Hiljuti - kättesaadavus liivakasti uus versioon mullikile 0.6, milles on tehtud mõned olulised muudatused, näiteks Mesoniga kompileerimise toe kaasamine, REUSE spetsifikatsiooni osaline tugi ja mõned muud muudatused.
Need, kes pole Bubblewrapist teadlikud, peaksid teadma, et see on a utiliit, mida tavaliselt kasutatakse üksikute rakenduste piiramiseks privilegeeritud kasutajatele. Praktikas kasutab Flatpaki projekt Bubblewrapi kihina, et eraldada pakettidest käivitatud rakendused.
Eraldamiseks kasutab Linux virtualiseerimistehnoloogiaid traditsioonilisi konteinereid, mis põhinevad rühmade, nimeruumide, Seccompi ja SELinuxi kasutamisel. Konteineri konfigureerimiseks privilegeeritud toimingute alustamiseks käivitatakse Bubblewrap juurõigustega (täidetav fail suid lipuga), millele järgneb privileegi lähtestamine pärast konteineri lähtestamist.
Bubblewrapi kohta
Bubblewrap on paigutatud piiratud suida-rakendusena Kasutajate nimeruumi funktsioonide alamhulgast kõigi kasutaja- ja protsesside ID-de välistamiseks keskkonnast, välja arvatud praegune, kasutage režiime CLONE_NEWUSER ja CLONE_NEWPID.
Täiendavaks kaitseks Bubblewrapis töötavad programmid alustavad režiimis PR_SET_NO_NEW_PRIVS, mis keelab uued privileegid, näiteks lipuga setuid.
Failisüsteemi tasemel eraldamine toimub vaikimisi uue liitumisnimeruumi loomisega, kus tmpfs abil luuakse tühi juurpartitsioon.
Vajadusel lisatakse välised FS-jaotised sellele jaotisele jaotises «mount –köitma»(Näiteks alustades suvandiga«bwrap –ro-bind / usr / usr', Jaotis / usr edastatakse hostilt kirjutuskaitstud režiimis).
Võimalused võrk on piiratud juurdepääsuga loopback liidesele tagurpidi indikaatorite abil võrgupinu eraldamisega CLONE_NEWNET ja CLONE_NEWUTS.
Peamine erinevus sarnase Firejaili projektiga, mis kasutab ka käsku setuid, on see Bubblewrapis, konteinerikiht sisaldab ainult minimaalselt vajalikke omadusi ja kõik graafiliste rakenduste käivitamiseks, töölauaga suhtlemiseks ja Pulseaudiole tehtud kõnede filtreerimiseks vajalikud täpsemad funktsioonid viiakse Flatpaki küljele ja käivitatakse pärast õiguste lähtestamist.
Bubblewrap 0.6 peamised uuendused
Selles esitletavas Bubblewrap 0.6 uues versioonis on rõhutatud, et lisatud toetus ehitussüsteem Meson, kusjuures koostamise tugi koos jaoks on säilinud Autotools nüüd, kuid see on mõeldud selleks see eemaldatakse Mesoni kasutamise kasuks tulevases versioonis.
Veel üks uudsus selles Bubblewrap 0.6 uues versioonis on selle valiku rakendamine "–add-seccomp" rohkem kui ühe seccomp programmi lisamiseks, lisas ka hoiatuse, et kui suvand "--seccomp" on uuesti määratud, rakendub ainult viimane valik.
Samuti märgitakse, et REUSE spetsifikatsiooni osaline tugi, mis ühendab litsentsi ja autoriõiguse teabe täpsustamise protsessi.
Peale selle lisati ka päised Paljude failide SPDX-litsentsi identifikaator koodist. TAASKASUTAMISE juhiste järgimine võimaldab hõlpsalt automaatselt määrata, milline litsents kehtib teie rakenduse koodi millistele osadele.
Teisest küljest lisas argumentide loenduri väärtuse kontroll käsurealt (argc) ja rakendas avariiväljapääsu, kui loendur on null. Muutus lkVõimaldab turvaprobleeme blokeerida põhjustatud läbitud käsurea argumentide, näiteks CVE-2021-4034, ebaõigest käsitlemisest Polkitis
Muudest muudatustest mis eristuvad sellest uuest versioonist:
- Git-hoidlas olev põhiharu on ümber nimetatud põhiharuks
- Eemaldage vana CI-integratsioon
- Bashi kasutamine PATH-i kaudu, et tagada parem ühilduvus mitte-FHS-i operatsioonisüsteemidega
lõpuks kui oled huvitatud sellest veidi rohkem teada selle uue versiooni kohta saate vaadata üksikasju Järgmisel lingil.