Для ветки SUSE Linux 16 будет обеспечен более предсказуемый и гибкий цикл формирования релизов. Вместо SP-обновлений (Service Pack) начнёт применяться схема с промежуточными выпусками (16.1, 16.2 и т.п.) и длительной поддержкой (LTS - Long Term Support). Общее время сопровождение ветки SUSE Linux 16 составит 16 лет. Всего планируется сформировать 7 промежуточных выпусков - от 16.0 до 16.6, каждый из которых будет публиковаться ежегодно в ноябре. Обновления для каждого отдельного промежуточного выпуска будут сопровождаться 5 лет - 2 года общей поддержки и 3 года расширенной (LTS).

Ключевые изменения (1, 2, 3, 4):

• Задействован новый инсталлятор Agama, примечательный отделением пользовательского интерфейса от внутренних компонентов YaST и поставкой фронтенда для управления установкой через web-интерфейс.
• Модернизирован стек управления системой. Вместо традиционного стека YaST для управления системой задействован пакет Cockpit, а вместо YaST Software GUI предложен новый пакет Myrlyn. Прекращена поддержка скриптов инициализации SysV. Возможно использование только unit-ов systemd.
• По умолчанию предложены только среды рабочего стола, использующие Wayland. X.org Server удалён из поставки. Поддержка запуска приложений на базе X11 сохранена при помощи XWayland. Базовая среда рабочего стола основана на GNOME 48. Прекращена поставка VNC-сервера, GTK2, Qt5 и wxWidgets.
• Расширены возможности для автоматического создания снапшотов со срезами состояния файловой системы, базирующиеся на Btrfs и утилите Snapper. Снапшоты теперь могут использоваться в системных образах для облачных платформ. По умолчанию возможность отката изменений интегрирована во все компоненты и администратор может откатить практически любое изменение - от обновления системы до применения отдельных патчей и модификации конфигурации.
• В основной состав интегрирована поддержка Live-патчей, позволяющих исправлять уязвимости и критические ошибки в ядре и библиотеках glibc и openssl без необходимости перезапуска системы.
• Прекращена поддержка архитектуры x86-64-v1. Работа возможна только на системах x86 с архитектурой x86_64-v2, которая поддерживается процессорами примерно с 2009 года (начиная с Intel Nehalem) и отличается наличием таких расширений, как SSE3, SSE4_2, SSSE3, POPCNT, LAHF-SAHF и CMPXCHG16B.
• По умолчанию в ядре отключена поддержка 32-разрядных систем x86 и запуска 32-разрядных исполняемых файлов. Для возвращения поддержки 32-разрядных системных вызовов следует выставить параметр "ia32_emulation=1" при загрузке ядра Linux.
• По умолчанию включена система мандатного контроля доступа SELinux. Поддержка AppArmor объявлена устаревшей.
• В состав включён инструментарий Ansible для управления конфигурацией, оркестровки, централизованной установки приложений и параллельного выполнения типовых задач на группе систем. Добавлены системные роли для настройки различных компонентов системы, включая межсетевой экран, ha_cluster, selinux и podman. Поддержка системы Salt сохранена в качестве опции.
• В состав включены библиотеки со встроенной поддержкой криптоалгоритмов, стойких к подбору на квантовом компьютере, таких как ML-KEM и ML-DSA. Поддержка подобных алгоритмов обеспечена в OpenSSL 3.5, Libgcrypt 1.11.1, Mozilla NSS 3.112 и Go 1.24.
• Реализована поддержка воспроизводимых сборок, позволяющих сформировать собственные сборки, побитово совпадающие с предлагаемыми для загрузки готовым сборкам, чтобы убедиться, что распространяемые в пакетах бинарные файлы собраны из предоставляемых исходных текстов и не содержат скрытых изменений.
• Обновлены версии пакетов, включая ядро Linux 6.12, glibc 2.40, Systemd 257, Python 3.13, Perl 5.42, grub2 2.12, OpenSSH 9.9, QEMU 10.0.2, MariaDB 11.8, PostgreSQL 17, PHP 8.4, Node.js 22, Rust 1.88, ruby 3.4, clang 19, gcc 15.
• Полностью решена проблема 2038 года. Все пакеты переведены на использование 64-разрядного типа time_t в портах дистрибутива для 32-разрядных архитектур, в которых продолжал использоваться 32-разрядный тип time_t (не может применяться для обработки времени позднее 19 января 2038 года из-за переполнения счётчика секунд, прошедших после 1 января 1970 года).
• Сетевой конфигуратор wicked заменён на NetworkManager.
• В качестве пакетного фильтра вместо iptables по умолчанию задействован NFTables.
• Осуществлён переход с DHCP-сервера ISC DHCP на KEA DHCP.
• Прекращена поставка гипепрвизора Xen - в качестве основного гипервизора для виртуализации задействован KVM.
• Пакеты с СУБД Redis заменены на форк Valkey.
• Добавлена поддержка легковесных сторожевых страниц для защиты стека (stack guard page), обращение к которым вызывает исключение и аварийное завершение процесса (SIGSEGV). Реализация основана на системном вызове madvise.
• Добавлена поддержка NFS поверх TLS.
• В состав включён фоновый процесс tuned, выполняющий автоматическую оптимизацию настроек оборудования и ядра в зависимости от текущей нагрузки.
• Задействована модель хранения файлов конфигурации "UsrEtc", при которой предоставляемые дистрибутивом настройки по умолчанию размещены в каталоге /usr/etc, а изменения, вносимые локальным администратором, помещаются в форме /etc/example.conf.d/*.conf или /etc/example.conf, т.е. поставляемые в пакетах и выставляемые администратором настройки всегда разделены. Применяемые по умолчанию настройки systemd перемещены в каталог /usr.
• На системах x86_64 объявлена устаревшей, но пока сохранена загрузка на системах с BIOS. По умолчанию для новых установок используется UEFI. Для совместимости со старыми системами поддержка BIOS доступна для миграции виртуальных машин и обновления старых установок с SUSE 15.
• По умолчанию отключён доступ по SSH с пользователем root при аутентификации по паролю.
• Прекращена поддержка файловых систем reiserfs, hfsplus, UFS, ocfs2. По умолчанию используется btrfs. В качестве поддерживаемых опций доступны ext4, xfs и gfs2.
• Для хранения раздела /tmp задействована ФС tmpfs, хранящая данные в памяти и не сохраняющая содержимое между перезапусками.
• Добавлена экспериментальная поддержка lklfuse для монтирования блочных устройств или образов файловых систем. Lklfuse запускается как неривилегированный процесс в пространстве пользователя, но при этом используются драйверы файловых систем из ядра Linux.
• Добавлена экспериментальная (Tech Preview) поддержка сервиса на базе протокола MCP (Model Context Protocol), позволяющего обращаться к компонентам операционной системы из AI-ассистентов. Например, AI-ассистент можно использовать для формирования задач на естественном языке для управления инфраструктурой, утилитами и данными. AI-ассистент доступен из web-консоли Cockpit. Возможно подключение к различным провайдерам больших языковых моделей.

1. Главная ссылка к новости
2. OpenNews: Релиз дистрибутива openSUSE Leap 16.0
3. OpenNews: Дистрибутив openSUSE опубликовал альтернативный инсталлятор Agama 17
4. OpenNews: Релиз дистрибутива Red Hat Enterprise Linux 10
5. OpenNews: Доступен дистрибутив SUSE Linux Enterprise 15 SP7
6. OpenNews: Третий прототип платформы ALP, идущей на смену SUSE Linux Enterprise

Уязвимости в XSLT становятся инструментом для совершения атак на браузеры, при том, что в настоящее время клиентская поддержка XSLT не востребована и используется крайне редко, а задачи преобразования данных в HTML могут решаться более безопасно при помощи JavaScript API, таких как DOMParser и Fetch. По статистике Google, доля загруженных web-страниц, на которых используется XSLT, составляет 0.02%, а доля страниц, на которых применяются инструкции обработки XSLT, оценена в 0.001%.

Аналогично, решено прекратить использование в Chromium библиотеки libxml2, в которой также регулярно находят уязвимости и имеются проблемы с сопровождением. Библиотека libxml2 используется в Chromium для разбора, сериализации и проверки данных в формате XML, а на базе libxslt реализован класс XSLTProcessor и инструкции обработки XSLT ("<?xml-stylesheet … ?>").

Поддержка основанных на libxslt возможностей, таких как API XSLTProcessor и инструкции разбора таблиц стилей XML, будет прекращена в выпуске Chrome 155, намеченном на 17 ноября 2026 года. В Chrome 143, запланированном на 2 декабря 2025 года, в web-консоль будет добавлен вывод предупреждения о переводе API XSLTProcessor в разряд устаревших. В Chrome 148 (весна 2026 года) поддержка XSLT будет отключена по умолчанию в ветках Canary, Dev и Beta. Функциональность для разбора XML будет оставлена, но переведена на новую библиотеку, написанную на языке Rust с оглядкой на обеспечение безопасности.

В качестве замены встроенной в браузер поддержки, предлагается перенести обработку XSLT на сторону сервера и отправлять клиентам уже сформированный HTML-контент. Обработчики, использующие XML API для взаимодействия между клиентом и сервером, предлагается перевести на применение формата JSON и для отрисовки - через преобразование JSON в HTML/CSS при помощи JavaScript. Из возможных альтернатив также отмечается применение JavaScript-библиотек Saxonica с реализацией XSLT, polyfill-прослойки для обеспечения совместимости со старым кодом, предлагающей замену XSLTProcessor на базе WASM, и браузерного дополнения, автоматически подставляющего polyfill-прослойку в XML документы.

1. Главная ссылка к новости
2. OpenNews: Библиотека libxml2 осталась без сопровождающего
3. OpenNews: Сопровождающий libxml2 отказался от особого отношения к устранению уязвимостей
4. OpenNews: Уязвимости в библиотеке libxml2, потенциально приводящие к выполнению кода
5. OpenNews: Google отказался от навязывания блокировки сторонних Cookie в Chrome
6. OpenNews: Chrome и Android прекратят использование многих технологий, созданных проектом Privacy Sandbox

В итоге, около 300 статей, написанных носителями японского языка, были заменены на машинный перевод англоязычных статей, качество которого не выдерживает критики. В предложенном машинном переводе не учтены принятые правила перевода и не выполнена локализация с учётом специфики японских пользователей.

Система машинного перевода была сразу внедрена на рабочих серверах без предварительной обкатки в тестовом окружении. Прямой машинный перевод всех статей из архива был автоматически подтверждён для публикации без проведения рецензирования. Также был введён процесс подтверждения ботом в течение 72 часов после обновления исходных статей, что мешает обучению новых участников.

Сообщество лишено возможности контролировать работу бота и влиять на совершаемые им действия. Введённые изменения восприняты как массовое уничтожение результатов многолетней работы сообщества и нарушение миссии Mozilla. В связи с этим Масахико заявил о прекращении участия в поддержании support.mozilla.org и запрете использования своих ранее выполненных переводов для обучения AI-систем Mozilla.

1. Главная ссылка к новости
2. OpenNews: Модераторы сообщества Rust в знак протеста объявили об отставке
3. OpenNews: Mozilla пояснила причину удаления обещаний не продавать данные пользователей
4. OpenNews: Mozilla свернула проект DeepSpeech, развивавший движок распознавания речи
5. OpenNews: Mozilla China прекращает предоставление сервисов для Firefox в Китае
6. OpenNews: Mozilla вводит новые требования к Firefox-дополнениям, работающим с персональными данными

Системное окружение собрано из собственного репозитория пакетов. Для вывода графики используется композитный сервер kwin_wayland. В платформе задействованы телефонный стек ModemManager и коммуникационный фреймворк Telepathy. Мобильные приложения базируются на наборе Plasma Mobile Gear и используют библиотеку Qt, набор компонентов Mauikit и фреймворк Kirigami. Имеется возможность запуска Android-приложений, используя проект Waydroid.

РОСА Мобайл устанавливается на смартфон Р-ФОН разработан компанией Рутек и собирается на собственном производстве в Саранске (Технопарк-Мордовия). Устройство оснащено 6.7-дюймовым экраном (AMOLED, FullHD+ 1080x2412, Gorilla Glass 5) и комплектуется SoC MediaTek helio G99 (2 ядра Cortex-A76 на частоте 2200 MHz и 6 ядер Cortex-A55 на частоте 2000 MHz), выпускаемым с мая 2022 года. Объём ОЗУ - 8 ГБ, встроенной памяти - 128 ГБ. Имеется слот для MicroSD, Wi-Fi 2.4/5 ГГц, NFC, Bluetooth 5.2, фронтальная камера 16 Мп и задняя камера 50 Мп (f/1.8). Аккумулятор - 5000 мАч. Вес устройства 189 г. Размер 163.8х76.3х7.96 мм. Внешний вид, размер, вес и характеристики (кроме более слабой задней камеры и размера ОЗУ) совпадают со смартфоном Symphony Helio 80. Утверждается, что драйверы для Wi-Fi, Bluetooth и других компонентов смартфона Р-ФОН разработаны самостоятельно.

Среди изменений в РОСА Мобайл 2.2:

• Проведена оптимизация платформы для смартфона Р-ФОН, позволившая ускорить запуск приложений и повысить плавность переключения между задачами. Реализован режим энергосбережения для модема, позволивший увеличить время автономной работы в зонах со слабым сигналом мобильных операторов связи.
• В программе для работы с камерой устранено зависание, возникавшее при переключении между режимами фото и видео. Улучшена работа сканера QR-кодов. В галерее обеспечена корректная сортировка снятых фото и видео, а также устранены проблемы с обработкой коротких видеороликов.
• Ускорен запуск эмулятора для выполнения приложений, созданных для платформы Android. При запуске эмулятора исключён вывод экрана "Запуск телефона", а при установке Android-приложений из RuStore убран диалог для запроса полномочий.
• В адресной книге реализована поддержка добавления или объединения контактов через сканирование QR-кода.
• В сетевой конфигуратор добавлена поддержка подключения к Wi-Fi по QR-коду и возможность ручного указания статического IP-адреса.
• Улучшено поведение экранной клавиатуры, повышена точность автоподсказок и расширены возможности проверки орфографии.
• Устранена ошибка, которая могла приводить к исчезновению пиктограмм с рабочего стола после перезагрузки.
• Решена проблема, из-за которой точка доступа Wi-Fi пропадала из области видимости для других устройств.
• Исправлена ошибка, при которой звук во время разговора одновременно выводился в Bluetooth-гарнитуру и динамик смартфона.

1. Главная ссылка к новости
2. OpenNews: Прогресс в разработке мобильной платформы KDE Plasma Mobile
3. OpenNews: Представлена мобильная платформа РОСА Мобайл 2.0, основанная на KDE Plasma Mobile
4. OpenNews: Доступна мобильная платформа KDE Plasma Mobile 6
5. OpenNews: Официально представлена мобильная ОС РОСА Мобайл, основанная на KDE
6. OpenNews: Экспериментальные сборки ALT Linux для смартфона Pinephone Pro

Подготовка к удалению кода, связанного с X11, была проведена в осеннем выпуске GNOME 49 - по умолчанию поддержка X11 была отключена в gnome-session, mutter и gnome-shell, но код был оставлен и сохранена возможности возвращения компонентов для поддержки X11 на этапе сборки. В дистрибутивах поддержка сеанса GNOME на базе X11 прекращена в Ubuntu 25.10, Fedora 43 и RHEL 10. В библиотеке GTK бэкенд для протокола X11 объявлен устаревшим и в GTK5 планируют оставить только поддержку Wayland.

Сеанс на базе протокола Wayland применяется в GNOME по умолчанию с 2016 года, в то время как сеанс на базе X11 со временем всё хуже тестируется, а связанные с X11 ошибки остаются без исправления. Прекращение поддержки сеанса с X11 снизит трудозатраты на сопровождение и высвободит ресурсы, которые можно будет направить на улучшения качества работы современного графического стека.

1. Главная ссылка к новости
2. OpenNews: Перед релизом GNOME 49 в GDM возвращена поддержка X11 по умолчанию
3. OpenNews: Ubuntu прекращает поддержку сеанса X11 в GNOME
4. OpenNews: В GDM по умолчанию отключён сеанс X11. В Fedora 43 в GNOME будет поддерживаться только Wayland
5. OpenNews: В gnome-session и GDM реализована возможность сборки без поддержки X11
6. OpenNews: В GNOME реализована возможность сборки только с Wayland и улучшена поддержка графических планшетов

В новой версии:

• Улучшена поддержка протокола Wayland. В компонент lxqt-wayland-session, позволяющий запускать LXQt в сочетании с различными композитными менеджерами Wayland (LabWC, WayFire, kwin_wayland, Sway, Hyprland, River и Niri), добавлен обработчик lxqt-qdbus, предоставляющий универсальную обвязку над различными командами qdbus, не зависящую от композитного менеджера. Обеспечено помещение автоматически запускаемых приложений в корректные категории. Глобальный уровень масштабирования теперь можно устанавливать только для X11, а в Wayland для изменения уровня масштабирования следует использовать возможности композитных менеджеров или внешние утилиты, такие как kanshi.
• В окружениях на базе Wayland в панели обеспечена работа интерфейса переключения между виртуальными рабочими столами при использовании композитных серверов, поддерживающих протокол ext-workspaces-v1, таких как Labwc и Niri.
• В панель добавлен новый бэкенд на базе IPC для работы поверх композитного сервера Wayfire (по числу поддерживаемых операций с панелью Wayfire теперь уступает только KWin-Wayland).
• В панельном плагине "Custom Command" реализована работающая с Wayland и X11 поддержка структурированного вывода и возможность обновления содержимого при продолжении вывода от запущенной команды.
• В панели реализована возможность активации плагина "Show Desktop" через операции drag&drop. В плагине управления подсветкой появилась возможность изменения яркости вращением колеса мыши. В меню Fancy Menu и Main Menu обеспечена поддержка сортировки элементов с учётом локали.
• В утилите для создания скриншотов ScreenGrab появилась возможность работы в Wayland-окружениях с композитными серверами, поддерживающими протокол "wlr_screencopy". В окружениях на базе X11 улучшено выделения цветом границы выделенной области.
• В файловом менеджере PCManFM-Qt в контекстном меню боковой панели реализован пункт "Safely Remove" для безопасного извлечения накопителей. В настройки добавлена опция для отключения всплывающих подсказок для файлов на рабочем столе.
• В эмулятор терминала QTerminal и виджет QTermWidget добавлена поддержка флагов Emoji. В контекстное меню добавлен элемент для переключения меток ("Toggle Bookmarks").
• В менеджер управления энергопотреблением добавлена опция для выключения монитора в окружениях на базе Wayland (поддерживаются композитные менеджеры KWin, niri и Hyprland).
• В программу для работы с архивами LXQt Archiver добавлена поддержка алгоритма сжатия LZ4.
• Запущен новый wiki-сайт проекта с улучшенной системой поиска (содержимое старых wiki-страниц сохранено).

1. Главная ссылка к новости
2. OpenNews: Опубликована среда рабочего стола LXQt 2.2.0
3. OpenNews: Доступна среда рабочего стола LXQt 2.0.0
4. OpenNews: Рабочий стол LXQt признан полностью готовым для использования Wayland
5. OpenNews: Выпуск композитного сервера Niri 25.08, использующего Wayland
6. OpenNews: Выпуск labwc 0.9.0, композитного сервера для Wayland

Основные изменения:

• Добавлены новые JSON-функции jsonb_each() и jsonb_tree(), которые отличаются от ранее доступных функций json_each() и json_tree() тем, что возвращают значение JSONB для данных с типом массив или объект.
• Код расширений carray и percentile перенесён в базовый файл "sqlite3.c" со встраиваемым кодом SQLite. По умолчанию данные дополнения отключены и требуют указания при сборке параметров "-DSQLITE_ENABLE_CARRAY" и "-DSQLITE_ENABLE_PERCENTILE".
• Улучшен интерфейс для использования SQLite в скриптах на языке Tcl. В команду "eval" добавлен флаг "-asdict" для выставления строк с использованием типа "dict" вместо "array". Добавлена возможность прерывания пользовательских функций для возвращения значения NULL.
• Изменения в интерфейсе командной строки:
  • Точность команды ".timer" увеличена до микросекунд;
  • В режимах форматирования "box" и "column" реализована поддержка символов с двойной шириной;
  • Команда ".imposter" теперь может предоставлять в режиме только для чтения imposter-таблицы (позволяют получить доступ к данным в индексе как к таблице), работающие с операцией VACUUM и не требующие запуска с флагом "--unsafe-testing";
  • В утилиту sqlite и команду ".open" добавлена опция "--ifexists".
  • Максимальная ширина строки, выставляемая при помощи команды ".width", ограничена 30000 символов.
• Внесены оптимизации производительности:
  • Сокращена нагрузка на CPU при фиксации транзакций, ограниченных доступом на чтение;
  • Улучшено определение операций слияния (JOIN), не возвращающих строки из-за того что одна или несколько таблиц не содержит строк;
  • Исключено выполнение скалярных подзапросов, не влияющих на результат;
  • Ускорена работа оконных функций в запросах с выражением "BETWEEN :x FOLLOWING AND :y FOLLOWING" и очень большом значении ":y".
• Добавлена прагма "PRAGMA wal_checkpoint=NOOP" и функция API sqlite3_wal_checkpoint() для фиксации изменений в WAL-логе
• В API добавлены функции sqlite3_set_errmsg() и sqlite3_db_status64().
• В JavaScript/WASM-версии SQLite реализована поддержка сборки в представление WebAssembly с 64-разрядными указателями.
• Повышена стойкость от повреждения БД в приложениях, снимающих POSIX-блокировки через вызов close().
• Улучшена поддержка платформы VxWorks.

1. Главная ссылка к новости
2. OpenNews: Выпуск СУБД SQLite 3.50
3. OpenNews: Google использовал большую языковую модель для выявления уязвимости в SQLite
4. OpenNews: Проект Redka развивает реализацию протокола и API Redis поверх SQLite
5. OpenNews: Выпуск DuckDB 0.10.0, варианта SQLite для аналитических запросов
6. OpenNews: Проекты CBS и sqld развивают облачный и серверный варианты SQLite

Выпуск OCI Runtime 1.3 примечателен добавлением в спецификацию поддержки платформы FreeBSD, в которой для изоляции контейнеров применяется механизм FreeBSD Jails. В качестве низкоуровневого runtime во FreeBSD можно использовать runj. Официальная поддержка в OCI Runtime подчёркивает возможность применения FreeBSD с OCI-совместимыми высокоуровневыми инструментами контейнеризации и оркестровки, и делает платформу FreeBSD более привлекательной для использования в облачных инфраструктурах и корпоративных системах, придерживающихся отраслевых стандартов.

1. Главная ссылка к новости
2. OpenNews: Runj - OCI-совместимый инструментарий для управления контейнерами на базе FreeBSD jail
3. OpenNews: Утверждена единая спецификация для образов и runtime изолированных контейнеров
4. OpenNews: Docker переведён на containerd и runC
5. OpenNews: Выпуск Bastille 0.14, системы управления контейнерами на основе FreeBSD Jail
6. OpenNews: В containerd приняты изменения, позволяющие запускать Linux-контейнеры во FreeBSD

Отмечается, что язык Rust не может развиваться, оставаться безопасным и функционировать без сопровождающих, выполняющих такие функции как рецензирование pull-запросов и проведение рефакторинга, при том, что работа этих людей часто остаётся недооценённой и основанной только на энтузиазме. Финансирование поможет участникам, от которых зависит разработка Rust, продолжать свою работу, избежать выгорания (1, 2, 3) и получить поддержку, которую они заслуживают.

Средства для нового фонда планируют привлечь за счёт целевых взносов. Участники, которым будет предоставлено финансирования, станут выбираться с учётом пожеланий сообщества и решения управляющего совета, в зависимости от состояния проекта и имеющихся потребностей. Процесс распределения средств будет прозрачным и подконтрольным сообществу на всех уровнях.

1. Главная ссылка к новости
2. OpenNews: Организация Rust Foundation запустила инициативу Rust Innovation Lab
3. OpenNews: Фишинг-атака на разработчиков пакетов на языке Rust
4. OpenNews: Подготовка официальной спецификации языка Rust
5. OpenNews: Выпуск Rust 1.91
6. OpenNews: В Debian намерены добавить Rust в число обязательных зависимостей к APT

В качестве базового стека технологий используется Talos Linux и Flux CD. Образы с системой, ядром и необходимыми модулями формируются заранее, и обновляются атомарно, что позволяет обойтись без таких компонентов как dkms и пакетный менеджер, и гарантировать стабильную работу. Предоставляется простой метод установки в пустом дата-центре с помощью PXE и debian-подобного установщика talos-bootstrap. В рамках платформы можно по клику разворачивать Kafka, FerretDB, PostgreSQL, Cilium, Grafana, Victoria Metrics и другие сервисы.

Платформа включает свободную реализацию сетевой инфраструктуры (fabric) на базе Kube-OVN, и использует Cilium для организации сервисной сети, MetalLB для анонса сервисов наружу. Хранилище реализовано на LINSTOR, где предлагается использование ZFS в качестве базового слоя для хранилища и DRBD для репликации. Имеется преднастроенный стек мониторинга на базе VictoriaMetrics и Grafana. Для запуска виртуальных машин используется технология KubeVirt, которая позволяет запускать классические виртуальные машины прямо в контейнерах Kubernetes и уже имеет все необходимые интеграции с Cluster API для запуска управляемых Kubernetes-кластеров внутри "железного" Kubernetes-кластера.

За последние полтора месяца команда проекта выпустила новые версии 0.36 и 0.37. Среди изменений в данных выпусках:

• С нуля переписан интерфейс пользователя. В качестве основы задействован проект openapi-ui.
• В интерфейсе появился селектор кластера. Сейчас дашборд работает в режиме одного кластера (по одному дашборду на кластер). В будущем этот же интерфейс будет использоваться для мультикластерного режима.
• На экране кластера теперь сразу видны все доступные пространствам имё. Список формируется через агрегирующий слой Kubernetes (tenant namespace), поэтому показаны только те пространства, к которым есть доступ.
• Создание ресурсов теперь идёт через формы, автоматически сгенерированные из Kubernetes OpenAPI. Комментарии из YAML не нужны: поля и валидация берутся напрямую из спецификаций.
• Спецификация новых приложений формируется из Helm-чартов с помощью cozy-values generator, а введённые поля в форме синхронно отражаются в итоговом YAML.
• Модули управления tenant-ами переехали в секцию администрирования: здесь можно создавать субтенанты и ставить для них специфические модули/приложения (доступ зависит от роли и прав пользователя).
• Запланировано добавление вкладки с VNC-консолью для виртуальных машин. Для некоторых типов ресурсов будут добавлены специальные вкладки/поля (например, для KubeVirt-ВМ).
• Стабилизирован механизм управления ресурсами для tenant-ов Cozystack. Администраторы платформы теперь могут задавать явные лимиты CPU, памяти и хранилища для каждого tenant-namespace в спецификации tenant-а. Таким образом ни один из tenant-ов не может «съесть» всё, оставив другие tenant-ы без ресурсов.
• Добавлен компонент Kube-OVN Plunger для непрерывного отслеживания состояния центрального управляющего кластера сети Kube-OVN. Внешний агент собирает статус кластера OVN и информацию о консенсусе, показывает метрики Prometheus и поток событий через SSE (Server-Sent Events).
• Дополнение CoreDNS теперь разворачивается через Helm-чарт и настраивается в спецификации кластера (автомасштабирование, число реплик, сервисный IP и др.). CoreDNS можно конфигурировать как в дашборде, так и через API Cozystack.
• S3-хранилище на базе SeaweedFS стало более гибким на уровне компонентов. Helm-чарт позволяет независимо настраивать каждый компонент и его ресурсы: master-узлы, volume-серверы (с поддержкой множества зон), базу данных и S3-шлюз. Администраторы могут задавать для каждого компонента количество реплик, лимиты CPU/памяти и объём хранилища.
• Интегрирована ФС SeaweedFS 3.97 с поддержкой серверного шифрования бакетов S3 (SSE-C, SSE-KMS, SSE-S3). При обновлении Cozystack будет обновлена версия SeaweedFS, а спецификация сервисов — автоматически преобразована к новому формату.
• NGINX-контроллер теперь настраивается на уровне каждой реплики: можно задавать запросы/лимиты CPU и памяти напрямую или выбирать один из готовых пресетов.
• Если у виртуальной машины назначен внешний IP, он всегда используется для egress-трафика, независимо от метода назначения этого IP.

1. Главная ссылка к новости
2. OpenNews: Выпуск Cozystack 0.35, открытой PaaS-платформы на базе Kubernetes
3. OpenNews: Проект Cozystack принят в организацию CNCF
4. OpenNews: Первый альфа-выпуск etcd-оператора для Kubernetes
5. OpenNews: Проект etcd-await-election для запуска процессов с учётом выбора лидирующего экземпляра
6. OpenNews: Опубликован код COSI-драйвера для SeaweedFS

1. Главная ссылка к новости
2. OpenNews: Debian прекращает поддержку архитектуры Mipsel
3. OpenNews: В Debian намерены добавить Rust в число обязательных зависимостей к APT
4. OpenNews: В Debian реализована официальная поддержка архитектуры RISC-V
5. OpenNews: В Debian 9 "Stretch" прекращена поддержка 32-разрядной архитектуры PowerPC
6. OpenNews: Debian прекращает поддержку порта GNU/kFreeBSD

Устройство выходит за рамки обычного маршрутизатора и точки беспроводного доступа, и позиционируется как цифровой центр для дома и малых/средних предприятий. Помимо сетевых возможностей предоставляются средства для развёртывания сетевых хранилищ (NAS, Network-Attached Storage), VPN, резервного копирования, создания сервера печати и запуска произвольных серверных приложений.

На базе платформы Sentinel в прошивке реализован динамический межсетевой экран c элементами для обнаружения вторжений и отслеживания потоков трафика. Прошивка обновляется автоматически без необходимости выполнения каких-либо действий пользователем. Управление осуществляется через web-интерфейс или командную строку.

Из особенностей прошивки также выделяется встроенная возможность запуска Linux-контейнеров при помощи инструментария LXC. В контейнерах можно запускать изолированные приложения, устанавливать произвольные дистрибутивы Linux и создавать виртуальные серверы, для пользователей выглядящие как отдельный компьютер, подключённый к локальной сети.

Аппаратная начинка (схемы):

• 4-ядерный CPU Qualcomm IPQ 9574 (ARMv8 Cortex A-73, 2.2 GHz), 2 ГБ ОЗУ, 8 ГБ eMMC.
• WAN: 10 Gbps (SFP+), LAN: 10 Gbps (SFP+) и 4 × 2.5 Gbps (RJ45).
• Встроенный Wi-Fi 6 (до 800 Mbps, 2.4 GHz) на базе Qualcomm QCN 5124. Возможность подключения до 8 антенн.
• Три слота M.2 (PCI Express 3.0 2x) для подключения расширений:
  • Слот "M.2 E" c предустановленной беспроводной картой Noni 56M2-B QCN-6274, поддерживающей Wi-Fi 7 (5/6 GHz, до 11530 Mbps).
  • Слот "M.2 M" для подключения NVMe SSD-накопителя.
  • Слот "M.2 B" для подключения адаптера LTE/5G. Имеется готовая разводка на два установленных разъёма для SIM-карт.
• Два порта USB 3.0.
• Встроенный цветной экран с разрешением 240 × 240, например, может использоваться для вывода статистики, уведомлений и мониторинга.
• Пассивное охлаждение.
• Поддержка монтирования в стойку (Rack-Mount).

1. Главная ссылка к новости
2. OpenNews: Открытый маршрутизатор Turris Omnia собрал более 400 тысяч долларов
3. OpenNews: Новый открытый маршрутизатор Turris Omnia
4. OpenNews: Nokia представила сетевую операционную систему SR Linux для маршрутизаторов
5. OpenNews: Атака на провайдера, выведшая из строя 659 тысяч домашних маршрутизаторов
6. OpenNews: Доступен маршрутизатор OpenWrt One, развиваемый сообществами OpenWrt и Banana Pi

Проект CHERIoT был создан компанией Microsoft для решения проблем с безопасностью в существующем коде на языках C и С++ и защиты подобного кода без необходимости его переработки. Защита реализуется через применение модифицированного компилятора, использующего расширенный набор процессорных инструкций (ISA) для обеспечения целостности указателей, контроля над границами при работе с памятью и предотвращения обращения к освобождённой памяти. В 2023 году наработки CHERIoT были открыты и преобразованы в совместный проект, к которому подключились и другие компании.

Аппаратные компоненты CHERIoT оформлены в виде микроконтроллера на базе архитектуры RISC-V, реализующего защищённую процессорную архитектуру CHERI (Capability Hardware Extension to RISC-V) c моделью управляемого доступа к памяти на основе "capability" (каждая операция чтения и записи в память авторизуется). На базе предоставляемой в CHERIoT архитектуры набора команд (ISA) построена программная модель, гарантирующая безопасность работы с памятью на уровне отдельных объектов, предоставляющая защиту от обращения к уже освобождённой памяти и реализующая легковесную систему изоляции доступа к памяти.

Указанная программная модель защиты напрямую отражается в языковую модель C/C++, что позволяет применять её для существующих приложений, для защиты которых требуется лишь перекомпиляция и запуск на оборудовании, поддерживающем ISA CHERIoT. Например, применение CHERIoT позволяет без внесения изменений в код реализовать автоматическую проверку границ, отслеживание времени жизни областей памяти и обеспечение целостности указателей в компонентах, обрабатывающих не заслуживающие доверия данные.

Среди проблем, блокируемых при помощи CHERIoT:

• Выход за границы объекта в памяти;
• Подмена указателей (при применении CHERIoT все указатели должны порождаться от уже существующих указателей);
• Обращение к памяти после освобождения (любой доступ к памяти по некорректному указателю или указателю, ссылающемуся на освобождённый объект приводит при применении CHERIoT к генерации исключения).

Помимо спецификации и формальной модели проектом развивается эталонная реализация 32-разрядного RISC-V CPU Ibex c поддержкой ISA CHERIoT и модифицированный инструментарий LLVM. Cхемы прототипа CPU и описания аппаратных блоков на языке Verilog распространяются под лицензией Apache 2.0. В качестве основы для CPU использовано ядро Ibex от проекта lowRISC. На базе ядра CHERIoT Ibex готовятся к массовому производству чипы ICENI, поступление в продажу которых запланировано на следующий год. Отдельно компанией Microsoft развивается микроконтроллер Kudu с поддержкой ISA CHERIoT. Ibex и Kudu уже полностью поддерживают спецификацию CHERIoT 1.0. Ведётся работа по стандартизации CHERI-расширений для процессоров RISC-V в организации RISC-V International.

Дополнительно развивается эмулятор платформы на базе FPGA и Docker-контейнер для разработчиков с предустановленным инструментарием и симулятором CPU Ibex, реализованным при помощи Verilator. Кроме того, на базе CHERIoT подготовлен прототип операционной системы реального времени CHERIoT RTOS, предоставляющей возможность изоляции компартментов (compartment) даже на встраиваемых системах с 256 МБ ОЗУ. Код CHERIoT RTOS написан на языке С++ и распространяется под лицензией MIT. В форме компартментов оформлены базовые компоненты ОС, такие как загрузчик, планировщик и система распределения памяти.

Компартмент в CHERIoT RTOS представляет собой изолированную комбинацию кода и глобальных переменных, которая напоминает разделяемую библиотеку, но в отличие от последней может менять своё состояние (mutable) и запускаться в отдельном контексте безопасности. Никакой код извне не может передать управление коду в компартменте и получить доступ к объектам, за исключением обращения к специально определённым точкам входа и использования указателей на объекты, явно переданные при вызове другого компартмента. Для кода и глобальных объектов в компартменте гарантируется целостность и конфиденциальность.

1. Главная ссылка к новости
2. OpenNews: Началось производство чипов на базе открытой платформы OpenTitan
3. OpenNews: Google представил проект Open Se Cura для создания защищённых программно-аппаратных систем
4. OpenNews: Google открыл код защищённой операционной системы KataOS
5. OpenNews: Intel и AMD стандартизируют механизм ChkTag для защиты от уязвимостей при работе с памятью
6. OpenNews: Microsoft открыл CHERIoT, аппаратное решение для повышения безопасности кода на языке Си

В основе платформы заложена парадигма комбинаторного программирования (function-level), что существенно отличает lsFusion от существующих на рынке платформ (например SAP, Dynamics AX, 1С, .Net). Также внутри активно используются событийное, реактивное и объектно-ориентированное программирование. Версия 6.1 фокусируется на исправлении ошибок, а также повышении удобства интеграции, расширении возможностей языка и интерфейса, а также на подготовке к поддержке альтернативных клиентов.

Основные изменения в версии 6.1:

• Поддержка аннотации "@@deprecated" для пометки устаревших элементов языка и постепенного вывода их из использования.
• Поддержка MEASURES(groupObject) для построения многомерных отчётов с несколькими показателями.
• Возможность передачи имён файлов напрямую в операторах чтения и записи (READ / WRITE).
• Улучшен поиск через PrefixSearch, точные совпадения теперь имеют больший приоритет, а также добавлен новый оператор prefixSearchExact для более гибкого ранжирования.
• Поддержка внешнего идентификатора действий EXTID для интеграционных сценариев.
• Действие UpdateStats теперь можно выполнять автоматически по расписанию.
• Обеспечена канонизация JSON для корректного сравнения/подписей/кеширования без «ложных» различий в порядке полей.
• Выполнен рефакторинг клиентских действий для будущей поддержки Flutter-клиента.
• В start.log обеспечена запись версии Java, classpath и аргументов JVM.
• Улучшено определение и переопределение мобильного режима.

1. Главная ссылка к новости
2. OpenNews: Релиз MyCompany 6.0, открытой платформы для автоматизации бизнес-процессов малых предприятий
3. OpenNews: Релиз платформы разработки информационных систем lsFusion 6.0
4. OpenNews: Релиз платформы разработки информационных систем lsFusion 4.0

Технология VST 3 позволяет создавать кроссплатформенные плагины с реализацией звуковых эффектов и виртуальных музыкальных инструментов, которые можно использовать в различных платформах для создания музыки и цифровой обработки звука. В настоящее время VST является самым распространённым форматом плагинов для программ работы со звуком и, среди прочего поддерживается в открытых, проектах, таких как OBS Studio, Ardour и Audacity. SDK для VST включает реализацию API VST 3, вспомогательную библиотеку классов C++ для упрощения разработки плагинов, обвязки для поддержки форматов плагинов AAX (Avid Audio eXtension), AUv3 (Audio Unit v3) и AU (Audio Unit), набор примеров и тулкит VSTGUI для использования графического интерфейса в плагинах. Помимо изменения модели лицензирования версия VST SDK 3.8 примечательна добавлением экспериментальной поддержки Wayland на платформе Linux.

ASIO SDK включает в себя открытую реализацию протокола ASIO (Audio Stream Input/Output), применяемого для взаимодействия приложений со звуковыми картами. ASIO ориентирован на использование в профессиональных системах для записи и воспроизведения звука с низкими задержками, стабильным качеством и высокой пропускной способностью. Протокол поддерживает такие возможности, как переменная разрядность кодирования (bit depth), переменная частота дискретизации, многоканальные операции и средства синхронизации звукового потока.

Открытие кода ASIO SDK позволит интегрировать поддержку ASIO в открытые проекты, совместимые с лицензией GPLv3. Изменение модели лицензирования стало результатом сотрудничества компании Steinberg с разработчиками открытой системы потокового видеовещания OBS Studio, для которой Steinberg взял на себя роль технического спонсора. Интеграция поддержки ASIO в OBS Studio позволит расширить область применение данного протокола и использовать его не только при создании музыки и обработке звука, но и при организации live-трансляций.

1. Главная ссылка к новости
2. OpenNews: Выпуск системы потокового видеовещания OBS Studio 32.0
3. OpenNews: Релиз открытой цифровой звуковой рабочей станции Zrythm 1.0.0
4. OpenNews: Выпуск программного звукового синтезатора Bespoke Synth 1.0
5. OpenNews: Выпуск свободного звукового редактора Ardour 8.8
6. OpenNews: Ardour прекратил поддержку сборки с GTK2 в пользу форка YTK