Попытка оспорить удаление увенчалась неудачей и апелляция была отклонена (судя по времени реакции, ответ был сгенерирован ботом, как и в недавнем инциденте с удалением uBlock Origin из каталога Chrome Web Store). После этого разработчик удалил ссылку на приём пожертвований и повторно отправил приложение в каталог. В настоящее время заявка находится в очереди на рецензирование, до завершения которого приложение остаётся недоступным в Google Play. В качестве запасного варианта приложение можно установить из каталога F-Droid.

Вначале создалось впечатление, что удаление WireGuard является единичным недоразумением, вызванным ложным срабатыванием системы автоматизированного рецензирования обновлений в Google Play. Но выяснилось, что с похожей проблемой на прошлой неделе также столкнулись разработчики открытого приложения andOTP (программа для двухфакторной аутентификации с использованием одноразовых паролей). Данное приложение тоже было удалено из Google Play и тоже за наличие ссылки на страницу приёма пожертвований.

Так как уведомление о нарушении содержит лишь общую информацию, разработчики предположили, что нарушение заключается в том, что приём пожертвований производится не через платёжный механизм Googles In-App, предписываемый правилами осуществления платежей из приложения. При этом в правилах, приём пожертвований через In-app Billing заявлен, как пока не поддерживаемый метод монетизации. Кроме того, в FAQ по методам платежей пожертвования отмечены как недопустимые, если их собирает не специально зарегистрированная некоммерческая организация.

Как и WireGuard, приложение andOTP, не смотря на то, что оно было удалено 6 дней назад, до сих пор остаётся недоступно в Google Play, но его можно установить через каталог F-Droid. Приложение WireGuard насчитывало более 50 тысяч установок в Google Play, а andOTP более 10 тысяч.

1. Главная ссылка к новости
2. OpenNews: Cloudflare опубликовал реализацию VPN WireGuard на языке Rust
3. OpenNews: Для включения в состав ядра Linux предложен VPN WireGuard
4. OpenNews: Разработчики VPN WireGuard представили новую криптографическую библиотеку Zinc
5. OpenNews: Из-за изменения правил в Google Play оставлена урезанная версия KDE Connect
6. OpenNews: Chrome Web Store блокировал публикацию обновления uBlock Origin (дополнено)

Поддержка сжатия пакетов с использованием zstd появится в выпуске pacman 5.2, но для установки подобных пакетов потребуется версия libarchive с поддержкой zstd. Поэтому перед началом распространения пакетов, сжатых при помощи zstd, пользователям предписано установить libarchive как минимум версии 3.3.3-1 (пакет с данной версией был подготовлен год назад, поэтому скорее всего нужный выпуск libarchive уже установлен). Пакеты, сжатые zstd, будут поставляться с расширением ".pkg.tar.zst".

1. Главная ссылка к новости
2. OpenNews: Дистрибутив Fedora 31 перешёл на стадию бета-тестирования
3. OpenNews: Релиз Debian 10 "Buster"
4. OpenNews: Релиз менеджера загрузки GNU GRUB 2.04
5. OpenNews: Автор LZ4 представил новый быстрый и эффективный алгоритм сжатия ZSTD
6. OpenNews: Distri - дистрибутив для обкатки технологий быстрого управления пакетами

Основные изменения:

• Представлены новые модули разбора и ведения лога для протоколов RDP, SNMP и SIP, написанные на языке Rust. В модуль для разбора FTP добавлена возможность ведения лога через подсистему EVE, обеспечивающую вывод событий в формате JSON;
• В дополнение к появившейся в прошлом выпуске поддержке метода идентификации TLS-клиентов JA3 добавлена поддержка метода JA3S, позволяющего на основе особенностей согласования соединений и задаваемых параметров определять какое ПО используется для установки соединения (например, позволяет определить использование Tor и других типовых приложений). JA3 даёт возможность определять клиентов, а JA3S - серверы. Результаты определения можно использовать в языке задания правил и в логах;
• Добавлена экспериментальная возможность сопоставления с выборкой из больших наборов данных, реализуемая при помощи новых операций dataset и datarep. Например, возможность применима для поиска масок в больших чёрных списках, насчитывающих миллионы записей;
• В режиме инспектирования HTTP обеспечено полное покрытие всех ситуаций, описанных в тестовым наборе HTTP Evader (например, охватывает методы, применяемые для скрытия в трафике вредоносной активности);
• Средства разработки модулей на языке Rust переведены из опций в разряд обязательных штатных возможностей. В дальнейшем планируется расширение применения Rust в кодовой базе проекта и постепенная замена модулей на аналоги, разработанные на Rust;
• Движок определения протоколов улучшен в области повышения точности и обработки асинхронных потоков трафика;
• В EVE-лог добавлена поддержка нового типа записей "anomaly", в которых сохраняются нетипичные события, выявляемые при декодировании пакетов. В EVE также расширено отражение информации о VLAN и интерфейсах захвата трафика. Добавлена опция для сохранения всех HTTP-заголовков в http-записях лога EVE;
• В обработчиках на базе eBPF обеспечена поддержка аппаратных механизмов ускорения захвата пакетов. Аппаратное ускорение пока ограничено сетевыми адаптерами Netronome, но скоро появится и для другого оборудования;
• Переписан код для захвата трафика при помощи фреймворка Netmap. Добавлена возможность использования расширенных возможностей Netmap, таких как виртуальный коммутатор VALE;
• Добавлена поддержка новой схемы определения ключевых слов для "липких буферов" (Sticky Buffers). Новая схема определена в формате "протокол.буфер", например, для инроспектирования URI ключевое слово примет вид "http.uri" вместо "http_uri";
• Весь используемый Python код проверен на совместимость с Python 3;
• Прекращена поддержка архитектуры Tilera, текстового лога dns.log и старого лога files-json.log.

Особенности Suricata:

• Использование для вывода результатов проверки унифицированного формата Unified2, также используемого проектом Snort, что позволяет использовать стандартные инструменты для анализа, такие как barnyard2. Возможность интеграции с продуктами BASE, Snorby, Sguil и SQueRT. Поддержка вывода в формате PCAP;
• Поддержка автоматического определения протоколов (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB и т.п.), позволяющая оперировать в правилах только типом протокола, без привязки к номеру порта (например, блокировать HTTP трафик на нестандартном порту). Наличие декодировщиков для протоколов HTTP, SSL, TLS, SMB, SMB2, DCERPC, SMTP, FTP и SSH;
• Мощная система анализа HTTP-трафика, использующая для разбора и нормализации HTTP-трафика специальную библиотеку HTP, созданную автором проекта Mod_Security. Доступен модуль для ведения подробного лога транзитных HTTP пересылок, лог сохраняется в стандартном формате Apache. Поддерживается извлечение и проверка передаваемых по протоколу HTTP файлов. Поддержка разбора сжатого контента. Возможность идентификации по URI, Cookie, заголовкам, user-agent, телу запроса/ответа;
• Поддержка различных интерфейсов для перехвата трафика, в том числе NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Возможен анализ уже сохранённых файлов в формате PCAP;
• Высокая производительность, способность обрабатывать на обычном оборудовании потоки до 10 гигабит/cек.
• Высокопроизводительный механизм сопоставления по маске с большими наборами IP адресов. Поддержка выделение контента по маске и регулярным выражениям. Выделение файлов из трафика, в том числе их идентификация по имени, типу или контрольной сумме MD5.
• Возможность использования переменных в правилах: можно сохранить информацию из потока и позднее использовать ее в других правилах;
• Использование формата YAML в файлах конфигурации, что позволяет сохранить наглядность при легкости машинной обработки;
• Полная поддержка IPv6;
• Встроенный движок для автоматической дефрагментации и пересборки пакетов, позволяющий обеспечить корректную обработку потоков, независимо от порядка поступления пакетов;
• Поддержка протоколов туннелирования: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
• Поддержка декодирования пакетов: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
• Режим ведения лога ключей и сертификатов, фигурирующих в рамках соединений TLS/SSL;
• Возможность написания скриптов на языке Lua для обеспечения расширенного анализа и реализации дополнительных возможностей, необходимых для определения видов трафика, для которых не достаточно стандартных правил.
1. Главная ссылка к новости
2. OpenNews: Доступна система обнаружения атак Suricata 4.1
3. OpenNews: Выпуск анализатора трафика Zeek 3.0.0
4. OpenNews: Релиз Sagan 0.2, системы мониторинга событий информационной безопасности
5. OpenNews: Система обнаружения атак Snort 3 перешла на стадию бета-тестирования
6. OpenNews: Релиз системы обнаружения атак Snort 2.9.15.0

После проверки соответствия драйверы будут добавлены в список продуктов, официально совместимых с развиваемыми в Khronos спецификациями. Ранее сертификация открытых графических драйверов производилась по инициативе отдельных компаний (например, свой Mesa-драйвер сертифицировал Intel), а независимые разработчики были лишены данной возможности. Получение сертификата позволяет официально заявлять о совместимости с графическими стандартами и использовать связанные с ними торговые марки Khronos.

1. Главная ссылка к новости
2. OpenNews: Выпуск Mesa 19.2.0, свободной реализации OpenGL и Vulkan
3. OpenNews: Фонд Khronos создаёт рабочую группу по развитию открытых стандартов 3D-коммерции
4. OpenNews: Опубликован графический стандарт Vulkan 1.1
5. OpenNews: Выпуск спецификации OpenGL 4.6
6. OpenNews: Khronos опубликовал спецификацию OpenVX 1.0

OnionShare запускает на локальной системе web-сервер, работающий в форме скрытого сервиса Tor, и делает его доступным для других пользователей. Для доступа к серверу генерируется непредсказуемый onion-адрес, который выступает в роли точки входа для организации обмена файлами (например, "http://ash4...pajf2b.onion/slug", где slug - два случайных слова для усиления защиты). Для загрузки или отправки файлов другим пользователям достаточно открыть этот адрес в Tor Browser. В отличие от отправки файлов по email или через такие сервисы, как Google Drive, DropBox и WeTransfer, система OnionShare является самодостаточной, не требует обращения к внешним серверам и позволяет передать файл без посредников напрямую со своего компьютера.

От других участников обмена файлами не требуется установка OnionShare, достаточно обычного Tor Browser и одного экземпляра OnionShare у одного из пользователей. Конфиденциальность пересылки осуществляется путём безопасной передачи адреса, например, используя режим end2end-шифрования в мессенджере. После завершения передачи адрес сразу удаляется, т.е. передать файл второй раз в обычном режиме не получится (требуется применение отдельного публичного режима). Для управления отдаваемыми и принимаемыми файлами, а также для контроля за передачей данных, на стороне запущенного на системе пользователя сервера предоставляется графический интерфейс.

В новом выпуске, помимо вкладок для открытия совместного доступа и приёма файлов, появилась функция публикации сайта. Указанная возможность позволяет использовать OnionShare в качестве простого web-сервера для отдачи статических страниц. Пользователю достаточно перетащить мышью необходимые файлы в окно OnionShare и нажать кнопку "Start sharing". После этого любые пользователи Tor Browser смогут обратиться к размещённой информации как к обычному сайту, используя URL с onion-адресом.

Если в корне размещён файл index.html, то будет показано его содержимое, а если его нет, то будет выведен список файлов и каталогов. При необходимости ограничить доступ к информации OnionShare поддерживает вход на страницу по логину и паролю при помощи штатного метода аутентификации HTTP Basic. В интерфейс OnionShare также добавлена возможность просмотра информации об истории посещений, позволяющая судить о том какие и когда были запрошены страницы.

По умолчанию для сайта генерируется временный onion-адреc, действующий пока запущен OnionShare. Чтобы сохранить адрес между перезапусками в настройках предусмотрена опция для генерации постоянных onion-адресов. Местоположение и IP-адрес пользовательской системы, на которой запущен OnionShare, скрыты при помощи технологии скрытых сервисов Tor, что позволяет быстро создавать сайты, которые невозможно цензурировать и отследить владельца.

Из изменений в новом выпуске также можно отметить появление в режиме обмена файлами возможности навигации по каталогам - пользователь может открыть доступ не к отдельным файлам, а к иерархии каталогов и другие пользователи смогут просматривать содержимое и загружать файлы, если в настройках не выбрана опция блокирования доступа после первой загрузки.

1. Главная ссылка к новости
2. OpenNews: Компания Mozilla ввела в строй сервис обмена файлами Firefox Send
3. OpenNews: Проект Tor представил OnionShare 2, приложение для защищённого обмена файлами
4. OpenNews: Возобновление работы по интеграции поддержки Tor в Firefox
5. OpenNews: Выпуск новой стабильной ветки Tor 0.4.1
6. OpenNews: В Tor отключены 800 из 6000 узлов из-за применения устаревшего ПО

Дополнения на базе OpenSearch будут удалены 5 декабря. Вместо OpenSearch для создания дополнений для интеграции с поисковыми системами рекомендуется использовать API WebExtensions. В частности, для переопределения настроек, связанных с поисковыми системами, следует использовать chrome_settings_overrides и новый синтаксис описания интерфейса с поисковой системой, похожий на OpenSearch, но определённый в формате JSON, а не XML.

1. Главная ссылка к новости
2. OpenNews: Код Firefox полностью избавлен от XBL
3. OpenNews: В Firefox добавлена поддержка работы в режиме киоска
4. OpenNews: В ночных сборках Firefox отключена поддержка TLS 1.0 и TLS 1.1
5. OpenNews: Доступен браузер Firefox Preview 2.0 для Android
6. OpenNews: Firefox переходит на сокращённый цикл подготовки релизов

Основные изменения в выпуске 6.0.14:

• Обеспечена совместимость с ядром Linux 5.3;
• Улучшена совместимость с гостевыми системами, в которых используется звуковая подсистема ALSA в режиме эмуляции AC'97;
• В виртуальных графических адаптерах VBoxSVGA и VMSVGA решены проблемы с мерцанием, перерисовкой и крахом некоторых 3D-приложений;
• В скриптах для создания rpm-пакетов для хостов на базе Linux улучшен код для определения версий Python, что решило некоторые проблемы при установке;
• В компонентах для гостевых систем на базе Linux устранён сбой при вызове aio_read и aio_write для совместно используемых разделов (shared folders), а также решена проблема при отмонтировании совместных разделов;
• Устранены проблемы со сборкой компонентов для гостевых систем в RHEL/CentOS/Oracle Linux 7.7 и RHEL 8.1 Beta;
• В коде виртуализации решены проблемы при работе на системах с большим числом процессоров и исправлена ошибка, при редком стечении обстоятельств приводившая к некорректному состоянию гостевой системы на некоторых хостах с процессорами Intel;
• Повышена стабильность проброса доступа к USB-устройству на хостах с Windows;
• Решена потенциальная проблема с обработкой прерываний от сетевых адаптеров в гостевых системах c UEFI;
• Устранён крах процесса GUI VM в хост окружении macOS 10.15 Catalina.

1. Главная ссылка к новости
2. OpenNews: Бета-выпуск VirtualBox 6.1
3. OpenNews: Выпуск VirtualBox 6.0.12
4. OpenNews: Релиз системы виртуализации VirtualBox 6.0

Например, замена Perl на Raku потребует также замены упоминания "perl" в каталогах и именах файлов, классах, переменных окружения, переработки документации и сайта. Также предстоит большая работа с сообществом и сторонними сайтами, по замене упоминаний Perl 6 на Raku на всевозможных информационных ресурсах (например, может потребоваться добавление тега raku в материалы с тегом perl6). Нумерация версий языка пока останется без изменений и следующим станет релиз "6.e", в котором будет сохранена совместимость с прошлыми выпусками. Но не исключается организация обсуждения перехода к другой нумерации выпусков.

Для скриптов будет использоваться расширение ".raku", для модулей ".rakumod", для тестов ".rakutest", а для документации ".rakudoc" (более короткое расширение ".rk" решено не использовать так как оно может быть спутано с расширением ".rkt", уже используемым в языке Racket. Новые расширения планируется закрепить в спецификации 6.e, которая будет выпущена в следующем году. Поддержка старых расширений ".pm", ".pm6" и ".pod6" в спецификации 6.e будет сохранена, но в следующей редакции 6.f эти расширения будут помечены как устаревшие (будет выводиться предупреждение). К устаревшими также могут быть отнесены метод ".perl", класс Perl, переменная $*PERL, "#!/usr/bin/perl6" в заголовке скриптов, переменные окружения PERL6LIB и PERL6_HOME. В редакции 6.g многие оставленные для совместимости привязки к Perl возможно будут удалены.

Проект продолжит развиваться под покровительством организации "The Perl Foundation". Создание альтернативной организации может быть рассмотрено если "The Perl Foundation" примет решение не иметь дела с проектом Raku. На сайте "The Perl Foundation" проект Raku предлагается преподносить как один из языков семейства Perl, наряду с RPerl и CPerl. С другой стороны упоминается и идея создания "The Raku Foundation", как организации только для Raku с оставлением "The Perl Foundation" для Perl 5.

Напомним, что основной причиной нежелания продолжать развитие проекта под именем Perl 6 является то, что Perl 6 не стал продолжением Perl 5, как ожидалось изначально, а превратился в отдельный язык программирования, для которого так и не было подготовлено инструментария по прозрачной миграции с Perl 5. В итоге сложилась ситуация, когда под одним именем Perl предлагаются два параллельно развивающихся самостоятельных языка, не совместимых друг с другом на уровне исходных текстов и имеющих свои сообщества разработчиков. Использование одного имени для родственных, но кардинально отличающихся языков, приводит к путанице и многие пользователи продолжают считать Perl 6 новой версией Perl, а не принципиально другим языком. При этом имя Perl продолжает связываться с Perl 5, а упоминание Perl 6 требует отдельного уточнения.

1. Главная ссылка к новости
2. OpenNews: Ларри Уолл одобрил переименование Perl 6 в Raku
3. OpenNews: Разработчики Perl рассматривают возможность смены имени для языка Perl 6
4. OpenNews: Релиз языка программирования Perl 5.30.0
5. OpenNews: Выпуск Rakudo Star 2019.03, дистрибутива Perl 6

Ключевые улучшения:

• В оконном менеджере KWin улучшена поддержка экранов с высокой плотностью пикселей (HiDPI) и добавлена поддержка дробного масштабирования для сеансов рабочего стола Plasma на базе Wayland. Указанная возможность позволяет подобрать оптимальный размер элементов на экранах с высокой плотностью пикселей, например, можно увеличить выводимые элементы интерфейса не в 2 раза, а в 1.5;
• Тема оформления Breeze GTK модернизирована для улучшения отображения интерфейса Chromium/Chrome в окружении KDE (например, активные и неактивные вкладки теперь визуально отличаются). Обеспечено применение цветовой схемы к приложениям GTK и GNOME. При использовании Wayland появилась возможность изменения размера панелей-заголовков GTK (headerbar) относительно краёв окна;
• Изменено оформление боковых панелей с настройками. По умолчанию прекращена отрисовка границ окон.
• Режим "Не беспокоить" ("Do Not Disturb"), приостанавливающий вывод уведомлений, теперь автоматически активируется при включении зеркалирования экрана (например, при показе презентаций);
• Вместо показа числа непросмотренных уведомлений виджет системы уведомлений теперь включает пиктограмму звонка;
• Улучшен интерфейс позиционирования виджетов, который также адаптирован для сенсорных экранов;
• При отрисовке шрифтов включен по умолчанию режим лёгкого RGB хинтинга (в настройках включен режим "Use anti-aliasing", опция "Sub-pixel rendering type" выставлена в значение "RGB", а "Hinting style" в "Slight");
• Сокращено время запуска рабочего стола;
• В KRunner и Kickoff добавлена поддержка преобразования дробных единиц измерения (например, 3/16 дюйма = 4.76 мм);
• В режиме динамической смены обоев рабочего стола появилась возможность определения порядка следования изображений (раньше обои менялись только случайным образом);
• Добавлена возможность использования картинки дня с сервиса Unsplash в качестве обоев рабочего стола с возможностью выбора категории;
• Значительно улучшен виджет для подключения к публичным беспроводным сетям;
• В виджете управления громкостью добавлена возможность ограничения максимальной громкости значением ниже 100%;
• В липких заметках по умолчанию обеспечена очистка элементов форматирования текста при его вставке из буфера обмена;
• В Kickoff в секции недавно открытых документов обеспечено отображение и документов, открытых в приложениях GNOME/GTK;
• В конфигуратор добавлена секция для настройки оборудования с интерфейсом Thunderbolt;
• Модернизирован интерфейс настройки ночной подсветки, который теперь доступен и при работе поверх X11.
• Переработан интерфейс конфигураторов экранов, энергопотребления, загрузочной заставки, эффектов на рабочем столе, блокировщика экрана, сенсорных экранов, окон, расширенных настроек SDDM и активации действий при наведении курсора в углы экрана. Реорганизованы страницы в секции настройки оформления;
• В разделе системных настроек реализовано отображение основной информации о системе;
• Для людей с ограниченными возможностями добавлена возможность перемещения курсора с использованием клавиатуры;
• Расширены настройки оформления страницы входа в систему (SDDM), для которой теперь можно указать собственный шрифт, цветовую схему, набор пиктограмм и другие настройки;
• Добавлен двухэтапный спящий режим, при которой сначала система переводится в ждущий режим, а через несколько часов в спящий;
• На страницу настройки цветов добавлена возможность изменения цветовой схемы для заголовков;
• Добавлена возможность назначения глобальной горячей клавиши для отключения экрана;
• В System Monitor добавлена поддержка отображения детальной информации о cgroup для оценки ограничения ресурсов контейнера. Для каждого процесса выведена статистика о связанном с ним сетевом трафике. Добавлена возможность просмотра статистики для GPU NVIDIA;
• В Центре установки приложений и дополнений (Discover) реализованы корректные индикаторы прогресса выполнения операций. Улучшено информирование об ошибках из-за проблем с сетевым соединением. Добавлены пиктограммы в боковой панели и пиктограммы для приложений snap;
• В оконном менеджере KWin обеспечена корректная прокрутка колесом мыши в окружении на базе Wayland. Для X11 добавлена возможность использования клавиши Meta в роли модификатора для переключения окон (вместо Alt+Tab). Добавлена опция, ограничивающая применение настроек экрана только текущим расположением экрана в многомониторных конфигурациях. В эффекте "Present Windows" добавлена поддержка закрытия окон кликом средней кнопкой мыши.

1. Главная ссылка к новости
2. OpenNews: Проект KDE внедряет GitLab. Разработка GitLab EE и CE перенесена в общий репозиторий
3. OpenNews: KDE сосредоточит внимание на поддержке Wayland, унификации и доставке приложений
4. OpenNews: Выпуск KDE Applications 19.08
5. OpenNews: Релиз рабочего стола KDE Plasma 5.16
6. OpenNews: Проект xrdesktop для использования GNOME и KDE в шлемах виртуальной реальности

Среди добавленных новшеств:

• Поддержка операций присвоения внутри сложных выражений. При помощи нового оператора ":=" появилась возможность выполнять операции присвоения значений внутри других выражений, например, чтобы избежать двойного вызова функций в условных операторах и при определении циклов:

  
     if (n := len(a)) > 10:
        ...
  
     while (block := f.read(256)) != '':
        ...
  

• Поддержка нового синтаксиса задания аргументов функции. При перечислении аргументов во время определения функции теперь можно указывать признак "/", позволяющий отделить аргументы, значения которым могут быть присвоены только на основе порядка перечисления значений во время вызова функции, от аргументов, допускающих присвоение в произвольном порядке (синтаксис "переменная=значение"). С практической стороны новая возможность позволяет в функциях на языке Python полностью эмулировать поведение существующих функций на языке Си, а также избежать привязок к конкретным именам, например, если имя параметра планируется изменить в будущем.

  Флаг "/" дополняет собой ранее добавленный признак "*", отделяющий переменные, для которых применимо только присвоение в форме "переменная=значение". Например, в функции "def f(a, b, /, c, d, *, e, f):" переменные "a" и "b" могут быть присвоены только в порядке перечисления значений, переменные "e" и "f", только через присвоение "переменная=значение", а переменные "c" и "d" любым из указанных способов:

  
     f(10, 20, 30, 40, e=50, f=60)
     f(10, 20, с=30, d=40, e=50, f=60)
  

• Добавлен новый Си API для настройки параметров инициализации Python, позволяющий полностью контролировать всю конфигурацию и предоставляющий расширенные средства обработки ошибок. Предложенный API упрощает встраивание функциональности интерпретатора Python в другие приложения на языке Си;
• Реализован новый протокол Vectorcall для более быстрого обращения к объектам, написанным на языке Си. В CPython 3.8 доступ к Vectorcall пока ограничен внутренним использованием, перевод в разряд публично доступных API намечен в CPython 3.9;
• Добавлены вызовы Runtime Audit Hooks, предоставляющие приложениям и фреймворкам на языке Python доступ к низкоуровневой информации о ходе выполнения скрипта для проведения аудита выполняемых действий (например, можно отследить импорт модулей, открытие файлов, использовании трассировки, обращения к сетевым сокетам, запуск кода через exec, eval и run_mod);
• В модуле pickle обеспечена поддержка протокола Pickle 5, используемого для сериализации и десериализации объектов. Pickle позволяет оптимизировать передачу больших объёмов данных между процессами Python в многоядерных и многоузловых конфигурациях, сократив число операций копирования памяти и применяя дополнительные техники оптимизации, такие как задействование специфичных для определённых данных алгоритмов сжатия. Пятая версия протокола примечательна добавлением режима отделённой передачи (out-of-band), при которого данные могут передаваться отдельно от основного потока pickle.
• По умолчанию активирована четвёртая версия протокола Pickle, которая по сравнению с ранее предлагавшейся по умолчанию третьей версией позволяет добиться более высокой производительности и сокращения размера передаваемых данных;
• В модуле typing представлено несколько новых возможностей:
  • Класс TypedDict для ассоциативных массивов, в которых для связываемых с ключами данных явно задаётся информация о типе ("TypedDict('Point2D', x=int, y=int, label=str)").
  • Тип Literal, позволяющий ограничить параметр или возвращаемое значение несколькими предопределёнными значениями ("Literal['connected', 'disconnected']").
  • Конструкция "Final", дающая возможность определить значения переменных, функций, методов и классов, которые не могут быть изменены или переназначены ("pi: Final[float] = 3.1415926536").
• Добавлена возможность назначения кэша для скомпилированных файлов с байткодом, сохраняемого в отдельном дереве ФС и отделённого от каталогов с кодом. Путь для сохранения файлов с байткодом задаётся через переменную PYTHONPYCACHEPREFIX или опцию "-X pycache_prefix";
• Реализована возможность создания отладочных сборок Python, использующих идентичный с релизом ABI, что позволяет в отладочных сборках загружать написанные на языке СИ расширения, собранные для стабильных выпусков;
• В f-строках (форматируемые литералы с префиксом 'f') обеспечена поддержка оператора "=" (например, "f'{expr=}'"), позволяющего преобразовать выражение в текст для упрощения отладки. Например:

  
     ››› user = 'eric_idle'
     ››› member_since = date(1975, 7, 31)
     ››› f'{user=} {member_since=}'
     "user='eric_idle' member_since=datetime.date(1975, 7, 31)"
  

• Выражение "continue" разрешено использовать внутри блока finally;
• Добавлен новый модуль multiprocessing.shared_memory, позволяющий использовать сегменты разделяемой памяти в многопроцессных конфигурациях;
• На платформе Windows реализация asyncio переведена на использование класса ProactorEventLoop;
• Производительность инструкции LOAD_GLOBAL увеличена примерно на 40% за счёт использования нового механизма кэширования объектного кода.

1. Главная ссылка к новости
2. OpenNews: Намечена большая чистка стандартной библиотеки Python
3. OpenNews: Утверждена новая модель управления разработкой Python
4. OpenNews: Выпуск Nuitka 0.6.0, компилятора для языка Python
5. OpenNews: Проект Python для соблюдения политкорректности избавляется от терминов "master" и "slave"
6. OpenNews: Увидел свет язык программирования Python 3.7

В новой версии более чем в 10 раз ускорен запуск программы (в тестах время запуска сократилось с 300 до 25 мс) за счёт задействования отложенной инициализации элементов интерфейса. Добавлены недостающие пиктограммы для экранов с высокой плотностью пикселей.

Основные достоинства программы:

• Высокая производительность.
• Простой интерфейс.
• Режим просмотра содержимого каталога с миниатюрами.
• Поддержка анимации в форматах apng, gif и webp.
• Поддержка RAW-изображений.
• Базовая поддержка HiDPI.
• Расширенные возможности настройки, включая назначение клавиш.
• Базовые функции редактирования изображений: обрезка, поворот и изменение размера.
• Возможность быстрого копирования/перемещения изображений в другие каталоги.
• Наличие тёмной темы оформления, которая выглядит идентично на любом рабочем столе.
• Опциональная возможность воспроизведения видео при сборке с libmpv.

1. Главная ссылка к новости
2. OpenNews: Выпуск просмотрщика изображений qView 2.0
3. OpenNews: Разработчики LXDE представили просмотрщик изображений LxImage-Qt
4. OpenNews: Вышел первый стабильный релиз программы для просмотра изображений - Viewnior
5. OpenNews: Выпуск программы для управления фотографиями digiKam 6.2
6. OpenNews: Релиз программы для обработки фотографий RawTherapee 5.7

При наличии в sudoers допустимых, но крайне редко встречающихся на практике правил, разрешающих выполнение определённой команды под UID-идентификатором любого пользователя, кроме root, атакующий, имеющий полномочия выполнения данной команды, может обойти установленное ограничение и выполнить команду с правами root. Для обхода ограничения достаточно попытаться выполнить указанную в настройках команду с UID "-1" или "4294967295", что приведёт к её выполнению с UID 0.

Например, если в настройках имеется правило, дающее любому пользователю право на выполнение программы /usr/bin/id под любым UID:

   myhost ALL = (ALL, !root) /usr/bin/id

   myhost bob = (ALL, !root) /usr/bin/id

Пользователь может выполнить "sudo -u '#-1' id" и утилита /usr/bin/id будет запущена с правами root, несмотря на явный запрет в настройках. Проблема вызвана упущением из внимания спецзначений "-1" или "4294967295", которые не приводят к смене UID, но так как сам sudo уже выполняется под root, то без смены UID и целевая команда также запускается с правами root.

В дистрибутивах SUSE и openSUSE без указания в правиле "NOPASSWD" уязвимость не эксплуатируема, так как в sudoers по умолчанию включён режим "Defaults targetpw" при котором выполняется проверка UID по базе паролей с выводом запроса ввода пароля целевого пользователя. Для подобных систем атака может быть совершена только при наличии правил вида:

   myhost ALL = (ALL, !root) NOPASSWD:  /usr/bin/id

Проблема устранена в выпуске Sudo 1.8.28. Исправление также доступно в форме патча. В дистрибутивах уязвимость уже устранена в Debian, Arch Linux, SUSE/openSUSE, Ubuntu, Gentoo и FreeBSD. На момент написания новости проблема остаётся неисправленной в RHEL и Fedora. Уязвимость выявлена исследователями безопасности из компании Apple.

1. Главная ссылка к новости
2. OpenNews: В sudo устранена уязвимость, позволяющая переписать файл на системах с SELinux
3. OpenNews: При портировании во FreeBSD утилиты doas, аналога sudo от OpenBSD, возникла опасная уязвимость
4. OpenNews: В дерево исходных текстов OpenBSD принят код замены sudo
5. OpenNews: В sudo найдена уязвимость, потенциально позволяющая получить root-доступ
6. OpenNews: В Sudo 1.6.9p20 исправлена уязвимость

Особенностью PyPy является использование JIT-компилятора, на лету транслирующего некоторые элементы в машинный код, что позволяет обеспечить высокий уровень производительности - при выполнении некоторых операций PyPy в несколько раз обгоняет классическую реализацию Python на языке Си (CPython). Ценой высокой производительности и использования JIT-компиляции является более высокое потребление памяти - общее потребление памяти в сложных и длительно работающих процессах (например, при трансляции PyPy силами самого PyPy) превышает потребление CPython в полтора-два раза.

Новый выпуск примечателен стабилизацией поддержки Python 3.6, которая ранее имела статус бета-версии, и реализацией JIT для архитектуры Aarch64 (ARM64). Также добавлен новый декодировщик JSON, который значительно быстрее, использует меньше памяти и оптимизирован для JIT. Обновлён модуль CFFI 1.13 (C Foreign Function Interface) с реализацией интерфейса для вызова функций, написанных на языках Си и C++. CFFI рекомендован для взаимодействия с кодом на Си, в то время как cppyy для кода на C++. В ветку PyPy2.7 бэкпортирован модуль _ssl на базе CFFI. На использование CFFI переведены модули _hashlib и _crypt.

1. Главная ссылка к новости
2. OpenNews: Выпуск Python-библиотеки для научных вычислений NumPy 1.17.0
3. OpenNews: Намечена большая чистка стандартной библиотеки Python
4. OpenNews: Релиз PyPy 7.1, реализации Python, написанной на языке Python
5. OpenNews: Увидел свет язык программирования Python 3.7
6. OpenNews: Утверждена новая модель управления разработкой Python

Пакетный фильтр Nftables примечателен унификацией интерфейсов фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов. Nftables предоставляет на уровне ядра лишь общий интерфейс, не зависящий от конкретного протокола и предоставляющий базовые функции извлечения данных из пакетов, выполнения операций с данными и управления потоком. Непосредственно логика фильтрации и специфичные для протоколов обработчики компилируются в байткод в пространстве пользователя, после чего данный байткод загружается в ядро при помощи интерфейса Netlink и выполняется в специальной виртуальной машине, напоминающей BPF (Berkeley Packet Filters).

По умолчанию в Debian 11 также предлагается задействовать динамический межсетевой экран firewalld, оформленный как обвязка поверх nftables. Firewalld запускается в виде фонового процесса, позволяющего динамически изменять правила пакетного фильтра через DBus, без необходимости перезагрузки правил пакетного фильтра и без разрыва установленных соединений. Для управления межсетевым экраном используется утилита firewall-cmd, которая при создании правил отталкивается не от IP-адресов, сетевых интерфейсов и номеров портов, а от названий служб (например, для открытия доступа к SSH нужно выполнить "firewall-cmd --add --service=ssh", для закрытия SSH - "firewall-cmd --remove --service=ssh").

1. Главная ссылка к новости
2. OpenNews: Релиз дистрибутива Red Hat Enterprise Linux 8
3. OpenNews: Разработчики Netfilter официально объявили инструментарий iptables устаревшим
4. OpenNews: Релиз iptables 1.8.0
5. OpenNews: Выпуск пакетного фильтра nftables 0.9.2

Реализация компилятора ядер OpenCL построена на базе LLVM, а в качестве фронтэнда для OpenCL C используется Clang. Для обеспечения должной переносимости и производительности компилятор ядер OpenCL может генерировать комбинированные функции, которые могут использовать различные аппаратные ресурсы для распараллеливания выполнения кода, такие как VLIW, суперскалярность, SIMD, SIMT, многоядерность и многопоточность. Имеется поддержка ICD-драйверов (Installable Client Driver). Присутствуют бэкенды для обеспечения работы через CPU, ASIP (TCE/TTA), GPU на базе архитектуры HSA и GPU NVIDIA (CUDA).

В новой версии:

• Добавлена поддержка LLVM/Clang 9.0. Прекращена поддержка версий LLVM старее 6.0.
• Улучшена реализация на базе CPU промежуточных представлений кода SPIR и SPIR-V (используется в API Vulkan), которые могут применяться как для представления шейдеров для графики, так и для параллельных вычислений;
• Добавлен драйвер pocl-accel с примером инфраструктуры для поддержки аппаратных ускорителей OpenCL 1.2, реализующих отражаемый в память (mmap) управляющий интерфейс;
• Добавлена возможность сборки установок pocl, не привязанных к каталогам (relocatable).

1. Главная ссылка к новости
2. OpenNews: Релиз набора компиляторов LLVM 9.0
3. OpenNews: Выпуск библиотеки компьютерного зрения OpenCV 4.0
4. OpenNews: Компания Collabora развивает Zink, реализацию OpenGL поверх API Vulkan
5. OpenNews: Компания Apple перевела OpenGL и OpenCL в разряд устаревших технологий