Организация FreeBSD Foundation объявила (http://lists.freebsd.org/pipermail/freebsd-announce/2012-Jun...) о выделении денежного гранта на создание работающего в пространстве пользователя фреймворка для упрощения использования разработчиками конечных программ возможностей подсистемы Capsicum (http://www.cl.cam.ac.uk/research/security/capsicum/). Разработкой фреймворка займётся Pawel Jakub Dawidek, известный созданием порта ZFS и GEOM-классов eli, mirror, gate, label и journal. Проект планируется завершить уже в августе этого года. Финансирование предоставлено компанией Google, которая, наряду с Кэмбриджским университетом, является одним из создателей Capsicum.
В состав создаваемого фреймворка будет входить компоновщик runtime-компонентов (runtime linker) и библиотека, предоставляющая набор функций ключевых стандартных библиотек, адаптированных для выполнения в sandbox-режиме и улучшенных в плане противостояния уязвимостям. Предоставляемые библиотекой функции будут изначально ограничены в выполнении нештатных действий, не предусмотренных логикой их работы (все лишние системные вызовы будут блокированы). Таким образом, для включения защиты разработчику приложения будет достаточно пересобрать свою программу с задействованием библиотеки libcapsicum, без модификации кода.Подсистема Capsicum опционально включена в состав ядра FreeBSD 9 в качестве экспериментальной возможности и будет активирована по умолчанию начиная с FreeBSD 10. Capsicum нацелен на дополнение традиционного централизованного мандатного контроля доступа средствами для защиты отдельных приложений и активируется на стороне самого приложения, позволяя организовать изолированное выполнение приложений и ограничить использование приложениями определённых функций. Capsicum расширяет POSIX API и предоставляет несколько новых системных примитивов, нацеленных на поддержку модели безопасности через управление возможностями объектов ("object-capability") для Unix-систем. Используя Capsicum приложение можно запустить в режиме повышенной изоляции (sandbox), при котором программа сможет выполнять только ранее специфицированные штатные действия.
URL: http://lists.freebsd.org/pipermail/freebsd-announce/2012-Jun...
Новость: http://www.opennet.me/opennews/art.shtml?num=34143
Google - молодец, чтобы там не говорили "джаст а бизнес", делает конечно и спонсирует то, что принесёт пользу самой корпорации, но в выигрыше от этого в итоге все.
FreeBSD - было бы просто замечательно, если бы такой гигант как гугл стал больше внимания уделять этой системе, спонсировать разработку и учавствовать в ней! Как ни крути, для меня FreeBSD - это лучшая система, не холивара ради, а просто личное имхо.
> это лучшая система, не холивара радине получится. сейчас набегут аптгетчики и аптгетчицы и выпучив глазки будут петь о проприетарщине.
> проприетарщинеПравда глаза колет? :)
Ну вот, набижали
В следующем учебном году русский язык подтяни.
а вот и новое поколение подтянулось. )
>> проприетарщине
> Правда глаза колет? :)дак ведь неправда ни теоретически ни практически. ни по прочтении лицензии, ни по взгляду на FreeBSD/NetBSD/OpenBSD
Да, ведь "учавствие" - это главное. А вообще гугл довольно активно контрибутит (как финансово, так и кодом) в систему. Это далеко не первый случай.
> для меня FreeBSD - это лучшая система,А для Таненбаума вообще Minix, и чего? :)
> А для Таненбаума вообще Minix, и чего? :)Да ничего страшного я думаю, это его сугубо личное имхо
Интересно, почему гугл, не использующий у себя фрю, решил проспонсировать фрю.
> Интересно, почему гугл, не использующий у себя фрю, решил проспонсировать фрю.не всё мы знаем об империи добра?
> Интересно, почему гугл, не использующий у себя фрю, решил проспонсировать фрю.Может тяжба с Oracle привела к мысли, что GPL не так надежна для его бизнеса в смысле патентного преследования...
> Может тяжба с Oracle привела к мысли, что GPL не
> так надежна для его бизнеса в смысле патентного преследования...Но BSDL же в этом плане только хуже.
Чем же это?
>Может тяжба с Oracle привела к мысли, что GPL не так надежна для его бизнеса в смысле патентного преследования...в смысле перелицензировать из гпл в бсдл проблемно.
Кажись автор-владелец кода имеет право в любой момент в следующей версии сменить лицензию на что угодно, "зараженными" останутся только старые, уже выпущенные версии, которые может кто угодно форкать (если это позволяла прежняя лицензия)
т.е. коллективную разработку отметаем сразу?
> Интересно, почему гугл, не использующий у себя фрю, решил проспонсировать фрю.Потому как существует порт Capsicum на Linux. И гугл скорее всего спонсирует именно развитие Capsicum, и в дальнейшем будет использовать его только с Linux, самостоятельно или пропихнув в апстрим. А FreeBSD - это выбор самих разработчиков, в часности Robert'а Watson'а. А в новости идет вообще речь о пространстве пользователя, почему бы не дать денег разработчикам FreeBSD если это потом легко перекочуют в их линукс продукты.
Вообще если Capsicum вошел бы в ванильное ядро Linux под двойным лицензированием был бы плюс всем. Под одну FreeBSD разрабы врядли начнут массово дописыать свои программы.
> Вообще если Capsicum вошел бы в ванильное ядро Linux под двойным лицензированием
> был бы плюс всем. Под одну FreeBSD разрабы врядли начнут массово
> дописыать свои программы.Через некоторое время проект наполнится линуксизмами и бэкпортирование станет сложнее разработки. Так что если есть планы что-то разрабатывать для обеих систем, спонсировать надо именно фрю. Т.е. проблема не в том, что во фре не хватит разработчиков _на проект_, проблема в том, что в сообществе линукс будет нехватка людей, учитывающих апстрим. такое уже есть в xfce, когда разрабы честно сказали - у нас некому винтить devd вместо udev - никто не в курсе.
> Через некоторое время проект наполнится линуксизмами и бэкпортирование станет сложнее
> разработки. Так что если есть планы что-то разрабатывать для обеих систем,
> спонсировать надо именно фрю.А где гарантия, что в этом случае проект не наполнится фризмами?
> Т.е. проблема не в том, что во
> фре не хватит разработчиков _на проект_, проблема в том, что в
> сообществе линукс будет нехватка людей, учитывающих апстрим. такое уже есть в
> xfce, когда разрабы честно сказали - у нас некому винтить devd
> вместо udev - никто не в курсе.Скорее, дело в том, что в наше время уже почти никто из opensource-разработчиков не воспринимает BSD-системы всерьез. У каждого свои друзья, и у BSD это Apple, Juniper, Cisco, а не какие-то там разработчики опенсорсного XFCE.
>А где гарантия, что в этомслучае проект не
наполнится фризмами?В том, что ты только что придумал новое слово.
"бздунизмами" // fixed
> А где гарантия, что в этом случае проект не наполнится фризмами?как тут верно заметили, фря крайне консервативный проект, и никому не нужные велосипеды там появляются крайне редко, как и необоснованные революционные изменения. так что брать оттуда проще, чем наоборот.
> Скорее, дело в том, что в наше время уже почти никто из
> opensource-разработчиков не воспринимает BSD-системы всерьез.Гугл, видимо, другого мнения.
> У каждого свои друзья,
ну вот не надо вот эти детские глупости проецировать на мир бизнеса.
> как тут верно заметили, фря крайне консервативный проект, и никому не нужные
> велосипеды там появляются крайне редко, как и необоснованные революционные изменения.
> так что брать оттуда проще, чем наоборот.Ну да, ну да, всякие там нетграфы и геомы, kqueue и прочая - совсем не... :). И вообще, шпага только у вас, а свое - не пахнет. Только это боян и придуман не вами. Вы свсего лишь очередной, 100501-й обладатель данного шаблона мышления.
> Ну да, ну да, всякие там нетграфы и геомы, kqueue и прочаяя правильно понял, что вам оно очень нужно, но вы не осилили портировать?
> Вы свсего лишь очередной, 100501-й обладатель данного шаблона мышления.
ну вы-то точно в десятке
> А где гарантия, что в этом случае проект не наполнится фризмами?Чорд. Придется срочно придумать некие фризмы, затрудняющие портирование на другие системы, и куда-нибудь повнедрять. А то как это, на опеннете написано, а в природе нету.
> Через некоторое время проект наполнится линуксизмами и бэкпортирование станет сложнее
> разработки.Ну да вполне вероятно. Я бы хотел видеть Capsicum в виде стандарта аля POSIX для данной области, тогда проблем с линуксизмами, фризмами и т. д. было бы существенно меньше.
>> Через некоторое время проект наполнится линуксизмами и бэкпортирование станет сложнее
>> разработки.
> Ну да вполне вероятно. Я бы хотел видеть Capsicum в виде стандарта
> аля POSIX для данной области, тогда проблем с линуксизмами, фризмами и
> т. д. было бы существенно меньше.Если бы... Есть любители срать с высокой башни на все стандарты.
Более того, они не только открыто об этом говорят, но и гордятся этим!
Не будем показывать пальцем.
> такое уже есть в
> xfce, когда разрабы честно сказали - у нас некому винтить devd
> вместо udev - никто не в курсе.А это вообще меня как-то не парит, пускай играются, запилят HAL поверх udev, выпилят, обратно вернутся к udev, запилят PolicyKit и ConsoleKit, снова выпилят, заменят на ещё какую-нибудь хрень. И так вечно в состоянии недоделки. Тем временем у меня спокойно вот уже с десяток лет пашет devd и любимый wm и все ок.
ваша париво ценно для нас.
> ваша париво ценно для нас.Порево. BDSMное при том.
> ваша париво ценно для нас.у него как-раз нет парева, а у вас?
> недоделки. Тем временем у меня спокойно вот уже с десяток лет
> пашет devd и любимый wm и все ок.я стесняюсь спросить, но успели ли вы заметить, что речь о том, что devd не мурчит в xfce? ну там автомонтирование флешек и т.д.?
> я стесняюсь спросить, но успели ли вы заметить, что речь о том,
> что devd не мурчит в xfce? ну там автомонтирование флешек и
> т.д.?Заметил. Только я это заметил ещё в далекие времена когда HAL внедряли, и естественно, во фряхе он не пахал. А когда он запахал, ему пришел конец. Поэтому я просто не пользуюсь атомонтированием, для меня это не критичная возможность. Если кому-то очень важны последние веяния из Linux, то может стоит и использовать его, ну или принимать активное участие в портировании на FreeBSD.
> Если кому-то очень важны последние веяния из Linux,вообще это элементарное удобство
>наполнится линуксизмами
>некому винтить devd вместо udevну да, ну да.
udev — линуксизм, а devd — это стандартЪ.а тем временем всё проще — линух апстрим и udev вместе с ним.
> udev — линуксизм, а devd — это стандартЪ.
> а тем временем всё проще — линух апстрим и udev вместе с
> ним.ага. а вчера был hal. а завтра поттеринг ещё наклепает. главное верить, что если бардак назвать апстримом - это порядок.
Хм. Это лучше, чем гумно мамонта называть стабильностью.
> Хм. Это лучше, чем гумно мамонта называть стабильностью.Это гумно работает не первый год, не ломается и делает свое дело еще и получше новомодного...
Например в xfce.
Я в курсе.
> Например в xfce.Вот в этом все ололонимы: с лёгкостью телегу впереди лошади. Объясню попроще, так чтоб ты понял: devd есть и работает. Это более низкий уровень. Только xfce не тянет работу с devd, потому как нет толковых разработчиков.
Ждём Android и ChromeOS с ядром FreeBSD.
Шаг назад?
> Шаг назад?зависит от того, куда идти. если в сторону "линукс везде", то да, шаг назад.
Скорее, стоит оценивать это с точки зрения "опенсорс везде". Очевидно, что если гугл будет делать Android или ChromeOS на базе FreeBSD, то код полученного в результате ПО будет доступен только узкому кругу лиц.
> Скорее, стоит оценивать это с точки зрения "опенсорс везде".freebsd вполне себе опенсорс.
> Очевидно, что если
> гугл будет делать Android или ChromeOS на базе FreeBSD, то код
> полученного в результате ПО будет доступен только узкому кругу лиц.это не только неочевидно, но и нуждается в обоснованиях. или это дань памяти тому, что код андроида на линуксе открыт был в 4 версии? ;) /trolling off
>freebsd вполне себе опенсорс.и таким и останется.
> freebsd вполне себе опенсорс.Макось построена на коде фри, чего не скрывает. И где её исходники? BSD не запрещает "взять, допилить и закрыть". Так что оно опен по желанию.
>> freebsd вполне себе опенсорс.
> Макось построена на коде фри, чего не скрывает. И где её исходники?Да, все-таки кретины на опеннете неисстребимы :-(
http://opensource.apple.com/
>>> freebsd вполне себе опенсорс.
>> Макось построена на коде фри, чего не скрывает. И где её исходники?
> Да, все-таки кретины на опеннете неисстребимы :-(
> http://opensource.apple.com/ну гыгы. А JunOS?
Но BSD _в принципе_ не запрещает закрыть исходники. Другой вопрос, это на усмотрении авторов.
>> freebsd вполне себе опенсорс.
> Макось построена на коде фри, чего не скрывает. И где её исходники?Извини, я пропустил видимо что-то. В какой момент мы стали говорить о MacOS? FreeBSD - чистый опенсорц. Настолько что "канонически" софт там ставится из исходников. Практически весь. У тебя есть что возразить по FreeBSD?
> BSD не запрещает "взять, допилить и закрыть".
Не запрещает, верно. И?
> Так что оно опен по желанию.
Это на уроки логики ты ходил по желанию.
> Ждём Android и ChromeOS с ядром FreeBSD.Что-то мне подсказывает что анонимусы столько не живут...
> Разработкой фреймворка займётся Pawel Jakub DawidekВроде kibab@ что-то из capsicum делал.
Куда он подевался?
Я никуда не подевался, просто я и pjd@ -- разработчики немного разного калибра :-))
Я потихоньку пилю разные утилиты в юзерленде и выкладываю на гитхаб, о чём, кстати, пишу в рассылке Capsicum.
Взгляните вправде в глаза, в(для) freebsd ничего полезного никогда не спонсировалось, разве что какой то KMS Intel.
Все остальное спонсировалось для пользы Роберта Ватсона.
"Никогда", "Ничего полезного", "все остальное". Сразу видно эксперта! Противоречение самому себе в 1 и 2-м предложениях, ничем не обоснованное мнение, свои, сугубо секретные критерии полезности. Спасибо что сдлелал наш день, ржали над тобой всем отделом.
чукча писатель? зачем переставлять слова в предложении?
Зачем писать бредовые коментарии?
> над тобой всем отделом.//отдел состоял из аноним2 :)
Это правда только на 20%. -)
Заметь, начальный аноним благополучно обосрался, не смог обосновать свою ущербную позицию и скатился на личности. Полный лузер с высоким самомнением, чем и доставляет.
> разве что какой то KMS Intel.Отдача от KMS пока не очень. :( То что сейчас в 9-STABLE не переключается в консоль из иксов. Опробовал две видеокарты от интеля:
Intel G45 SVGA controller
Intel Ironlake (M) SVGA controllerОбе не переключаются в консоль. Как-то не совсем это тянет на готовый продукт.
Триллиард первый раз: http://wiki.freebsd.org/Intel_GPU
там в конце п.6
Capsicum имеет определённый протокол работы с MMU или это чисто программное решение, независимое от особенностей архитектуры CPU?
> Capsicum имеет определённый протокол работы с MMUЖесть. Человек в принципе не понимает что такое MMU.
MMU — это аппаратно-программное средство изоляции пространств адресации оперативной памяти.
MMU — memory management unit.
по русски — Блок управления памятью или устройство управления памятью.
и это — компонент аппаратного обеспечения компьютера.
отвечает за управление доступом к памяти, запрашиваемым центральным процессором.
занимается трансляцией адресов виртуальной памяти в адреса физической памяти.
То есть к MMU нельзя получить доступ из программного кода и начать управлять оперативной памятью?
> То есть к MMU нельзя получить доступ из программного кода и начать
> управлять оперативной памятью?Нет, нельзя.
Изя, ну перестань позорить фряшников уже. Иди лучше самообразованием займись.
> Capsicum имеет определённый протокол работы с MMU или это чисто программное решение,
> независимое от особенностей архитектуры CPU?Ты вынес мне мозг.
Это набор примитивов в ядре и несколько сисколлов. Причём тут MMU вообще???