Разработчики свободной стратегической игры Zero-K сообщили о преодолении очередного рубежа в развитии проекта - размещение релиза игры в сервисе itch.io. Код игры Zero-K написан на языке Lua и распространяется под лицензией GPLv2. Игра использует игровой движок Spring и изначально основывались на контенте от проекта Total Annihilation, который впоследствии был полностью заменён на собственные игровые ресурсы. Сборки сформированы для Linux и Windows. Возможна одиночная игра с ботами, организация многопользовательских сражений в локальной сети или через online-сервисы. Zero-K относится к категории стратегий в реальном времени и отличается достаточно хорошо проработанной графикой и качественной симуляцией физических процессов. Сюжет обыгрывает противостояние армий роботов и требует от игрока принятия тактических, стратегических и экономических решений. Представлено более 100 типов юнитов, включая транспортные средства, танки, самолеты, корабли, подводные лодки, паукоходы и различные категории роботов.
Линус Торвальдс не стесняясь в выражениях отверг заявку Кеса Кука (Kees Cook), предложившего включить в состав ядра 4.15 механизм защиты, блокирующий использование вызова usercopy при проведении некоторых видов атак. Суть предложенного метода в запрете применения usercopy для прямого копирования между пространством пользователя и некоторыми областями ядра с введением белого списка допустимых для использования областей памяти. Так как подобный подход потенциально может нарушить работу приложений, использующих usercopy, предусмотрен fallback-режим для kvm и sctp (ipv6). Линус в целом не отказался принять патч, но заявил, что не станет это делать в рамках цикла разработки 4.15, так как у него есть сомнения, что предложенные патчи хорошо протестированы и учтены все нюансы их влияние на работу существующих приложений. Предложенное изменение затрагивает некоторые ключевые подсистемы ядра, а у него сейчас нет времени анализировать появление возможных регрессивных изменений. Также указывается, что неправильно
GitHub представил пакет Teletype, дополняющий среду разработки Atom возможностями для совместного редактирования кода. Teletype позволяет нескольким разработчикам одновременно редактировать один код в режиме реального времени, наблюдая за работой друг друга (а редакторе отображается несколько курсоров разного цвета и вносимые другими разработчиками изменения срезу появляются в коде без отдельных процедур синхронизации). Совместный доступ открывается на уровне вкладок - на первичной системе генерируется идентификатор доступа, при помощи которого другие разработчики могут подключиться к текущей вкладке и не только отслеживать её состояние, но и вносить изменения. При этом файлы для редактирования и позиция в коде выбирается первичным пользователем, который открыл совместный доступ к вкладке (все участники видят одно и то же содержимое вкладки). Обмен данными в процессе совместной работы осуществляется напрямую между участниками в режиме P2P при помощи протокола WebRTC. Централизованный сервер используется
Доступен релиз консольного текстового редактора GNU nano 2.9.0, предлагаемого в качестве редактора по умолчанию во многих пользовательских дистрибутивах, разработчики которых считают vim слишком сложным для освоения. В новом выпуске добавлена функция записи производимых клавиатурных манипуляций с возможностью их повторного воспроизведения ("M-:" - для начала и остановки записи макроса, "M-;" - для его воспроизведения). Добавлены клавиатурные комбинации "^Q" и "^S" для поиска в обратном направлении и сохранения текущего файла, а также изменена комбинация "^W", которая теперь инициирует прямой поиск. В статусной строке обеспечен показ числа открытых буферов. По умолчанию при ошибке в rc-файлах больше не выводится предупреждение с запросом нажатия Enter.
В состав ядра Linux принят код для обеспечения работы на системах с открытой архитектурой RISC-V. Пользователи смогут воспользоваться RISC-V начиная с ядра 4.15. Также ожидается включение поддержки новой архитектуры в состав glibc. После выхода ядра 4.15, ориентировочно в начале февраля 2018 года, RISC-V Linux ABI будет переведён в разряд стабильных интерфейсов, сохраняющих обратную совместимость и готовых для повсеместного использования. До февраля разработчики намерены устранить остающиеся недоработки в ABI. Дистрибутивы, желающие приступить к обеспечению поддержки RISC-V до выхода ядра 4.15 и новой версии Glibc, могут воспользоваться бэкпортами, размещёнными в репозитории freedom-u-sdk (для сборки следует использовать команду "make sim").
Доступен новый выпуск дистрибутива Raspberry Digital Signage 10.0, предназначенного для создания информационных вывесок с использованием плат Raspberry Pi. Для организации работы вывески дистрибутив обеспечивает полноэкранный доступ к локальной или внешней web-странице. Настройка осуществляется через web-интерфейс, VNC или SSH. В качестве опции дистрибутив предоставляет окружение для запуска с SD-карты локальной системы управления контентом WordPress. В новом выпуске осуществлено обновление пакетной базы до Raspbian Stretch, увеличена производительность воспроизведения видео, расширены средства обнаружения беспроводных сетей и локально размещённых страниц. Размер загрузочного образа 674 Мб. Проектом также развиваются два похожих дистрибутива: Raspberry WebKiosk для создания киосков доступа к интернету в кафе, гостиницах, библиотеках и прочих публичных местах, и Raspberry Slideshow для организации полноэкранных слайдшоу или видеодемонстраций.
Компания Google представила утилиту container-diff, предназначенную для изучения различий между несколькими образами контейнеров или для анализа состава образа. Код утилиты написан на языке Go и распространяется под лицензией Apache 2.0. Утилита позволяет оценить изменения в образе и представить результат сравнения в наглядном виде, удобном для восприятия человеком и учитывающем сведения о пакетах, с которыми связаны выявленные изменения. Для интеграции с другими приложениями вывод также может быть оформлен в формате JSON. Сontainer-diff может отдельно выводить различия в системных пакетах, пакетах с модулями и библиотеками, используемыми в приложениями, или в произвольных файлах из состава образа. Например, можно отдельно оценить изменения, связанные с дистрибутивом Linux, и пакетами Python и Node.js, установленными через pip или npm. Образы для сравнения могут задаваться как в виде ссылки на на локальный или удалённый демон Docker, так и в форме tar-архива (например, можно сравнить образы на локальной
Разработчики Pale Moon представили первый публичный выпуск нового браузера Basilisk, который основан на движке Goanna (ранее созданный проектом форк Gecko) и платформе UXP (Unified XUL Platform), в рамках которой выполнено ответвление остальных компонентов Firefox из репозитория Mozilla Central, избавленных от привязок к коду на языке Rust. Сборки нового браузера подготовлены для Linux (только 64-бит) и Windows. В браузере обеспечена поддержка старых дополнений на языке XUL, оставлена возможность загрузки любых плагинов с интерфейсом NPAPI (в том числе Unity, Flash и Java), возвращена поддержка звуковой подсистемы ALSA, обеспечена отрисовка шрифтов через библиотеку Graphite. При этом Basilisk также полностью поддерживает современные технологии, включая стандарт ECMAscript 6, API WebExtensions, WebAssembly (WASM), HSTS и TLS 1.3. В отличие от Pale Moon в Basilisk используется интерфейс пользователя Australis, в виде, соответствующем Firefox 56. Из не принятых возможностей отмечается отключение проверки
GitHub реализовал отображение меток, информирующих об использовании проектами зависимостей с неисправленными уязвимостями. Вместе с меткой также выводятся сведения о путях устранения проблемы и версиях, в которых уязвимость уже устранена. В настоящее время выставление меток добавлено только для проектов на языках Javascript и Ruby, которые составляют 75% от кода с зависимостями, размещённого на GitHub. В 2018 году ожидается вывод аналогичных меток для проектов на языке Python. Вывод уведомлений об уязвимостях и построение графа зависимостей по умолчанию включено для всех публично доступных проектов. Дополнительно можно отметить публикацию отчёта о состоянии безопасности открытого кода, составленном с учётом существенного увеличения числа библиотек в репозиториях. Например, за год число пакетов в NPM увеличилось на 57%, в PyPi на 32%, а в RubyGems на 10.3%. Соответственно на 53.8% увеличилось число уязвимостей в библиотеках из подобных репозиториев, при том, что число уязвимостей в пакетах из состава RHEL
Компания DJI, один из крупнейших производителей дронов, по недосмотру разместила на GitHub архив, в котором были оставлены закрытые ключи для HTTPS-сертификатов *.dji.com, AES-ключи для шифрования прошивок, а также пароли доступа к облачным окружениям в AWS и службе хранения Amazon S3. По данным заметивших ключи исследователей, архив находился в открытом доступе от двух до четырёх лет. Находящейся в архиве информации было достаточно для полной компрометации инфраструктуры компании и подмены сайтов, включая security.dji.com (Security Reporting Center). В ходе экспериментов исследователю также удалось получить доступ к логам о ходе полётов и идентификационной информации. В настоящее время ключи уже отозваны и заменены на новые. Интересно, что компания DJI выразила готовность выплатить исследователю награду в 30 тысяч долларов США, но для получения премии нужно было подписать соглашение о неразглашении, условия которого исследователь посчитал неприемлемыми и раскрыл данные об утечке, независимо от