Baru-baru ini ketersediaan versi baharu kotak pasir bungkus gelembung 0.6, di mana beberapa perubahan penting telah dibuat seperti kemasukan sokongan untuk penyusunan dengan Meson, sokongan separa untuk spesifikasi REUSE dan beberapa perubahan lain.
Bagi mereka yang tidak mengetahui tentang Bubblewrap, anda harus tahu bahawa ini adalah a utiliti biasanya digunakan untuk mengehadkan aplikasi individu kepada pengguna yang tidak mempunyai keistimewaan. Dalam amalan, projek Flatpak menggunakan Bubblewrap sebagai lapisan untuk mengasingkan aplikasi yang dilancarkan daripada pakej.
Untuk pengasingan, Linux menggunakan teknologi virtualisasi bekas tradisional berdasarkan penggunaan kumpulan, ruang nama, Seccomp dan SELinux. Untuk melakukan operasi istimewa untuk mengkonfigurasi wadah, Bubblewrap dimulakan dengan hak root (fail yang dapat dieksekusi dengan bendera suid), diikuti dengan penetapan semula hak istimewa setelah wadah diinisialisasi.
Mengenai Bubblewrap
Bubblewrap diposisikan sebagai pelaksanaan suida terhad dari subset fungsi ruang nama pengguna untuk mengecualikan semua id pengguna dan proses dari persekitaran kecuali yang sekarang, gunakan mod CLONE_NEWUSER dan CLONE_NEWPID.
Untuk perlindungan tambahan, program yang berjalan di Bubblewrap bermula dalam mod PR_SET_NO_NEW_PRIVS, yang melarang hak istimewa baru, sebagai contoh, dengan bendera setuid.
Pengasingan pada tahap sistem fail dilakukan dengan membuat ruang nama mount baru secara lalai, di mana partisi root kosong dibuat menggunakan tmpfs.
Sekiranya perlu, bahagian FS luaran dilampirkan pada bahagian ini di «lekapkan – ikat»(Contohnya, bermula dengan pilihan«bwrap –ro-bind / usr / usr', Bahagian / usr diteruskan dari host dalam mod baca sahaja).
Keupayaan daripada rangkaian terhad kepada akses kepada antara muka gelung balik terbalik dengan pengasingan timbunan rangkaian melalui penunjuk CLONE_NEWNET dan CLONE_NEWUTS.
Perbezaan utama dengan projek Firejail yang serupa, yang juga menggunakan pelancar setuid, adalah di Bubblewrap, lapisan bekas hanya merangkumi ciri minimum yang diperlukan dan semua fungsi lanjutan yang diperlukan untuk melancarkan aplikasi grafik, berinteraksi dengan desktop, dan menapis panggilan ke Pulseaudio, dibawa ke sisi Flatpak dan dijalankan setelah hak istimewa ditetapkan semula.
Kebaharuan utama Bubblewrap 0.6
Dalam versi baharu Bubblewrap 0.6 yang dibentangkan ini, ia diserlahkan menambah sokongan untuk sistem binaan Meson, di mana sokongan untuk menyusun dengan Autotools telah dipelihara untuk sekarang, tetapi ia bertujuan bahawa ini ia akan dialih keluar memihak kepada penggunaan Meson dalam keluaran akan datang.
Satu lagi kebaharuan dalam versi baharu Bubblewrap 0.6 ini ialah pelaksanaan pilihan “–add-seccom” untuk menambah lebih daripada satu program seccom, turut menambah amaran bahawa jika pilihan “–seccomp” dinyatakan semula, hanya pilihan terakhir akan digunakan.
Juga diperhatikan bahawa sokongan separa untuk spesifikasi REUSE, yang menyatukan proses menentukan maklumat lesen dan hak cipta.
Selain itu, pengepala juga ditambah SPDX-Licence-Identifier kepada banyak fail kod. Mengikuti garis panduan REUSE memudahkan untuk menentukan lesen mana yang digunakan pada bahagian mana kod aplikasi anda.
Sebaliknya, tambah semakan nilai pembilang argumen daripada baris arahan (argc) dan melaksanakan jalan keluar kecemasan jika kaunter adalah sifar. Perubahan pMembolehkan anda menyekat isu keselamatan disebabkan oleh pengendalian yang salah terhadap argumen baris arahan yang diluluskan, seperti CVE-2021-4034 dalam Polkit
Daripada perubahan yang lain yang menonjol dari versi baru ini:
- Cawangan induk dalam repositori git telah dinamakan semula kepada main
- Alih keluar integrasi CI lama
- Menggunakan bash melalui PATH untuk keserasian yang lebih baik dengan sistem pengendalian bukan FHS
akhirnya jika anda berminat untuk mengetahui lebih lanjut mengenainya mengenai versi baru ini, anda boleh menyemak perinciannya Dalam pautan berikut.