/ Для пользователя / Установка и управление пакетами
·	14.03.2022	Доступен TUF 1.0, фреймворк для организации безопасной доставки обновлений (23 +10)
	Опубликован выпуск фреймворка TUF 1.0 (The Update Framework), предоставляющего средства для безопасной проверки наличия и загрузки обновлений. Основной целью проекта является защита клиента от типовых атак на репозитории и инфраструктуры, включая противодействие продвижению злоумышленниками фиктивных обновлений, созданных после получения доступа к ключам для формирования цифровых подписей или компрометации репозитория. Проект развивается под эгидой организации Linux Foundation и применяется для повышения безопасности доставки обновлений в таких проектах, как Docker, Fuchsia, Automotive Grade Linux, Bottlerocket и PyPI (включение верификации загрузок и метаданных в PyPI ожидается в ближайшее время). Код эталонной реализации TUF написан на языке Python и распространяется под лицензией Apache 2.0... (23 +10) обсуждение | весь текст
·	17.02.2022	Локальные root-уязвимости в инструментарии управления пакетами Snap (140 +18)
	Компания Qualys... (140 +18) обсуждение | весь текст
·	03.02.2022	В NPM включена обязательная двухфакторная аутентификация для 100 самых популярных пакетов (53 –1)
	GitHub объявил о включении в репозитории NPM обязательной двухфакторной аутентификации для 100 NPM-пакетов, влючённых как зависимость в наибольшее число пакетов. Сопровождающие данных пакетов отныне смогут выполнить требующие аутентификации операции с репозиторием только после включения двухфакторной аутентификации, требующей подтверждения входа при помощи одноразовых паролей (TOTP), генерируемых такими приложениями, как Authy, Google Authenticator и FreeOTP. В ближайшее время помимо TOTP планируют добавить возможность использования аппаратных ключей и биометрических сканеров, поддерживающих протокол WebAuth... (53 –1) обсуждение | весь текст
·	21.01.2022	openSUSE развивает web-интерфейс для инсталлятора YaST (61 +10)
	После объявления о переводе на web-интерфейс инсталлятора Anaconda, применяемого в Fedora и RHEL, разработчики инсталлятора YaST раскрыли планы по разработке проекта D-Installer и созданию фронтэнда для управления установкой дистрибутивов openSUSE и SUSE Linux через web-интерфейс... (61 +10) обсуждение | весь текст
·	16.01.2022	Нарушение обратной совместимости в популярном NPM-пакете привело к сбоям в различных проектах (99 +17)
	В репозитории NPM наблюдается очередной массовый сбой в работе проектов из-за возникновения проблем в новой версии одной из популярных зависимостей. Источником проблем стал новый выпуск пакета... (99 +17) обсуждение | весь текст
·	10.01.2022	Разработчик внёс деструктивные изменения в NPM-пакеты colors и faker, применяемые в 20 тысячах проектов (309 +85)
	Марак Сквайрс (Marak Squires), автор популярных пакетов colors (расцветка консоли node.js) и faker (генератор фиктивных данных для полей ввода), насчитывающих 2.8 и 25 млн еженедельных загрузок, разместил в репозитории NPM и на GitHub новые версии своих продуктов, включающие деструктивные изменения, целенаправленно приводящие к сбоям на стадии сборки и выполнения зависимых проектов. В результате действий Марака была нарушена работа многих проектов, включая AWS CDK, использующих указанные библиотеки - библиотека colors используется в качестве зависимости у 18953 проектов, а faker - у 2571... (309 +85) обсуждение | весь текст
·	08.01.2022	Компания Canonical анонсировала переработку инструментария Snapcraft (136 –5)
	Компания Canonical раскрыла планы по предстоящей значительной переработке инструментария Snapcraft, применяемого для формирования, распространения и обновления самодостаточных пакетов в формате Snap. Отмечается, что текущая кодовая база Snapcraft признана устаревшей (legacy) и будет применяться при необходимости использования старых технологий. Развиваемые радикальные изменения не повлияют на текущую модель использования - в проектах, связанных с Ubuntu Core 18 и 20, продолжит использоваться старый монолитный Snapcraft, а новый модульный Snapcraft начнёт применяться начиная с ветки Ubuntu Core 22... (136 –5) обсуждение | весь текст
·	08.12.2021	GitHub внедряет в NPM обязательную расширенную верификацию учётных записей (47)
	В связи с участившимися случаями захвата репозиториев крупных проектов и продвижения вредоносного кода через компрометацию учётных записей разработчиков, компания GitHub вводит повсеместную расширенную верификацию учётных записей. Отдельно для сопровождающих и администраторов 500 самых популярных NPM-пакетов в начале следующего года будет внедрена обязательная двухфакторная аутентификация... (47) обсуждение | весь текст
·	26.11.2021	Выпуск инсталлятора Archinstall 2.3.0, применяемого в дистрибутиве Arch Linux (85 +13)
	Опубликован выпуск инсталлятора Archinstall 2.3.0, который с апреля в качестве опции входит в состав установочных iso-образов Arch Linux. Archinstall работает в консольном режиме и может использоваться вместо предлагаемого по умолчанию ручного режима установки дистрибутива. Отдельно развивается реализация графического интерфейса установки, но она не включена в состав установочных образов Arch Linux и уже более года не обновлялась... (85 +13) обсуждение | весь текст
·	21.10.2021	В репозитории NPM выявлены три пакета, выполняющих скрытый майнинг криптовалют (35 +13)
	В репозитории NPM выявлены три вредоносных пакета klow, klown и okhsa, которые прикрываясь функциональностью для разбора заголовка User-Agent (использовалась копия библиотеки UA-Parser-js) содержали вредоносные изменения, применяемые для организации майнинга криптовалют на системе пользователя. Пакеты были размещены одним пользователем 15 октября, но сразу выявлены сторонними исследователями, которые сообщили о проблеме администрации NPM. В итоге пакеты были удалены в течение дня после публикации, но успели набрать около 150 загрузок... (35 +13) обсуждение | весь текст
·	09.10.2021	Релиз системы самодостаточных пакетов Flatpak 1.12.0 (199 +11)
	Опубликована новая стабильная ветка инструментария Flatpak 1.12, который предоставляет систему для сборки самодостаточных пакетов, не привязанных к конкретным дистрибутивам Linux и выполняемых в специальном контейнере, изолирующем приложение от остальной системы. Поддержка выполнения Flatpak-пакетов обеспечена для Arch Linux, CentOS, Debian, Fedora, Gentoo, Mageia, Linux Mint, Alt Linux и Ubuntu. Пакеты с Flatpak включены в репозиторий Fedora и поддерживаются в штатной программе управления приложениями GNOME... (199 +11) обсуждение | весь текст
·	09.09.2021	Уязвимость в NPM, приводящая к перезаписи файлов в системе (57 +20)
	Компания GitHub раскрыла подробности о семи уязвимостях в пакетах tar и @npmcli/arborist, предоставляющих функции для работы с tar-архивами и расчета дерева зависимостей в Node.js. Уязвимости позволяют при распаковке специально оформленного архива перезаписать файлы за пределами корневого каталога, в который осуществляется распаковка, насколько это позволяют текущие права доступа. Проблемы дают возможность организовать выполнение произвольного кода в системе, например, через добавление команд в ~/.bashrc или ~/.profile при выполнении операции непривилегированным пользователем или через замену системных файлов при запуске с правами root... (57 +20) обсуждение | весь текст
·	07.09.2021	EFF опубликовал apkeep, утилиту для загрузки APK-пакетов с Google Play и его зеркал (108 +24)
	Правозащитная организация Electronic Frontier Foundation (EFF) создала приложение apkeep, предназначенное для загрузки пакетов для платформы Android из различных источников. По умолчанию приложения грузятся с ApkPure, сайта, содержащего копии приложений с Google Play, из-за отсутствия необходимости аутентифицироваться. Поддерживается и прямая загрузка с Google Play, но для этого необходимо указать данные для входа (пароль передаётся открытым в числе аргументов, что создаёт опасность его утечки через буфер с историей операций в командной строке). Имеется поддержка многопоточной массовой загрузки с передачей списка загружаемых пакетов в файле в формате CSV. Программа написана на языке Rust и распространяется под лицензией MIT... (108 +24) обсуждение | весь текст
·	03.09.2021	Выпуск пакетного менеджера RPM 4.17 (69 +9)
	После года разработки состоялся релиз пакетного менеджера RPM 4.17.0. Проект RPM4 развивается компанией Red Hat и используется в таких дистрибутивах, как RHEL (включая производные проекты CentOS, Scientific Linux, AsiaLinux, Red Flag Linux, Oracle Linux), Fedora, SUSE, openSUSE, ALT Linux, OpenMandriva, Mageia, PCLinuxOS, Tizen и многих других. Ранее независимой командой разработчиков развивался проект RPM5, который непосредственно не связан с RPM4 и в настоящее время заброшен (не обновлялся с 2010 года). Код проекта распространяется под лицензиями GPLv2 и LGPLv2... (69 +9) обсуждение | весь текст
·	03.09.2021	Red Hat учредил команду для развития репозитория EPEL (49 +2)
	Компания Red Hat объявила о создании отдельной команды, которая будет курировать деятельность, связанную с сопровождением репозитория EPEL. Команде поставлена цель не заменить сообщество, а организовать его постоянную поддержку, а также обеспечить готовность EPEL к следующему значительному выпуску RHEL. Команда сформирована как часть группы CPE (Community Platform Engineering), занимающейся поддержанием инфраструктуры для разработки и публикации релизов Fedora и CentOS... (49 +2) обсуждение | весь текст
<< Предыдущая страница (позже)
Следующая страница (раньше) >>