KDE Wayland (CA) - 2.1%, GNOME Wayland - 2.2%.
• Потребление энергии в состоянии простоя с одним окном терминала: KDE X11 - 5.67-5.87 ватт, KDE Wayland (CA) - 6.05-6.08 ватт, KDE Wayland (PE) - 6.09 ватт, GNOME Wayland - 5.83-7.62 ватт.
• Нагрузка на GPU в состоянии простоя оказалась наименьшей в конфигурации с GNOME Wayland, но отличие объясняется разницей в запущенных приложениях System Monitor и GNOME System Monitor.
• В статистике, собранной утилитой perf, наименьшее процессорное время в состоянии простоя было потрачено в конфигурации на базе GNOME.
• В тесте воспроизведения видео 4K 60FPS в VLC сеанс GNOME в Fedora потребил немного меньше ресурсов CPU (29.6%), чем KDE на базе Wayland в режиме Color Accuracy (31.51%), но больше, чем сеанс KDE на базе X11 (9.8%) и Wayland в режиме эффективного потребления энергии (25.71%).
• При оценке потребления ресурсов GPU сеанс GNOME в Fedora в тесте воспроизведения видео 4K 60FPS в VLC потреблял больше ресурсов GPU. Например, нагрузка на графический конвейер GPU в GNOME в Fedora - 58.21%, в KDE на базе Wayland - 56.33% и 57.33%, а в KDE X11 - 57.98%. Потребление видеопамяти в GNOME в Fedora более чем в два раза превысило (50.89) показатели KDE на базе Wayland (23.29 и 24.60) и на 15% превысило KDE X11 (44.36).
• Потребление энергии при воспроизведении видео: KDE X11 - 11.4-14.9 ватт, KDE Wayland (CA) - 13.8-14.1 ватт, GNOME Wayland - 12.5-15.6 ватт, KDE Wayland (PE) - 13.8-20.4 ватт.

По итогам тестирования сделан вывод, что X11 ещё рано сбрасывать со счетов, а решения на базе Wayland требуют дополнительной оптимизации. X11 отмечается как по-прежнему самое оптимальное решение с точки зрения производительности. Реализация Wayland в KDE предположительно лучше, чем в GNOME - сеанс GNOME Wayland, реализованный в Fedora, судя по тестам менее производителен, чем сеанс KDE Wayland, который в свою очередь отстаёт от KDE X11.

1. Главная ссылка к новости
2. OpenNews: Ubuntu будет поставлять intel-compute-runtime без защиты от Spectre, снижающей производительность на 20%
3. OpenNews: Сравнение производительности СУБД Valkey и Redis
4. OpenNews: Производительность Ubuntu-пакета jq удалось увеличить в 1.9 раза путём пересборки
5. OpenNews: Доступен GameMode 1.7, оптимизатор производительности игр в Linux
6. OpenNews: Разработчики САПР KiCad раскритиковали Wayland и рекомендовали использовать X11

Основные изменения:

• Добавлена экспериментальная возможность использования Suricata в качестве межсетевого экрана. Режим межсетевого экрана позволяет использовать диалект языка правил инспектирования трафика для фильтрации сетевых пакетов.
• Переработана возможность написания скриптов на языке Lua. В состав кодовой базы интегрирован интерпретатор Lua 5.4, запускаемый в sandbox-окружении, ограничивающем правила на языке Lua (например, из правил не может осуществляться запись в файлы или создаваться сетевые сокеты).
• Предоставлена возможность динамической (во время работы) регистрации плагинов с парсерами протоколов, детекторами и компонентами для ведения логов.
• Проведены значительные оптимизации производительности, позволившие ускорить различные аспекты работы движка, включая определение протоколов, загрузку правил и инициализацию. Ускорение достигается благодаря предсказанию переходов, оптимизации хэш-функций, увеличению размера буферов загрузки данных в формате PCAP и переработке синхронизации потоков. Также удалось сократить время запуска Suricata, используя кэширование, расширенную группировку портов и улучшенный алгоритм подстановки IP-адресов.
• На языке Rust переписаны обработчики LibHTP, FTP, ENIP, а также код разбора MIME-типов, операции byte_extract и декодирования base64.
• Добавлена поддержка протоколов DoH (DNS over HTTPS), LDAP, mDNS (Multicast DNS) и Websocket.
• Добавлены новые модули декодирования и ведения логов для протоколов ARP и POP3.
• Обеспечен разбор трафика SDP поверх SIP и SIP поверх TCP.
• Расширены возможности движка определения протоколов и построения правил. Для правил реализованы ключевые слова LDAP, MIME/ EMAIL, vlan.id, DNS, SMTP, FTP, TLS, tcp.wscale, pgsql.query, from_base64, entropy, luaxform и mDNS. Добавлены транзакционные правила, позволяющие описать оба направления транзакции в одном правиле.

Особенности Suricata:

• Использование для вывода результатов проверки унифицированного формата Unified2, также применяемого проектом Snort, что позволяет использовать стандартные инструменты для анализа, такие как barnyard2. Возможность интеграции с продуктами BASE, Snorby, Sguil и SQueRT. Поддержка вывода в формате PCAP;
• Поддержка автоматического определения протоколов (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB и т.п.), позволяющая оперировать в правилах только типом протокола, без привязки к номеру порта (например, блокировать HTTP трафик на нестандартном порту). Наличие декодировщиков для протоколов HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP, LDAP и SSH;
• Система анализа HTTP-трафика, использующая для разбора и нормализации HTTP-трафика библиотеку HTP, созданную автором проекта Mod_Security. Доступен модуль для ведения подробного лога транзитных HTTP пересылок (лог сохраняется в стандартном формате Apache). Поддерживается извлечение и проверка файлов, передаваемых по протоколу HTTP, а также разбор сжатого контента. Возможность идентификации по URI, Cookie, заголовкам, user-agent, телу запроса/ответа;
• Поддержка различных интерфейсов для перехвата трафика, в том числе NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Возможен анализ уже сохранённых файлов в формате PCAP;
• Высокая производительность, способность обрабатывать на обычном оборудовании потоки в десятки гигабит в cекунду.
• Высокопроизводительный механизм сопоставления по маске с большими наборами IP-адресов. Поддержка выделения контента по маске и регулярным выражениям. Выделение файлов из трафика, в том числе их идентификация по имени, типу или хэшу.
• Возможность использования переменных в правилах: можно сохранить информацию из потока и позднее использовать её в других правилах;
• Использование формата YAML в файлах конфигурации, сочетающего наглядность с лёгкостью машинной обработки;
• Полная поддержка IPv6;
• Встроенный движок для автоматической дефрагментации и пересборки пакетов, позволяющий обеспечить корректную обработку потоков, независимо от порядка поступления пакетов;
• Поддержка протоколов туннелирования: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
• Поддержка декодирования пакетов: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, ARP, PPPoE, Raw, SLL, VLAN;
• Режим ведения лога ключей и сертификатов, фигурирующих в соединениях на базе TLS;
• Возможность написания скриптов на языке Lua для расширенного анализа трафика и реализации дополнительных возможностей, для которых недостаточно стандартных правил.
1. Главная ссылка к новости
2. OpenNews: Выпуск системы обнаружения атак Suricata 7.0
3. OpenNews: Релиз Messor, децентрализованной системы для обнаружения вторжений
4. OpenNews: Обновление системы обнаружения атак Suricata с устранением критической уязвимости
5. OpenNews: В рамках сообщества wasp-guard началось формирование распределенной системы обнаружения вторжений
6. OpenNews: Релиз системы обнаружения атак Snort 3

В шрифте поддерживается более 460 языков, в том числе языки на основе кириллицы. Шрифт является вариативным и допускает гибкое изменение стилистических характеристик, например, можно менять настройки угла наклона, толщины, высоты, отступа и других параметров. Предлагается 14 базовых стилей, более 1000 глифов и 4 начертания без засечек (Regular, Italic, Expanded и Condensed).

1. Главная ссылка к новости
2. OpenNews: GNOME перешёл на использование по умолчанию шрифта Adwaita Sans
3. OpenNews: Microsoft опубликовал открытый шрифт Cascadia Code 2404.23
4. OpenNews: Intel опубликовал открытый моноширинный шрифт One Mono
5. OpenNews: Представлена вариативная гарнитура Roboto Flex, продолжающая развитие шрифта Roboto
6. OpenNews: Опубликован шрифт, автоматически цензурирующий оскорбительные выражения