К обсуждению данного действия присоединился пользователь, который представился Марком Пилгримом (Mark Pilgrim), первоначальным создателем библиотеки (к сожалению учётная запись этого пользователя пустая и проверить является ли он тем кем представился невозможно), и заявил, что у Дэна нет прав изменять лицензию проекта. Марк поставил под сомнение то, что новая ветка была создана с использованием метода "чистой комнаты", при котором для исключения нарушения авторских прав аналогичный продукт формируется на основе спецификаций и без доступа к сходному коду оригинала. По мнению Марка, добавление модного AI-генератора кода в процесс разработки не даёт права на смену лицензии.

Дэн возразил, что он сравнил разные версии при помощи библиотеки для обнаружения плагиата JPlag и сходство между версиями 7.0.0 и 6.0.0 составило 1.29%, а между версиями 1.1 и 7.0 - 0.64%. По словам Дэна, ни один файл в кодовой базе версии 7.0.0 не похож по структуре ни на один файл из любого предыдущего релиза. Новая ветка развивалась в отдельном пустом репозитории без доступа к старому дереву исходного кода. Кроме того, AI-агенту Claude была дана явная инструкция не основываться при разработке на коде, поставляемом под лицензиями LGPL и GPL.

Дэн также указал, что так как он уже более 10 лет занимается сопровождением проекта, он не мог полностью выполнить все требования метода "чистой комнаты", который предполагает жёсткое разделение между людьми, знакомыми с оригиналом, и теми, кто пишет новую реализацию. Поэтому для того, чтобы подтвердить, что новый код не является производным от оригинала, он воспользовался доказательством структурной независимости кода.

Дэн рассказал, что хотел, чтобы библиотека chardet была включена в стандартную библиотеку Python, так как она является ключевой зависимостью для множества проектов на Python. Но интеграции мешали три препятствия - лицензия, скорость и точность. В результате проведённой работы скорость обнаружения кодировки библиотекой увеличилась в 48 раз. Для проекта, который активно используется во многих других проектах, данная оптимизация приведёт к заметному повышению производительности для миллионов пользователей (пакет загружается около 130 миллионов раз в месяц).

Зои Койман (Zoë Kooyman), исполнительный директор Фонда свободного программного обеспечения, сообщила изданию The Register, что не может комментировать конкретные детали или законность проекта без проведения дополнительных исследований или консультаций с юристами, но нет ничего "чистого" в том, чтобы большая языковая модель (LLM) использовала код, который от неё требуют переписать.

При этом Зои решила дать моральную оценку поступку Дэна: "Что касается смысла GPL, то пермиссивная лицензия технически всё ещё является лицензией свободного программного обеспечения, но подрыв копилефта - это серьёзный поступок. Отказ предоставить другим права, которые вы сами получили как пользователь, является крайне антисоциальным, независимо от используемого метода."

Брюс Перенс (Bruce Perens), автор оригинального определения открытого исходного кода, считает, что воссоздание кода при помощи AI убивает экономику разработки программного обеспечения. По мнению Брюса, было бы правильным, если бы тренировка AI-моделей и весь выдаваемый моделями вывод изначально рассматривались как копирование, но в реальности сложилась иное отношение и его уже не переломить. Брюс считает, что грядут кардинальные изменения экономики и процессов, связанных с разработкой ПО, сравнимые с изменениями после изобретения печатного станка.

Парадигмы открытого и проприетарного ПО полностью изменятся в условиях, когда за несколько дней при помощи AI можно сгенерировать готовый продукт, способный конкурировать с системами, на разработку которых потрачены десятки лет. Многие проприетарные компании, зависящие от сохранения закрытых разработок, которые можно легко клонировать, окажутся нежизнеспособны, и вероятно останутся только те, разработки которых проблематично воспроизвести.

Армин Ронахер (Armin Ronacher), создатель фреймворка Flask, считает, что код, поставляемый под копилефт-лицензиями, подобными GPL, и раньше можно было переписать с нуля и начать распространять под другой лицензией. Разница лишь в том, переписан код вручную или автоматически при помощи AI. При этом пока не ясно, какой уровень участия человека требуется для того, чтобы код, созданный с помощью AI, подпадал под защиту авторского права. В этом, по мнению Армина, ключевой вопрос.

Недавно Верховный суд США отказался пересмотреть дело "Талер против Перлмуттера", в котором истец пытался отменить решение нижестоящего суда, согласно которому он не мог защитить авторским правом изображение, созданное искусственным интеллектом. Верховный суд США оставил в силе решение суда нижней инстанции о том, что произведения, полностью созданные AI, не защищаются авторским правом. В связи с данным решением возникло опасение о возникновении проблем при использовании кода, сгенерированного через AI в открытых проектах. Не ясно, насколько активно должен использоваться AI при разработке, чтобы суд отказал в удовлетворении претензии на авторские права на код из‑за уменьшения вклада человека в разработку.

Юридические последствия применения большой языковой модели для переработки как открытых, так и проприетарных проектов (у которых был похищен исходный код) трудно предсказуемы и сильно зависят от прецедентов, создаваемых судами. Тем не менее, если большая языковая модель переписывает код на язык программирования, отличный от оригинала, то доказать создание производной работы становится практически невозможно.

1. OpenNews: Копилефт лицензия CCAI, учитывающая применение для обучения AI-моделей
2. OpenNews: GitHub заблокировал репозиторий Rockchip после жалобы о перелицензировании кода FFmpeg
3. OpenNews: AI-бот начал травлю сопровождающего из-за дискриминации при приёме AI-изменений
4. OpenNews: Утечка в Git-репозитории конфиденциальных данных, накопленных AI-ассистентами
5. OpenNews: Сопровождающие Godot перегружены из-за обилия сомнительных изменений, созданных с помощью AI

Инцидент произошёл из-за халатности одного из инженеров организации Wikimedia Foundation, входящего в группу, обеспечивающую безопасность. В процессе тестирования лимитов на работу с API из персональных скриптов (user script), инженер экспериментировал с загрузкой большого числа случайных скриптов, используя реальные скрипты пользователей. Тестирование при этом осуществлялось с привилегированной учётной записи, имеющей доступ к редактированию скрипта MediaWiki:Common.js и возможности загружать JavaScript-скрипты для всех пользователей и страниц.

Среди запускаемых персональных скриптов оказался созданный несколько лет назад вредоносный скрипт test.js, загруженный с ru.wikipedia.org и содержащий функциональность червя, добавляющего себя во все JavaScript-файлы "User:<username>/common.js" и "MediaWiki:Common.js", а также редактирующий или удаляющий случайные страницы с примечанием о закрытии проекта (для выбора страниц вызывалась команда Special:Random).

Запуск данного скрипа с привилегированной учётной записи привёл к размещению вредоносного кода в пользовательских JavaScript-скриптах на Meta-Wiki. Из-за запуска добавленного червя при открытии страниц Meta-Wiki другими пользователями и администраторами Wikimedia возникла цепная реакция и массовый вандализм - несколько тысяч страниц было изменено, а у примерно сотни пользователей были заменены персональные скрипты common.js.

Вредоносный скрипт был использован в 2023 году для атаки на русскоязычные wiki-сайты Wikireality и Cyclopedia. В 2024 году пользователь с ником Ololoshka562 разместил данный скрипт на своей странице в ru.wikipedia.org (ru.wikipedia.org/wiki/user:Ololoshka562/test.js) и спустя полтора года данный скрипт был загружен и запущен инженером Wikimedia, проводящим эксперимент.

В настоящее время состояние пострадавших страниц восстановлено и возвращена возможность внесения изменений. Утверждается, что режим только для чтения и запрет на выполнение пользовательских JavaScript-скриптов продлился около 2 часов. Представители Wikimedia заявили, что у них нет оснований полагать, что инцидент вызван целевой атакой и привёл к компрометации персональных данных.

1. OpenNews: Разработчики Xubuntu опубликовали отчёт о взломе сайта Xubuntu.org
2. OpenNews: Взлом внутреннего GitLab-сервера Red Hat
3. OpenNews: Взлом Internet Archive привёл к утечке 31 миллиона учётных записей
4. OpenNews: SSH-бэкдор, установленный при взломе kernel.org, два года оставался незамеченным

Методы работы с памятью в Rust нацелены на исключение ошибок при манипулировании указателями и защиту от проблем, возникающих из-за низкоуровневой работы с памятью, таких как обращение к области памяти после её освобождения, разыменование нулевых указателей, выход за границы буфера и т.п. Для распространения библиотек, обеспечения сборки и управления зависимостями проектом развивается пакетный менеджер Cargo. Для размещения библиотек поддерживается репозиторий crates.io.

Безопасная работа с памятью обеспечивается в Rust во время компиляции через проверку ссылок, отслеживание владения объектами, учёт времени жизни объектов (области видимости) и оценку корректности доступа к памяти во время выполнения кода. Rust также предоставляет средства для защиты от целочисленных переполнений, требует обязательной инициализации значений переменных перед использованием, лучше обрабатывает ошибки в стандартной библиотеке, применяет концепцию неизменяемости (immutable) ссылок и переменных по умолчанию, предлагает сильную статическую типизацию для минимизации логических ошибок.

Основные новшества:

• В тип slice добавлен метод array_windows, создающий итератор для прохождения по срезам (slice) "окнами" фиксированного размера, сдвигающимися на один элемент за раз. В отличие от ранее доступного метола windows, метод array_windows оперирует постоянным размером окна и возвращает при каждой итерации ссылку на массив фиксированного размера (&[T; N]) вместо среза неопределённого размера (&[T]). Так как размер массива изначально известен компилятору, для повышения производительности можно обойтись без проверки границ массива на каждой стадии итерации.

  
     let slice = [0, 1, 2, 3];
     let mut iter = slice.array_windows();
     assert_eq!(iter.next().unwrap(), &[0, 1]);
     assert_eq!(iter.next().unwrap(), &[1, 2]);
     assert_eq!(iter.next().unwrap(), &[2, 3]);
     assert!(iter.next().is_none());
  

• В конфигурационных файлах пакетного менеджера Cargo (.cargo/config.toml) реализована директива "include", позволяющая по месту вставлять содержимое других файлов.

  
     include = [
         "frodo.toml",
         "samwise.toml",
     ]
     include = [
         { path = "required.toml" },
         { path = "optional.toml", optional = true },
     ]
  

• В файлы с манифестами и конфигурационные файлы добавлена поддержка новой версии языка разметки TOML 1.1, в которой появилась поддержка многострочных встроенных таблиц, escape-последовательностей "\xHH" для вставки шестнадцатеричного представления байтов и "\e" для замены "\u001B", возможности оставлять запятую в конце последнего элемента и пропускать указание секунд в значениях времени.

  
     serde = { version = "1.0", features = ["derive"] }
     теперь можно заменить на
     serde = {
         version = "1.0",
         features = ["derive"],
     }
  

• В разряд стабильных переведена новая порция API, в том числе стабилизированы методы и реализации типажей:
  • <[T]>::array_windows
  • <[T]>::element_offset
  • LazyCell::get
  • LazyCell::get_mut
  • LazyCell::force_mut
  • LazyLock::get
  • LazyLock::get_mut
  • LazyLock::force_mut
  • impl TryFrom<char> for usize
  • std::iter::Peekable::next_if_map
  • std::iter::Peekable::next_if_map_mut
  • Встроенные функции для x86-инструкций avx512fp16
  • Встроенные функции для AArch64-инструкций NEON fp16
  • f32::consts::EULER_GAMMA
  • f64::consts::EULER_GAMMA
  • f32::consts::GOLDEN_RATIO
  • f64::consts::GOLDEN_RATIO
• Признак "const" применён в функциях:
  • f32::mul_add
  • f64::mul_add
• Платформа riscv64im-unknown-none-elf переведена на третий уровень поддержки. Третий уровень охватывает базовую поддержку, но без автоматизированного тестирования, публикации официальных сборок и проверки возможности сборки кода.

Дополнительно можно отметить недавно анонсированные проекты и события, связанные с Rust:

• Айртон Муньос (Ayrton Muñoz), в своё время реализовавший поддержку платформы Sony PlayStation 1 в компиляторе Rust и занимавшийся портированием FreeBSD на компьютеры с чипами Apple Silicon, реализовал для FreeBSD возможность создания компонентов ядра и драйверов устройств на языке Rust. Для тестирования предложен набор KPI-обвязок (Kernel Programming Interface), позволяющих использовать код на Rust в ядре FreeBSD, а также созданные с использованием данных обвязок звуковой драйвер virtio (virtio_snd), HID‑драйвер DockChannel для клавиатуры в M2 MacBook и несколько низкоуровневых драйверов для подсистем компьютеров Mac на чипах Apple Silicon.

  Отмечается, что работа над Rust-обвязками ведётся с конца 2024 года. В обвязках пока реализована лишь часть C‑KPI и они позиционируются как не стабильные, но со временем уровень стабильности планируют довести до аналогичного интерфейса для языка Си. Предложенный в качестве примера драйвер virtio_snd пригоден для воспроизведения музыки в QEMU. Предполагается, что в 2026 году Rust-обвязки будут достаточно стабилизированы для того, чтобы заинтересованные разработчики могли начать использовать их для написания кода.

• Бенни Зигерт (Benny Siegert), участвующий в разработке NetBSD, обосновал причины, по которым поддержка языка Rust не появится в ядре NetBSD: NetBSD поддерживает архитектуры, для которых Rust недоступен; поддержание имеющегося в pkgsrc инструментария Rust требует больших усилий и сопровождается лишь несколькими разработчиками; поддержка Rust в ядре требует включения компилятора Rust в базовую систему; при бутстрэпинге Rust в NetBSD используется прошлая версия бинарного пакета, что недопустимо для самодостаточных дистрибутивов, распространяемых в исходном коде; циклы формирования релизов Rust несовместимы с циклом разработки NetBSD и поддержки прошлых веток (например, продолжается поддерживаться ветка NetBSD 9, выпущенная в 2020 году, в этих условиях потребовалась бы поставка и поддержка компилятора Rust шестилетней давности).
• Опубликован выпуск встраиваемой в приложения СУБД Turso 0.5, написанной на языке Rust и совместимой с SQLite на уровне диалекта SQL, формата файлов БД и C API. Из расширенных возможностей отмечается механизм CDC (Change data capture) для отслеживания изменения БД в реальном времени, использование io_uring для асинхронного ввода/вывода в Linux, поддержка векторного поиска, наличие выражения ALTER для изменения схемы БД, возможность шифрования данных в БД, режим инкрементальных вычислений, конструкция "BEGIN CONCURRENT".
• Проект по предоставлению возможности использования стандартной библиотеки Rust в программах, выполняемых на стороне GPU.
• Emuko - эмулятор RISC-V, написанный на Rust, способный загружать Linux, поддерживающий JIT-компиляцию, способный сохранять и восстанавливать снапшоты состояния.
• RustConn (flatpak) - графический интерфейс для управления внешними сетевыми соединениями к другим хостам, поддерживающий SSH, RDP, VNC, SPICE, Telnet, Serial, Kubernetes, Zero Trust и SFTP. Код написан на Rust с использованием GTK4 и Wayland.
• Представлена новая ветка проекта zlib-rs 0.6, отмеченная как первая стабильная версия, полностью совместимая с zlib C API и пригодная для прозрачной замены zlib. Проект нацелен на создание защищённого аналога библиотеки сжатия данных zlib. Разработка ведётся с оглядкой на проект zlib-ng, развивающий высокопроизводительный вариант zlib.
• Представлен проект vcad, развивающий параметрическую систему автоматизированного проектирования (САПР), написанную на Rust и интегрируемую с AI-агентами при помощи протокола MCP. Поддерживается 3D-моделирование, симуляция, работа с 2D-эскизами, компонентная сборка, импорт в формате STEP и экспорт в форматах STL/GLB/STEP/DXF.
• Опубликована система распознавания речи, написанная на Rust и использующая AI-модель Mistral Voxtral Mini 4B Realtime и фреймворк машинного обучения Burn. Проект ориентирован на распознавание речи на лету для формирования транскрипции при потоковом вещании.
• Состоялся выпуск инструментария c2rust 0.22, предназначенного для трансляции Си-кода (C99) в unsafe-представление на Rust, близкое по своей структуре к изначальному коду на Си. Полученный рабочий каркас в дальнейшем можно использовать для постепенного перевода на идиоматический Rust и избавления от unsafe-блоков.

1. OpenNews: Выпуск Rust 1.93. Проекты Rex, Fjall 3 и Arti 1.9.0
2. OpenNews: Компания Meta переписала часть мессенджера WhatsApp на языке Rust
3. OpenNews: Для FreeBSD развивают опциональную поддержку компонентов базовой системы на Rust
4. OpenNews: Поддержка Rust переведена из экспериментальных в основные возможности ядра Linux
5. OpenNews: Разработчики FreeBSD обсуждают использование языка Rust в базовой системе

Postfix является одним из редких проектов, сочетающих одновременно высокую безопасность, надёжность и производительность, чего удалось добиться благодаря многопроцессной архитектуре, изолирующей отдельные обработчики, а также жёсткой политике оформления кода и аудита патчей. Для защиты от ошибок при работе с памятью в проекте используются защищённые варианты функции для выделения и освобождения памяти, а также набор абстрактных функций-обвязок для работы с буферами (проверяется выход за границы буфера и обращения к освобождённой памяти), файловыми операциями, форматирования вывода, буферизированного ввода/вывода и манипуляций со строками (включая возможности для работы со строками произвольного размера и автоматического изменения размера строк).

В соответствии с финальным автоматизированным опросом около 500 тысяч почтовых серверов (после июля 2025 года публикация отчётов прекращена), Postfix используется на 37.88% (год назад 36.81%) почтовых серверов, доля Exim составляет 55.59% (год назад 56.61%), Sendmail - 3.55% (3.60%), MailEnable - 1.81% (1.82%), MDaemon - 0.40% (0.40%), Microsoft Exchange - 0.20% (0.19%), OpenSMTPD - 0.12% (0.09%).

Основные новшества:

• Проведена работа по упрощению миграции с поисковых таблиц "hash:" и "btree:" на "lmdb:" или "cdb:" в связи с прекращением поставки библиотек BerkeleyDB в некоторых дистрибутивах Linux. Для сохранения совместимости с инструментарием Mailman, запускающим команду "postmap hash:/path/to/file" при добавлении или удалении списков рассылки, в Postfix добавлена поддержка автоматического перенаправления подобных команд на варианты с поддерживаемыми типами БД.
• По умолчанию включено подключение к SMTP-серверам с использованием TLS-шифрования. В настройках SMTP-клиента параметр smtp_tls_security_level выставлен в значение "may", если Postfix собран с поддержкой TLS. Значение "may" включает по умолчанию использование TLS для серверов с поддержкой шифрования, но допускает откат на передачу данных открытым текстом, если сервер не поддерживает TLS.
• В ESMTP реализована поддержка расширения "REQUIRETLS" (RFC 8689), позволяющего отправителю запросить гарантированное TLS-шифрование на всем пути доставки сообщения. В данном режиме любой SMTP и LMTP сервер, участвующий в перенаправлении письма, должен поддерживать REQUIRETLS и строгую аутентификацию через DANE или STS, а при передаче сообщения по цепочке другим серверам запрашивать использование REQUIRETLS.
• Обеспечено отражение в логах уровня безопасности TLS, т.е. если для передачи сообщения затребован уровень REQUIRETLS, информация об использовании REQUIRETLS теперь будет сохранена в логе.
• Добавлен параметр smtp_tls_enforce_sts_mx_patterns, включающий режим совместимости между SMTP-клиентом Postfix и плагинами MTA-STS (MTA Strict Transport Security), требующими включения поддержки TLSRPT для перенаправления атрибутов STS. При выставлении данного параметра, который активен по умолчанию, SMTP-клиент Postfix подключится к MX-серверу только если его имя соответствует шаблону, указанному в политиках STS. В противном случае будет использовано старое поведение - возможность соединения c MX-серверами на основании MX-записей в DNS при соответствии серверного сертификата политикам STS. Механизм MTA-STS позволяет информировать клиента, установившего соединение через незащищённый канал связи, о возможности и параметрах установки защищённого TLS-соединения. Поддержка параметра smtp_tls_enforce_sts_mx_patterns также добавлена в утилиты postfix-tlspol и postfix-mta-sts-resolver.
• Добавлена поддержка алгоритмов шифрования, стойких к подбору на квантовом компьютере, при сборке с OpenSSL 3.5 и более новыми выпусками.
• Переведены в разряд устаревших 16 параметров конфигурации, при использовании которых в лог теперь будет выводиться предупреждение об их удалении в одном из будущих выпусках. В число устаревших параметров, среди прочего, включены "virtual_maps", "fallback_relay", "postscreen_whitelist_interfaces" и "smtpd_client_connection_limit_exceptions".
• Добавлена поддержка вывода данных в формате JSON для команд: "postconf -j|-jM|-jF|-jP", "postalias -jq|-js", "postmap -jq|-js" и "postmulti -jl".
• Улучшена обработка ошибок в Milter-фильтрах (mail filter), возникающих при обработке сообщений, полученных через уже давно установленные SMTP-соединения. Значение параметра #milter_default_action изменено с "tempfail" на значение "shutdown", подразумевающее закрытие соединения с клиентом в случае, если от Milter не получен ответ.

1. OpenNews: Новая версия почтового сервера Exim 4.99
2. OpenNews: Доступен почтовый сервер Mox 0.0.15
3. OpenNews: Опубликован почтовый сервер Postfix 3.10.0
4. OpenNews: vSMTP - почтовый сервер со встроенным языком для фильтрации трафика
5. OpenNews: Представлен новый почтовый сервер Tegu

Основные изменения в OpenWrt 25.12:

• Осуществлён переход с инструментария opkg на пакетный менеджер APK (Alpine Package Keeper), развиваемый проектом Alpine. Переход расширил возможности управления пакетами, повысил эффективность работы с метаданными, позволил реализовать проверку цифровых подписей для локально установленных пакетов и модернизировал процесс обновления всей системы до новой версии дистрибутива. APK поддерживает большую часть возможностей opkg, но параметры командной строки у данных пакетных менеджеров отличаются.

  Из расширенных возможностей APK также выделяется: Команда "apk list --installed --orphaned", при помощи которой можно посмотреть все не используемые зависимости, которые без ущерба для системы могут быть удалены. Возможность обойтись без отдельной команды обновления индекса - операции opkg, требовавшие запуска разных команд, в apk могут быть сведены к одной команде, например, вместо "opkg update && opkg install dnsmasq-full" можно запустить "apk --update-cache add dnsmasq-full".

  Сравнение некоторых команд apk и opkg для выполнения типовых действий:

  apk update	opkg update
  apk add pkg	opkg install pkg
  apk del pkg	opkg remove pkg
  apk list	opkg list
  apk list P	opkg list P
  apk list --installed [P]	opkg list-installed
  apk list --upgradeable [P]	opkg list-upgradable
  apk list --providers [P]	opkg -A whatprovides P
  apk info P	opkg info P
  apk info --all P	нет эквивалента
  apk info --contents P	opkg files P

• Включён по умолчанию сервис ASU (Attended SysUpgrade), позволяющий обновить прошивку до новой версии системы без потери имеющихся настроек и установленных пользователем пакетов. Через web-интерфейс LuCI или инструментарий командной строки пользователь отправляет запрос на формирование обновлённого образа прошивки, указывая установленные в его системе пакеты. Через какое-то время сервер ASU формирует образ, соответствующий заказанному содержимому, после чего пользователь загружает его и прошивает его на своё устройство. Дополнительно предоставляется опция, позволяющая сохранить в обновлённой прошивке имеющиеся настройки.
• Обеспечено сохранение истории операций в командной строке между сеансами. История операций сохраняется в RAM-диске и не теряется после повторного входа. Хранение истории в оперативной памяти позволяет избежать лишних операций записи на Flash-накопители, но в качестве опции можно включить сохранение истории и на постоянном носителе, отредактировав скрипт '/etc/profile.d/busybox-history-file.sh'.
• В базовой поставке включён репозиторий, содержащий Qt5, GTK, SDL3, wlroots, wayland и прочие библиотеки для создания графических интерфейсов и организации запуска графических приложений.
• Shell-скрипты для работы с Wi-Fi и управления сетевой конфигурацией переписаны на языке uCode, имеющем синтаксис близкий к JavaScript. uCode отмечен как более безопасный и производительный язык, упрощающий сопровождение и позволяющий обеспечить прямую интеграцию с ubus и UCI.
• Добавлена поддержка более 180 новых устройств. Общее число поддерживаемых устройств превысило 2200.
• Для устройств на чипах Realtek расширена поддержка Ethernet-коммутаторов, включая 10-гигабитные варианты.
• В платформу qualcommax добавлена поддержка SoC ipq50xx и ipq60xx.
• Добавлена новая платформа siflower для SoC Siflower SF21A6826/SF21H8898.
• Добавлены платформы sunxi/arm926ejs и microchipsw/lan969x для SoC Allwinner F1C100/200s и коммутаторов Microchip LAN969x.
• Обновлены версии пакетов, включая musl 1.2.5, glibc 2.41, gcc 14.3.0, binutils 2.44, dnsmasq 2.91, dropbear 2025.89 и busybox 1.37.0.
• Ядро Linux обновлено до выпуска 6.12.71 с беспроводным стеком cfg80211/mac80211, портированным из ядра 6.18.7 (в прошлой ветке поставлялось ядро 6.6 с беспроводным стеком из ядра 6.12).

1. OpenNews: Доступен дистрибутив OpenWrt 24.10
2. OpenNews: Опубликован инструментарий для запуска Debian на устройстве OpenWrt One
3. OpenNews: Представлен маршрутизатор Turris Omnia NG с прошивкой на базе OpenWRT
4. OpenNews: Уязвимости, позволяющие подменить образы и выполнить код на ASU-серверах проекта OpenWrt
5. OpenNews: Дистрибутив OpenWrt переходит на пакетный менеджер APK

Проект OpenTitan предоставляет платформу для создания заслуживающих доверия аппаратных компонентов (RoT, Root of Trust), применяемых там, где нужно гарантировать целостное состояние аппаратных и программных элементов системы. OpenTitan основан компанией Google в 2018 году, но в 2019 году был передан некоммерческой организации lowRISC, после чего к его разработке присоединились такие компании, как Western Digital, Seagate, Nuvoton Technology, Winbond, Rivos, zeroRISC и G+D Mobile Security. Связанный с проектом код и спецификации аппаратных компонентов опубликованы под лицензией Apache 2.0. В основу решений, применяемых в OpenTitan, заложены технологии уже используемые в криптографических USB-токенах Google Titan и TPM-чипах для обеспечения верифицированной загрузки, устанавливаемых на серверах в инфраструктуре Google, а также на устройствах Chromebook и Pixel.

В отличие от существующих реализаций Root of Trust, OpenTitan развивается в соответствии с концепцией "безопасность через прозрачность", подразумевающей доступность кода и схем, а также применение полностью открытого процесса разработки, не привязанного к конкретным поставщикам и производителям чипов. OpenTitan стал первой выпущенной на рынок открытой реализацией Root of Trust, в которой имеется поддержка постквантового механизма безопасной загрузки, основанного на использовании алгоритма формирования цифровых подписей SLH-DSA (Sphincs+), стойкого от подбора на квантовых компьютерах.

Чипы на базе OpenTitan могут использоваться в серверных материнских платах, сетевых картах, потребительских устройствах, маршрутизаторах и устройствах интернета вещей для верификации прошивок и загружаемых компонентов (защита от модификации критически важных частей системы), для генерации криптографически уникальных идентификаторов системы (защита от подмены оборудования), для предоставления связанных с безопасностью сервисов, для защиты криптографических ключей (изоляция ключей в случае получения злоумышленником физического доступа к оборудованию) и для ведения изолированного лога аудита, который невозможно отредактировать или стереть.

OpenTitan включает логические блоки, востребованные в RoT-чипах, такие как открытый микропроцессор на базе архитектуры RISC-V (RV32IMCB Ibex), криптографические сопроцессоры, аппаратный генератор случайных чисел, менеджер ключей с поддержкой DICE, механизм защищённого хранения данных в постоянной и оперативной памяти, технологии защиты, блоки ввода/вывода и компоненты безопасной загрузки. Устройство также предоставляет блоки с реализацией типовых алгоритмов шифрования, таких как AES и HMAC-SHA256, и ускоритель математических операций, применяемых в алгоритмах для работы с цифровыми подписями на базе открытых ключей.

1. OpenNews: Представлен первый чип на базе открытой платформы OpenTitan
2. OpenNews: Google представил проект Open Se Cura для создания защищённых программно-аппаратных систем
3. OpenNews: Завершено RTL-проектирование OpenTitan, платформы для заслуживающих доверия чипов
4. OpenNews: Google открыл код защищённой операционной системы KataOS
5. OpenNews: Представлена платформа Precursor для создания свободных мобильных устройств

Основные новшества Android 16 QPR3 (1, 2, 3, 4):

• Добавлен режим рабочего стола, активируемый при подключении устройства к внешнему большому экрану. По аналогии с традиционной средой рабочего стола новый режим позволяет одновременно работать с окнами нескольких приложений, менять размер окон и использовать для навигации панель задач, показывающую активные приложения и допускающую закрепление ярлыков наиболее часто используемых программ.

  Возможно подключение клавиатуры и мыши, и назначение собственных комбинаций клавиш. На внешнем экране создаётся новый сеанс рабочего стола, а на телефоне можно продолжать работать в мобильном интерфейсе. Возможность включения десктоп-режима при подключении к внешнему экрану заявлена для смартфонов Google Pixel серии 8, 9 и 10, а также устройств Samsung S26, Fold7, Flip7 и Tab S11.

  

  При использовании режима на планшетах, таких как Samsung Galaxy Tab S11, десктоп-режим можно применять и на основном экране устройства, а внешний монитор использовать как дополнение к экрану планшета. В этом случае создаётся многомониторная конфигурация с единым виртуальным экраном, позволяющая перемещать курсор и окна приложений между основным и внешним экраном.

  

  Мобильные приложения, созданные с использованием механизмов построения адаптивного интерфейса, в десктоп-режиме выглядят как типовые настольные приложения. Из возможностей для создания адаптивных приложений отмечены объект Display (позволяет отслеживать изменение настроек экрана и перемещения приложения на другой экран) и API для обработки событий с клавиатуры и мыши. В оконный менеджер Jetpack WindowManager добавлены новые классы экранов - Large и Extra-large. Добавлены библиотеки Navigation 3 и Compose Material 3 Adaptive для создания интерфейсов, подстраивающихся под размер экрана.

• Обеспечена интеграция мессенджера Google Messages с Find Hub, позволяющая делиться информацией о своём местоположении во время чата и отслеживать нахождение друзей на карте в режиме реального времени. Возможно ограничение времени доступа к местоположению и досрочное прекращение передачи сведений.
  
  
• В Find Hub добавлена функция поиска местоположения потерянного авиакомпанией багажа, через отслеживание позиции размещённого в багаже Android-устройства и передачу службе поддержки авиакомпании ссылки, позволяющей увидеть информацию о местоположении в любом браузере.
  
  
• В Google Play добавлена поддержка отображения видео при навигации по каталогу приложений для более наглядного ознакомления с возможностями программ.
  
  
• Добавлена поддержка создания визитной карточки с фотографией и текстом, которые будут показаны получателю исходящего звонка.
  
  
• В Android Auto добавлен набор одобренных учителями обучающих игр для детей в возрасте от 3 до 12 лет, запускаемых на панели автомобильной информационной системы.
  
  
• В область уведомлений добавлена возможность показа краткой выжимки непрочитанной переписки в чате и помещения неважных уведомлений в отдельную группу.
• Добавлена возможность изменения формы пиктограмм на домашнем экране и применения ко всем пиктограммам монохромной темы оформления.
• В прошивках для устройств Google Pixel реализованы такие новшества, как поддержка распознавания одновременно нескольких объектов в Circle to Search, использование AI-ассистента Gemini для выполнения повседневных задач (например, можно заказывать продукты и взаимодействовать с программами на смартфоне), новое приложение Now Playing для распознания звучащих поблизости музыкальны треков, вывод в виджете At a Glance информации о курсах акций, пробках и счёта спортивных матчей, AI-генерация собственного стиля пиктограмм для домашнего экрана.

1. OpenNews: Поставка ОС Aluminium намечена на 2028 год. Поддержка ChromeOS сохранится до 2034 года
2. OpenNews: Google оставит в Android возможность установки неверифицированных сторонних приложений
3. OpenNews: Выпуск платформы Android 16 QPR2 с поддержкой запуска графических Linux-приложений
4. OpenNews: Google переходит к публикации кода Android дважды в год
5. OpenNews: Вторая бета-версия Android 17

Целью сокращения цикла разработки называется желание более оперативно доводить новые возможности, исправления ошибок и оптимизации до пользователей и разработчиков web-приложений. Предполагается, что более частая публикация релизов не повлияет на качество, снизит риск сбоев при обновлении и упростит отладку, так как в каждом выпуске будет предлагаться меньше изменений.

Сокращённый цикл разработки начнёт действовать 8 сентября, после формирования по старому графику выпуска Chrome 153. Последующие стабильные выпуски и бета-версии, в которых осуществляется стабилизация перед релизом, начнут публиковаться каждые две недели. Цикл разработки веток Dev и Canary останется прежним, т.е. работа по разработке новой функциональности будет осуществляться в прежнем темпе (публикация ежедневных сборок Canary и формирование 1-2 раза в неделю dev-сборок, прошедших автоматизированное тестирование).

1. OpenNews: Chrome сокращает цикл подготовки релизов
2. OpenNews: Chrome сокращает цикл подготовки релизов и вводит в обиход редакцию Extended Stable
3. OpenNews: Поставка ОС Aluminium намечена на 2028 год. Поддержка ChromeOS сохранится до 2034 года
4. OpenNews: Выпуск Chrome 145
5. OpenNews: Google Chrome меняет режим выпуска релизов

Из отличий Gram от Zed отмечается прекращение поставки AI-инструментов и кода для отправки телеметрии, удаление привязок к проприетарным серверным обработчикам, сторонним сервисам и компонентам, применяемым для организации совместной работы с кодом и автоматической установки обновлений. Пользователям Gram не навязываются отдельные условий использования (Terms of Service) и платные подписки.

Дальнейшую разработку форка планируют вести в консервативном стиле, независимо от Zed и корпораций, и уделяя основное внимание обеспечению стабильности. Приём изменений в Gram осуществляется без необходимости подписания соглашения о передаче имущественных прав (CCA, Contributor License Agreement). Изменения под лицензией Apache 2.0 в Gram приниматься не будут, для нового кода можно использовать только лицензии GPLv3 и AGPLv3 (Zed поставлялся под тремя лицензиями Apache 2.0, GPLv3 и AGPLv3, что позволяло использовать его код в проприетарных продуктах без открытия изменений).

Одновременно опубликован первый релиз Gram, в котором удалён код, связанный с AI, телеметрией, загрузкой и установкой обновлений, совместной работой над кодом, привязкой к учётной записи. Из дополнительных возможностей в редактор встроена документация, добавлена поддержка языков программирования Gleam, Zig и Odin, реализована система автодополнения ввода в стиле Vim Supertab. Устанавливаемые дополнения в Gram должны собираться из исходного кода и автоматически не обновляются. Для загрузки LSP- (Language Server) и Node-компонентов введено обязательное подтверждение операции пользователем. Готовые сборки подготовлены для Linux и macOS.

Примечательно, что это не первый форк Zed - проект Zedless развивает форк, сфокусированный на обеспечении конфиденциальности и обособленной локальной работе без обращения к сторонним серверам. В Zedless также как в Gram убраны привязки к проприетарным облачным сервисам, удалён код для отправки телеметрии и автоматически генерируемых отчётов об аварийном завершении работы, не требуется CLA-соглашение. При этом функциональность совместной работы не удалена, а сосредоточена на развёртывании собственной инфраструктуры, но пользователь может вернуть использование внешних сервисов на своё усмотрение.

Проект Zed развивается под руководством Натана Собо (Nathan Sobo), автора редактора Atom (основа VS Code) при участии команды бывших разработчиков редактора Atom, платформы Electron и библиотеки для разбора синтаксиса Tree-sitter. При разработке учтён опыт создания Atom и предпринята попытка воплотить некоторые идеи о том, как должен выглядеть идеальный редактор для программиста. Zed совмещает в одном продукте легковесный текстовый редактор и функциональность современных интегрированных сред разработки. Большое внимание уделяется производительности и отзывчивости интерфейса - по задумке создателей проекта все действия при редактировании должны выполняться мгновенно, а задачи кодирования решаться наиболее эффективным способом. Высокая производительность Zed достигается благодаря активному использованию многопоточности с задействованием всех доступных ядер CPU и вовлечению GPU в процесс отрисовки.

1. OpenNews: В разработку редактора кода Zed инвестировано $42 млн. Создан Zedless, форк Zed
2. OpenNews: В многопользовательском редакторе кода Zed обеспечена поддержка Linux
3. OpenNews: Открыт редактор Zed, поддерживающий совместное написание кода
4. OpenNews: Первый выпуск проекта Pulsar, подхватившего разработку редактора кода Atom
5. OpenNews: GitHub сворачивает разработку редактора кода Atom

Отмечается, что сотрудничество будет способствовать продвижению нового поколения технологий конфиденциальности и безопасности, созданных благодаря совмещению новаторских наработок GrapheneOS, богатого опыта Motorola в области поддержания безопасности, понимания потребностей реальных пользователей и задействования решений ThinkShield от компании Lenovo (c 2014 года компания Motorola Mobility принадлежит компании Lenovo).

GrapheneOS развивает ответвление от кодовой базы AOSP (Android Open Source Project), включающее многие экспериментальные технологии, связанные с усилением изоляции приложений, детальным управлением доступом, блокированием проявления уязвимостей и усложнением работы эксплоитов. Среди прочего, в платформе задействована собственная реализация malloc, модифицированный вариант libc с защитой от повреждения памяти и более жёсткое разделение адресного пространства процессов. В ядре Linux включены дополнительные механизмы защиты, такие как канареечные метки в slub для блокирования переполнения буферов. Для усиления изоляции приложений задействованы SELinux и seccomp-bpf.

Пользователю предоставлена возможность выборочного управления доступом отдельных приложений к сетевым операциям, датчикам, адресной книге и периферийным устройствам (USB, камере). По умолчанию запрещено получение сведений об IMEI, MAC-адресе, серийном номере SIM-карты и других аппаратных идентификаторах. Чтение из буфера обмена разрешено только приложениям, в которых в данный момент активен фокус ввода. Включены дополнительные механизмы изоляции процессов, связанных с Wi-Fi и Bluetooth, и предотвращения утечек в результате беспроводной активности.

В GrapheneOS применяется криптографическая верификация загружаемых компонентов и шифрование данных на уровне файловых систем ext4 и f2fs, а не блочного устройства. Данные в системных разделах и в каждом профиле пользователя шифруются разными ключами. На экране блокировки отображается кнопка завершения сеанса, после нажатия которой ключи для расшифровки сбрасываются и хранилище переводится в неактивированное состояние. Пользователю предоставлена возможность задания дополнительного деструктивного пароля и PIN-кода, ввод которых приведёт к очистке всех ключей в аппаратных хранилищах, включая ключи, используемые для шифрования данных на накопителе, а также к очистке eSIM и перезагрузке.

В состав GrapheneOS принципиально не включаются приложения и сервисы Google, а также альтернативные реализации сервисов Google, такие как microG. При этом имеется возможность установки сервисов Google Play в отдельном изолированном окружении, не имеющем специальных привилегий. Проектом развивается несколько собственных приложений, сфокусированных на защите информации и приватности, таких как браузер Vanadium на базе Chromium, защищённый PDF-просмотрщик, межсетевой экран, приложение Auditor для верификации устройств и выявления вторжений, приложение для работы с камерой и система создания шифрованных резервных копий Seedvault.

Дополнение: На вопрос будет ли на новых смартфонах Motorola возможность разблокировки загрузчика разработчики GrapheneOS ответили, что соглашение с Motorola включает поддержку установки сторонних ОС на новые устройства. Среди прочего, пользователи смогут использовать собственные сборки GrapheneOS. Вероятно GrapheneOS будет создавать дополнительно защищённые варианты прошивок и драйверов, которые будут распространяться через официальные каналы распространения прошивок. Использование этих компонентов не потребует извлечения информации из предоставляемых готовых образов GrapheneOS и Motorola OS.

1. OpenNews: Давление французских силовых ведомств на GrapheneOS из-за отказа интегрировать бэкдор
2. OpenNews: В Android-платформе GrapheneOS появилась возможность создания деструктивного PIN-кода
3. OpenNews: Google добавит в Android режим расширенной защиты
4. OpenNews: Проект Tor представил прототип защищённого смартфона на платформе Android
5. OpenNews: Раскол среди создателей проекта CopperheadOS

Среди улучшений в Clang 22:

• Добавлена поддержка токенов выделения памяти (Allocation Token) для маркировки уникальным идентификатором операций выделения памяти, осуществляемых при помощи таких функций, как malloc. Идентификаторы дают возможность структурировать информацию в куче (heap), упростить выявление утечек в памяти и реализовать группировку объектов на основе назначения или характера изменений (например, разделять "горячие" или "холодные" данные). Для включения следует использовать флаг "-fsanitize=alloc-token".
• Возможности, связанные с языком С:
  • Реализован черновик спецификации, определяющей механизм отложенного выполнения "defer", дающий возможность выполнить действия в момент выхода из текущей области видимости. Для включения поддержи "defer" добавлен флаг "-fdefer-ts".
  • Добавлена встроенная функция __builtin_stack_address(), повторяющая аналогичную функцию в GCC. Функция возвращает адрес в стеке, разделяющий область стека текущей функции, вызвавшей __builtin_stack_address(), и в последующем вызываемыми функциями.
• Возможности, развиваемые для будущего стандарта C2y:
  • Добавлена поддержка именованных циклов, позволяющих присваивать имена циклам и оператору switch, которые можно указывать в операторах break и continue для явного определения цикла, из которого производится выход.

    
       outer:
       for (int i = 0; i < IK; ++ i) {
         for (int j = 0; j < JK; ++ j) {
            continue;       // переход к CONT1
            continue outer; // переход к CONT2
            // CONT1
         }
         // CONT2
       }
    

  • Расширена и включена в стандарт реализация встроенного макроса "__COUNTER__", предназначенного для генерации уникальных имён идентификаторов. Выставлен лимит в 2147483647 вызовов данного макроса, после превышения которого будет выведена ошибка.
  • Убран вывод предупреждения (-Wstatic-in-inline) при использовании статических функций или переменных внутри функций, объявленных как "extern inline".
• Возможности, определённые в Си-стандарте C23:
  • В заголовочный файл float.h добавлена поддержка макросов FLT_SNAN, DBL_SNAN и LDBL_SNAN, реализующих сигнальные (вызывающие исключение при использовании в арифметических операциях) значения NaN для типов float, double и long double.
  • Исправлена ошибка, из-за которой разные неименованные типы обрабатывались как совместимые в пределах одной единицы трансляции, если у них совпадали поля.
  • Флаг "-MG", используемый для игнорирования отсутствия заголовочных файлов при сканировании зависимостей, распространён на директивы "#embed" и теперь подавляет вывод ошибки "file not found" при отсутствии файла, указанного в директиве "#embed".
• Возможности, связанные с С++:
  • Добавлена развиваемая в спецификации C++2с (C++26) возможность использования структурированных привязок (structured binding) в контексте "constexpr", т.е. ссылки на константные выражения теперь сами могут быть константными выражениями. Поддержка реализована для массивов и простых структур (кортежи пока не поддерживаются).

    
       constexpr int arr[] = {1, 2};
       constexpr auto [x, y] = arr; 
    

  • В соответствии с требованием стандарта C++20 обеспечено преобразование ограничений (constraints) в стандартную форму перед проверкой их выполнения, что позволяет выдавать более точные диагностические сообщения и правильно обрабатывать ошибки подстановки в аргументах шаблона, используемых только в concept-ids.
  • Добавлено семейство встроенных функций "__builtin_[lt|gt|le|ge]_synthesizes_from_spaceship", позволяющих узнать, были ли операторы сравнения "<", ">", "<=" и ">=" синтезированы из оператора "<=>".
  • Параметр "-Wincompatible-pointer-types" переведён на вывод ошибки вместо предупреждения. Для возвращения старого поведения следует использовать опцию "-Wno-error=incompatible-pointer-types".
• Добавлены встроенные функции __builtin_bswapg, __builtin_elementwise_ldexp, __builtin_elementwise_fshl, __builtin_elementwise_fshr, __builtin_elementwise_minnumnum, __builtin_elementwise_maxnumnum, __builtin_masked_load, __builtin_masked_expand_load, __builtin_masked_store, __builtin_masked_compress_store, __builtin_masked_gather, __builtin_masked_scatter и __builtin_dedup_pack. Например, builtin_dedup_pack позволяет удалить дубликаты из списка типов:

  
     using MyTypeList = TypeList<__builtin_dedup_pack<int, double, int, char, double>...>;
     // результирующий тип будет TypeList<int, double, char>
  

• При отладке неопределённого поведения через UBSan (-fsanitize=undefined -fsanitize-trap=undefined) обеспечено добавление в генерируемую отладочную информацию сведений о причинах ошибок. Для задания уровня детализации информации об ошибках добавлен флаг "-fsanitize-debug-trap-reasons", который может принимать значение "basic" для общих описаний (например, "Integer addition overflowed") и "detailed" для включения развёрнутой информации (например, "signed integer addition overflow in 'a + b'").
• Добавлены новые флаги компилятора:
  • "-f[no-]sanitize-debug-trap-reasons" для управления встраиванием причин возникновения исключений (trap) в отладочную информацию при компиляции в режиме "-fsanitize-trap".
  • "-fsanitize=alloc-token", "-falloc-token-max", "-fsanitize-alloc-token-fast-abi" и "-fsanitize-alloc-token-extended" для управления токенами выделения памяти.
  • "-fmatrix-memory-layout" для управления размещением в памяти матричных типов (например, column-major - по столбцам, row-major - по строкам).
• Для функций реализован атрибут "malloc_span", похожий на атрибут malloc, но применяемый к функциям, возвращающим span-подобные структуры, содержащие указатель и поле с размером или указателем на конец блока.
• Добавлен атрибут "modular_format" для динамического выбора необходимой статически связываемой реализации функции printf во время компоновки.
• Расширены средства диагностики и статического анализа, добавлены новые проверки (несколько десятков улучшений, связанных с диагностикой).
• В бэкенд для архитектуры X86 добавлены дополнительные встроенные функции (Intrinsics) для расширений SSE, AVX и AVX512. Добавлены режимы сборки для CPU Intel на базе микроархитектур Wildcat Lake (-march=wildcatlake) и Nova Lake (-march=novalake).
• В бэкенд для архитектуры AArch64 добавлена поддержка процессоров Ampere Computing Ampere1C (ampere1c), Arm C1-Nano (c1-nano), Arm C1-Pro (c1-pro), Arm C1-Premium (c1-premium) и Arm C1-Ultra (c1-ultra). Добавлены дополнительные встроенные функции для инструкций FCVTZ[US], FCVTN[US], FCVTM[US], FCVTP[US], FCVTA[US]. Стабилизирована поддержка FMV (Function Multi-Versioning). Пользователям предоставлена возможность переопределения приоритета различных версий функций.
• Добавлена поддержка архитектуры LoongArch32 (LA32R, LA32S).
• Улучшены бэкенды для архитектур ARM, AMDGPU, RISC-V, LoongArch64, MIPS, WebAssembly и PowerPC.

1. OpenNews: LLVM ввёл правила применения AI-инструментов. Curl и Node.js ограничат выплаты за уязвимости из-за AI
2. OpenNews: Релиз набора компиляторов LLVM 21
3. OpenNews: В Clang намерены добавить режим усиленной безопасности
4. OpenNews: На базе Clang для языка Си реализован режим проверки границ буферов
5. OpenNews: Релиз набора компиляторов GCC 15

В законопроекте указано, что ответственные за разработку, лицензирование или установку операционной системы на компьютеры, мобильную технику и прочие устройства должны предоставить при создании учётной записи интерфейс для ввода данных о дате рождения и возрасте регистрируемого пользователя с целью передачи информации о категории возраста приложениям, получаемым через каталоги-магазины приложений. Под каталогом-магазином понимается любой публичный сайт, приложение, online-сервис или платформа для загрузки программ, созданных сторонними разработчиками.

Загруженные и запущенные приложения должны иметь возможность получать от операционной системы информацию о возрасте в 4 градациях: младше 13 лет, от 13 до 16 лет, от 16 до 18 лет, 18 лет и старше. Разработчик приложения должен использовать полученную информацию о возрасте для соблюдения законодательства о защите детей в интернете. За невыполнение требований предусмотрены штрафы до $2500 за неумышленное и до $7500 за умышленное нарушение в отношении каждого пострадавшего ребёнка.

Судя по всему, дистрибутивы Linux и используемые ими репозитории пакетов подпадают под действие принятого законопроекта. Вопрос обеспечения поддержи законопроекта в дистрибутивах Linux находится на стадии обсуждения. Некоторые участники считают, что будет достаточно написать на сайтах некоммерческих дистрибутивов, что продукт не предназначен для использования в Калифорнии.

Дополнение 1: Проект MidnightBSD добавил на страницу загрузки предупреждение, что начиная с 1 января 2027 года жителям штата Калифорния запрещается использовать MidnightBSD на территории штата из-за вступления в силу закона о верификации возраста. Указано, что из-за нехватки времени разработчики не планируют добавлять в MidnightBSD требуемые законом возможности.

Дополнение 2: Разработчики Ubuntu обсуждают добавление в дистрибутив API для запроса приложениями информации о возрасте пользователя. Рассматривается возможность реализации данного API через xdg-desktop-portal или сервис AccountsService с отправкой запросов через D-Bus.

1. OpenNews: Возобновлён судебный процесс о законности применения блокировщиков рекламы
2. OpenNews: Разработчики Debian опубликовали заявление, связанное с законопроектом Cyber Resilience Act
3. OpenNews: В закон DMCA внесены исключения, разрешающие замену прошивок маршрутизаторов
4. OpenNews: Калифорнийский законопроект делает скрытое использование ботов нелегальным
5. OpenNews: Компания Nintendo подала в суд иск против разработчиков эмулятора Yuzu

В первом эксперименте AI-ассистенту Claude Code была поставлена задача обнаружения проблем в кодовой базе DNS-сервера BIND 9, фокусируясь на проблемах с безопасностью и модернизации кода. Ни одно из предложенных исправлений не было принято в кодовую базу, так как Claude сгенерировал технически корректный, но практически бесполезный код. Например, в качестве проблем отмечались зарезервированные идентификаторы и потенциальные целочисленные переполнения, предотвращаемые компилятором и не требующие правки. Эксперимент признан бесполезной тратой времени.

Во втором эксперименте Ондржей попросил Claude написать систему телеметрии, интегрируемую с разными пакетами и минимизирующую утечки метаданных. Claude Code подготовил прототипы клиента и сервера, но без должного понимания окружения и возникающих в процессе тестирования проблем. Дополнительно для проверки были задействованы Google Gemini и ChatGPT, и каждая AI-модель находила ошибки в результате работы других моделей.

Для быстрого создания прототипа метод оказался пригоден, но Ондржей отметил, что при работе он чувствовал себя секретарём робота‑повелителя. Вначале быстрое получение прототипа внушало оптимизм, но в конце возникло ощущение, что весь процесс разработки с помощью AI занял больше времени, чем при написании кода вручную с нуля. Много времени было потрачено на разбор решения, предложенного AI, проверку наличия бессмысленных изменений и переработку - прототип пришлось переделать, так как качество кода после AI оказалось посредственным и код включал большое число повторяющихся конструкций.

Третьим экспериментом стала генерации балансировщика нагрузки на языке Rust с использованием crate-пакетов Domain и Tokio. Claude Code сумел сгенерировать запрошенный рабочий прототип, но Ондржей не настолько хорошо знает Rust и задействованные библиотеки, чтобы оценить качество проделанной работы.

Четвёртый эксперимент был связан с подготовкой в Google Gemini вспомогательных материалов, тестов и вопросов к курсу лекций, который Ондржей преподаёт в университете. Данный эксперимент признан наиболее успешным, хотя не обошлось без проблем - AI выдумал несуществующее чешское слово для термина по криптографии. Также отмечено обилие присылаемых ему студенческих работ, сгенерированных большими языковыми моделями, которые приходятся возвращать на переделку из-за несоответствия работы университетскому уровню и ссылок на некорректные источники.

Дополнительно можно отметить ещё один эксперимент, проведённый директором по инжинирингу компании Cloudflare. При помощи модели Claude Code, потратив примерно неделю времени и 1100 долларов на токены, удалось подготовить альтернативную реализацию API фреймворка Next.js, оформленную в виде плагина к инструментарию Vite. Проект получил название vinext и опубликован на GitHub. Новая реализация в четыре раза быстрее, чем сборка Next.js при помощи Turbopack, и формирует бандлы для фронтэндов, занимающие на 57% меньше места.

Проект реализует 94% шестнадцати базовых API Next.js и может использоваться в качестве прозрачной замены Next.js и развёртывания проектов в платформе Cloudflare Workers без применения дополнительных прослоек, таких как OpenNext, и без привязки к Node.js. Ключевым назначением vinext называется предоставление возможности использования API Next.js на платформах, отличных от Vercel, и без развёртывания собственного сервера. В текущем виде поддерживается только Cloudflare Workers и имеется прототип для Vercel, но в будущем ожидается поддержка и других платформ бессерверных вычислений, с которыми может работать Vite, включая Netlify и AWS Lambda.

1. OpenNews: AI-модель Claude Opus 4.6 выявила более 500 ранее неизвестных уязвимостей
2. OpenNews: Anthropic опубликовал Си-компилятор, созданный AI-моделью Claude Opus и способный собрать ядро Linux
3. OpenNews: Компоненты браузера Ladybird начали переписывать на Rust при помощи AI
4. OpenNews: Сравнение числа ошибок в коде, написанном людьми и AI
5. OpenNews: Эксперимент по использованию AI для рецензирования изменений в DRM-подсистеме ядра Linux

В Open Source Endowment пожертвования напрямую не распределяются среди получателей грантов, а инвестируются в портфель ценных бумаг с низким уровнем риска. Для выплаты грантов используется только полученный от инвестиций доход, который составляет приблизительно 5% в год. Подобная модель работы некоммерческих фондов получила распространение для финансирования научных исследований в университетах. Отмечается, что мир Open Source во многом похож на исследовательский университет и имеет схожую культуру, основанную на репутации, и схожие функции - совместное создание интеллектуальной собственности для общественного блага, взаимное обучение внутри тематических сообществ и коммерциализация лишь небольшой части результатов.

Средства будут предоставляться наиболее значимым открытым проектам в форме микрогрантов, размером примерно $5000, нацеленных на проведение работы по повышению стабильности и увеличению безопасности или вознаграждение сопровождающих. Допускаются только независимые проекты, не связанные с корпорациями, не ассоциируемые со стартапами и не получающие венчурное финансирование. Первые выплаты намечены на второй квартал 2026 года.

Получатели грантов номинируются через специальную форму на сайте, после чего из полученных заявок при помощи модели оценки рисков и при участии сообщества выбираются победители, заслуживающие предоставления финансирования. При выборе учитываются такие показатели, как число загрузок, объём зависимых проектов, задействование в критических системах, размер кодовой базы, состояние безопасности, число активных участников, состояние с сопровождением, зависимость от отдельных лиц (фактор автобуса). Отобранные проекты получают подтверждение от жертвователей фонда, после чего окончательно утверждаются советом директоров.

Фонд основан Константином Виноградовым, венчурным инвестором, специализирующемся на открытом ПО, AI и инфраструктурных проектах, в прошлом являвшимся одним из партнёров в венчурном фонде Runa Capital. В состав совета директоров вошли Чад Витакре (Chad Whitacre, создатель инициатив Open Source Pledge и Fair Source), Максим Коновалов (сооснователь компании Nginx) и Константин Виноградов. Исполнительным директором назначен Джонатан Старр (Jonathan Starr, сооснователь SciOS и Института практик открытой науки). В надзорный комитет вошли Эми Паркер (Amy Parker, руководитель OpenSSL Foundation) и Влад-Стефан Харбуз (Vlad-Stefan Harbuz, сопровождающий Open Source Pledge и ключевой разработчик сервиса thanks.dev).

На данный момент размер собранного Фондом целевого капитала составляет 693 тысячи долларов. К проекту подключился 61 крупный жертвователь и 44 участника с размером пожертвований около тысячи долларов. Наиболее крупные пожертвования, превышающие 100 тысяч долларов, передали Игорь Сысоев (создатель Nginx), Митчелл Хашимото (Mitchell Hashimoto, сооснователь HashiCorp) и Кайлаш Надх (Kailash Nadh, технический директор Zerodha).

Среди участников, пожертвовавших от 10 до 100 тысяч долларов - Константин Виноградов, Максим Коновалов, Шей Банон (Shay Banon, основатель Elastic) и Эван Ю (Evan You, создатель Vue.js и Vite). Участие в проекте также приняли директор Apache Software Foundation, председатель совета директоров Open Source Initiative, директор по Gen AI в NVIDIA, технический директор Linux Foundation, бывший руководитель GitHub, а также основатели или сооснователи таких проектов, как ClickHouse, Apache Arrow, cURL, Archestra, n8n и Percona.

1. OpenNews: Проблемы с финансированием каталогов пакетов открытого ПО
2. OpenNews: Финансирование СПО за счет введения компенсационной платы за плохой код
3. OpenNews: Новые проекты Linux Foundation по финансированию, безопасности и совместной разработке СПО
4. OpenNews: Инициатива Maintenance Fee, предлагающая взимать плату за доступ к сборкам релизов открытых проектов
5. OpenNews: Flathub внедряет поддержку пожертвований и платных приложений

Для проведения атак злоумышленник должен иметь возможность подключиться к той же беспроводной сети, что и у жертвы, или к гостевой сети, обслуживаемой той же точкой доступа. Например, атаки могут применяться в публичных общественных беспроводных сетях. Из 9 протестированных моделей беспроводных точек доступа от Netgear, Tenda, D-LINK, TP-LINK, ASUS, Ubiquiti, LANCOM и Cisco, а также решений с прошивками DD-WRT и OpenWrt, все из устройств оказались подвержены как минимум одному методу атаки.

Выделяются три проблемы, позволяющие совершить атаку. Первая проблема позволяет обойти изоляцию между клиентами из-за некорректного управления ключами, используемыми для защиты широковещательных кадров. Вторая проблема связана с тем, что изоляция обычно применяется на уровне MAC или на уровне IP, но не на обоих уровнях одновременно. Третья проблема вызвана ненадёжной синхронизацией идентификаторов клиентов на уровне всего сетевого стека, что позволяет перехватывать входящий и исходящий трафик других клиентов.

Современные беспроводные точки доступа объединяют в себе функции радиопередатчика и сетевого коммутатора (Layer 2 Switch), при этом коммутатор, в отличие от проводных сетей, вместо привязки клиента к физическому порту, использует логическую привязку к беспроводному каналу. В качестве идентификатора при такой привязке используется MAC-адрес клиента, который отождествляется с каналом в специальной таблице MAC-адресов. В случае переключения клиента на иной диапазон частот (например, после перехода с 2.4 ГГц на 5 ГГц) данные в таблице обновляются.

Атака проводится на первом (физический, радиоканал) и втором (канальный, MAC-адрес) уровнях сетевой модели OSI, и сводится к тому, что злоумышленник, подключившийся к той же точке доступа, но использующий частотный диапазон не как у жертвы (например, 2.4 ГГц вместо 5 ГГц), отправляет запрос на согласование соединения (4-way handshake), указав в качестве своего MAC-адрес как у жертвы (подобие ARP-спуфинга в Ethernet-сетях). Так как клиенты идентифицируются по MAC-адресу, точка доступа считает, что клиент переключился на другой канал, и меняет запись в таблице MAC-адресов. После этого весь входящий трафик от точки доступа начинает отправляться на устройство атакующего.

Для организации двунаправленного перехвата атакующий, получив адресованные жертве данные, возвращает состояние таблицы MAC-адресов в исходное состояние. Для этого отправляется пакет "ICMP Ping" c указанием случайного MAC-адреса и шифрованием пакета ключом GTK (Group Temporal Key), общим для всех клиентов беспроводной сети. Точка доступа, получив данный пакет, возвращает привязку MAC-адреса жертвы к исходному беспроводному каналу. Вклинивание в трафик осуществляется через цикличную подмену и возвращение записи в таблице MAC-адресов.

1. OpenNews: Атака Port Shadow, позволяющая перенаправлять соединения других пользователей VPN и Wi-Fi
2. OpenNews: Атака SSID Confusion, позволяющая подменить сеть Wi-Fi
3. OpenNews: Атака MacStealer, позволяющая перехватывать трафик в Wi-Fi
4. OpenNews: Атака по деаутентификации камер наблюдения, использующих Wi-Fi
5. OpenNews: Атака против WPA2, позволяющая перехватить трафик в WiFi-сети