После двух с половиной лет разработки опубликована новая стабильная ветка инструментария Flatpak 1.16, предоставляющего систему для сборки самодостаточных пакетов, не привязанных к конкретным дистрибутивам Linux и выполняемых в специальном контейнере, изолирующем приложение от остальной системы. Поддержка выполнения Flatpak-пакетов обеспечена для Fedora, CentOS, Debian, Arch Linux, Gentoo, Linux Mint, Alt Linux и Ubuntu. Пакеты с Flatpak включены в репозиторий Fedora и поддерживаются в штатных программах управления приложениями GNOME и KDE.
Ключевые новшества в ветке Flatpak 1.16:
- Осуществлён переход на использование системы сборки Meson. Поддержка сборки при помощи инструментария Autotools прекращена. Для сборки Flatpak теперь требуется наличие в системе Python 3.5+.
- Реализован совместный доступ к сокету gssproxy, что позволило использовать аутентификацию через Kerberos в приложениях, запускаемых в режиме sandbox-изоляции.
- При создании сокета для Wayland задействовано расширение security-context, позволяющее композитному серверу идентифицировать и ограничивать приложения, запущенные в режиме sandbox-изоляции. Добавлена опция “–socket=inherit-wayland-socket”.
- После установки или обновления приложений обеспечена автоматическая перезагрузка конфигурации сессионной шины D-Bus для подхвата новых экспортируемых приложениями сервисов D-Bus.
- Дистрибутивам предоставлена возможность определения репозиториев с пакетами Flatpak, используя каталог “/usr/share/flatpak/remotes.d”, помимо “/etc/flatpak/remotes.d”.
- Проведена работа по разделению крупных файлов с исходным кодом на небольшие модули.
- Добавлена опция “–device=input” для доступа к устройствам ввода через /dev/input.
- Для изоляции приложений задействована новая ветка инструментария bubblewrap 0.11. В дистрибутивах, собирающих Flatpak с использованием системного исполняемого файла bwrap, необходимо наличие как минимум версии bubblewrap 0.11. Усилена защита от создания в sandbox-окружениях вложенных пространств идентификаторов пользователей (user namespace).
- Упрощена настройка дополнительных языков. Обеспечено определение языков на основе информации о пользователях, выдаваемой DBus-сервисом AccountsService.
- Приложениям, использующим вложенную sandbox-изоляцию, таким как WebKit, разрешено использование протокола AT-SPI для взаимодействия с экранными ридерами.
Добавлена опция “flatpak run –a11y-own-name” для выбора шины, через которую осуществляется доступ к средствам для людей с ограниченными возможностями. - При выполнении команды “flatpak run -vv “, обеспечен показ всех применимых параметров sandbox-изоляции.
- Добавлена опция “–device=usb”, а также параметры “–usb” и “–no-usb” для блокировки или управления доступом приложения к USB-устройствам.
- Добавлена поддержка фреймворка KCompletion, применяемого для автодополнения поисковых ключей в KDE.
- Добавлены переменные окружения “FLATPAK_DATA_DIR” и “FLATPAK_DOWNLOAD_TMPDIR” для переопределения каталогов с данными (/usr/share/flatpak) и загружаемыми временными файлами (/var/tmp).
- Добавлен вывод escape-последовательностей для отображения прогресса выполнения операций в эмуляторах терминала.
Напомним, что разработчикам приложений Flatpak даёт возможность упростить распространение своих программ, не входящих в штатные репозитории дистрибутивов за счет подготовки одного универсального контейнера без формирования отдельных сборок для каждого дистрибутива. Пользователям, заботящимся о безопасности, Flatpak позволяет выполнить вызывающее сомнение приложение в контейнере, предоставив доступ только к сетевым функциям и файлам пользователя, связанным с приложением. Пользователям, интересующимся новинками, Flatpak позволяет установить самые свежие тестовые и стабильные выпуски приложений без необходимости внесения изменений в систему. Например, Flatpak-пакеты собираются для LibreOffice, Midori, GIMP, Inkscape, Kdenlive, Steam, 0 A.D., Visual Studio Code, VLC, Slack, Skype, Telegram Desktop, Android Studio и т.д.
Для уменьшения размера пакета он включает лишь специфичные для приложения зависимости, а базовые системные и графические библиотеки (GTK, Qt, библиотеки GNOME и KDE и т.п.) оформлены в виде подключаемых типовых runtime-окружений. Ключевое отличие Flatpak от Snap заключается в том, что Snap использует компоненты окружения основной системы и изоляцию на основе фильтрации системных вызовов, в то время как Flatpak создаёт отдельный от системы контейнер и оперирует крупными runtime-наборами, предоставляя в качестве зависимостей не пакеты, а типовые системные окружения (например, все библиотеки, необходимые для работы программ GNOME или KDE).
Помимо типового системного окружения (runtime), устанавливаемого через специальный репозиторий, поставляются дополнительные зависимости (bundle), требуемые для работы приложения. В сумме runtime и bundle образуют начинку контейнера, при том, что runtime устанавливается отдельно и привязывается сразу к нескольким контейнерам, что позволяет обойтись без дублирования общих для контейнеров системных файлов. В одной системе может быть установлено несколько разных runtime (GNOME, KDE) или несколько версий одного runtime (GNOME 3.40, GNOME 3.42). Контейнер с приложением в качестве зависимости использует привязку только к определённому runtime, без учёта отдельных пакетов, из которых состоит runtime. Все недостающие элементы упаковываются непосредственно вместе с приложением. При формировании контейнера содержимое runtime монтируется как раздел /usr, а bundle монтируется в директорию /app.
Начинка runtime и контейнеров приложений формируется с использованием технологии OSTree, при которой образ атомарно обновляется из Git-подобного хранилища, позволяющего применять методы версионного контроля к компонентам дистрибутива (например, можно быстро откатить систему к прошлому состоянию). RPM-пакеты транслируются в репозиторий OSTree при помощи специальной прослойки rpm-ostree. Отдельная установка и обновление пакетов внутри рабочего окружения не поддерживается, система обновляется не на уровне отдельных компонентов, а целиком, атомарно меняя своё состояние. Предоставляются средства для инкрементального применения обновлений, избавляющие от необходимости полной замены образа при каждом обновлении.
Формируемое изолированное окружение полностью независимо от используемого дистрибутива и при надлежащих настройках пакета не имеет доступа к файлам и процессам пользователя или основной системы, не может напрямую обращаться к оборудованию, за исключением вывода через DRI, и обращений к сетевой подсистеме. Вывод графики и организация ввода реализованы при помощи протокола Wayland или через проброс сокета X11. Взаимодействие с внешней средой построено на основе системы обмена сообщениями DBus и специального API Portals.
Для изоляции используется прослойка Bubblewrap и традиционные для Linux технологии контейнерной виртуализации, основанные на использовании cgroups, пространств имён (namespaces), Seccomp и SELinux. Для вывода звука применяется PulseAudio. При этом изоляция может быть отключена, чем пользуются разработчики многих популярных пакетов для получения полного доступа к ФС и всем устройствам в системе. Например, с ограниченным режимом изоляции, оставляющим полный доступ к домашнему каталогу, поставляются пакеты GIMP, VSCodium, PyCharm, Octave, Inkscape, Audacity и VLC. В случае компрометации пакетов с доступом к домашнему каталогу, несмотря на наличие в описании пакета метки “sandboxed”, атакующему для выполнения своего кода достаточно изменить файл ~/.bashrc. Отдельным вопросом является контроль за внесением изменений в пакеты и доверие к сборщикам пакетов, которые часто не связаны с основным проектом или дистрибутивами.