Baru-baru ini ketersediaan versi baru dari sandboxing bungkus gelembung 0.6, di mana beberapa perubahan penting telah dibuat seperti dimasukkannya dukungan untuk kompilasi dengan Meson, dukungan parsial untuk spesifikasi REUSE dan beberapa perubahan lainnya.
Bagi mereka yang tidak mengetahui Bubblewrap, Anda harus tahu bahwa ini adalah utilitas yang biasanya digunakan untuk membatasi aplikasi individual untuk pengguna yang tidak memiliki hak istimewa. Dalam praktiknya, proyek Flatpak menggunakan Bubblewrap sebagai lapisan untuk mengisolasi aplikasi yang diluncurkan dari paket.
Untuk isolasi, Linux menggunakan teknologi virtualisasi wadah tradisional berdasarkan penggunaan cgroups, namespace, Seccomp dan SELinux. Untuk melakukan operasi dengan hak istimewa untuk mengonfigurasi penampung, Bubblewrap dimulai dengan hak akses root (file yang dapat dieksekusi dengan tanda suid), diikuti dengan penyetelan ulang hak setelah penampung diinisialisasi.
Tentang Bubblewrap
Bubblewrap diposisikan sebagai implementasi suida terbatas dari subset fungsi namespace pengguna untuk mengecualikan semua ID pengguna dan proses dari lingkungan kecuali yang sekarang, gunakan mode CLONE_NEWUSER dan CLONE_NEWPID.
Untuk perlindungan tambahan, program yang berjalan di Bubblewrap mulai dalam mode PR_SET_NO_NEW_PRIVS, yang melarang hak istimewa baru, misalnya, dengan flag setuid.
Isolasi pada tingkat sistem file dilakukan dengan membuat, secara default, namespace mount baru, di mana partisi root yang kosong dibuat menggunakan tmpfs.
Jika perlu, bagian FS eksternal dilampirkan ke bagian ini di «pasang –ikat»(Misalnya, dimulai dengan opsi«bwrap –ro-bind / usr / usr', Bagian / usr diteruskan dari host dalam mode hanya-baca).
Kemampuan dari jaringan terbatas untuk mengakses antarmuka loopback terbalik dengan isolasi tumpukan jaringan melalui indikator CLONE_NEWNET dan CLONE_NEWUTS.
Perbedaan utama dengan proyek Firejail serupa, yang juga menggunakan peluncur setuid, di Bubblewrap, lapisan penampung hanya mencakup fitur minimum yang diperlukan dan semua fungsi lanjutan yang diperlukan untuk meluncurkan aplikasi grafis, berinteraksi dengan desktop, dan memfilter panggilan ke Pulseaudio, dibawa bersama Flatpak dan dijalankan setelah hak istimewa disetel ulang.
Hal baru utama dari Bubblewrap 0.6
Dalam versi baru dari Bubblewrap 0.6 yang disajikan, disorot bahwa menambahkan dukungan untuk membangun sistem meson, di mana dukungan untuk kompilasi dengan Autotools telah dipertahankan untuk sekarang, tetapi dimaksudkan bahwa ini itu akan dihapus demi penggunaan Meson di rilis mendatang.
Hal baru lainnya dalam versi baru Bubblewrap 0.6 ini adalah penerapan opsi “–add-seccomp” untuk menambahkan lebih dari satu program seccomp, juga menambahkan peringatan bahwa jika opsi "--seccomp" ditentukan lagi, hanya opsi terakhir yang akan diterapkan.
Juga dicatat bahwa dukungan parsial untuk spesifikasi REUSE, yang menyatukan proses penetapan informasi lisensi dan hak cipta.
Selain itu header juga ditambahkan SPDX-License-Identifier ke banyak file dari kode. Mengikuti pedoman REUSE memudahkan untuk secara otomatis menentukan lisensi mana yang berlaku untuk bagian mana dari kode aplikasi Anda.
Di sisi lain, ditambahkan pemeriksaan nilai penghitung argumen dari baris perintah (argc) dan menerapkan pintu darurat jika penghitungnya nol. perubahan pMemungkinkan Anda untuk memblokir masalah keamanan disebabkan oleh penanganan yang salah dari argumen baris perintah yang diteruskan, seperti CVE-2021-4034 di Polkit
Dari perubahan lainnya yang menonjol dari versi baru ini:
- Cabang master di repositori git telah diubah namanya menjadi main
- Hapus integrasi CI lama
- Menggunakan bash melalui PATH untuk kompatibilitas yang lebih baik dengan sistem operasi non-FHS
akhirnya jika kamu tertarik untuk mengetahui lebih banyak tentangnya tentang versi baru ini, Anda dapat memeriksa detailnya Di tautan berikut.