Более того, указано, что если проект ONLYOFFICE намерен продолжить использование AGPLv3 в будущих выпусках, он должен явно указать, что кодовая база распространяется под лицензией AGPLv3 и удалить упоминание всех ограничений из документации и исходного кода. Действия ONLYOFFICE, связанные с добавлением дополнительных ограничений в текст лицензии AGPLv3, названы вводящими пользователей в заблуждение и не соответствующими духу свободного ПО.

В текст лицензии AGPLv3, под которой распространяется код ONLYOFFICE, в 2021 году были добавлены дополнительные условия, требующие сохранения в производных продуктах оригинального логотипа ONLYOFFICE. Раздел 7(b) лицензии AGPL допускает добавление дополнительных требований об указании авторства и разработчики ONLYOFFICE считают, что логотип подпадает под данное разрешение. Представители Фонда СПО не согласны с этим и утверждают, что логотип является элементом товарного знака и бренда, напрямую не связанным с упоминанием автора.

Пункт о логотипе воспринят Фондом СПО как введение ограничения, несовместимого со свободами, которые предоставляет лицензия AGPLv3. Раздел 7 лицензии AGPLv3 предоставляет пользователям право удалять ограничения, внесённые сверх условий, определённых в разделах 7(a)-7(f). ONLYOFFICE может создать на основе текста AGPL собственную лицензию с дополнительными условиями, но в этом случае не должен упоминать, что код продолжает поставляться под лицензией AGPLv3.

1. OpenNews: Создан Euro-Office, форк ONLYOFFICE. Проект ONLYOFFICE обвинил форк в нарушении лицензии
2. OpenNews: Опубликован офисный пакет ONLYOFFICE 9.3
3. OpenNews: Решено возобновить разработку LibreOffice Online, серверной версии для Web
4. OpenNews: Из курирующей LibreOffice организации TDF исключены все сотрудники Collabora

Причины удаления поддержки процессоров i486 связаны с необходимостью сопровождать в ядре усложнённый код, эмулирующий некоторые аппаратные операции, такие как CX8 (сравнить и обменять 8 байт) и TSC (счётчик циклов CPU, используемый в планировщике задач). Подобный код время от времени становится источником проблем, разбор которых отнимает у разработчиков время, которое можно было бы потратить c большей пользой. При этом мало кто использует современные ветки ядра Linux на устаревших 32-разрядных CPU - не осталось ни одного значимого дистрибутива, для которого продолжали бы публиковаться пакеты с ядром, собранные с опцией "M486=y".

В прошлом вопрос удаления поддержки CPU i486 поднимался разработчиками ядра Linux как минимум два раза. В октябре 2022 года Линус Торвальдс поднял тему удаления поддержки CPU i486, обсуждая проблему, возникшую из-за ошибки в коде эмуляции инструкции "CX8". Линус отметил, что процессоры i486 становятся музейными экспонатами и для них вполне можно обойтись "музейными" ядрами. В 2025 году после выявления очередной проблемы, проявляющейся при эмуляции инструкции "CX8", обсуждение возобновилось и Линус Торвальдс заявил, что чувствует, что настало время отказаться от поддержки CPU i486 и не видит причин, чтобы продолжать тратить время разработчиков на решение возникающих из-за этих процессоров проблем.

Поддержка процессоров i386 была удалена из ядра в 2012 году. Прекращение поддержки классических i486 не затронет выпускавшиеся до 2019 года встроенные процессоры Intel Quark, а также продолжающие производиться SoC Vortex86DX, так как данные процессоры хоть и относятся к классу i486, но включают свойственные поколению Pentium дополнительные инструкции, в том числе "cmpxchg8b".

1. OpenNews: Возобновлены попытки удаления поддержки процессоров i486 из ядра Linux
2. OpenNews: Разработчики ядра Linux на пути к удалению поддержки процессоров i486
3. OpenNews: Линус Торвальдс предложил прекратить поддержку CPU i486 в ядре Linux
4. OpenNews: В ядре Linux прекращена поддержка процессоров 386

Основные новшества:

• Реализован API для использования TLS-расширения ECH (Encrypted ClientHello, RFC 9849), предназначенного для шифрования информации о параметрах TLS-сеансов, таких как запрошенное доменное имя. В отличие от расширения ESNI (Encrypted Server Name Indication) в ECH вместо шифрования на уровне отдельных полей, целиком шифруется всё TLS-сообщение ClientHello, что позволяет блокировать утечки через поля, которые не охватывает ESNI, например, поле PSK (Pre-Shared Key).
• Добавлена поддержка определённых в RFC 8998 алгоритмов, использующих стандартизированный в Китае набор криптоалгоритмов SM2: алгоритма формирования цифровой подписи sm2sig_sm3, группы обмена ключами curveSM2 и постквантовой группы curveSM2MLKEM768.
• Добавлена криптографическая функция хэширования cSHAKE, основанная на алгоритме SHA-3 и позволяющая формировать разные хэши на основе одинаковых входных данных для защиты от атак, манипулирующих повторным использованием данных.
• Добавлен гибридный алгоритм "ML-DSA-MU", сочетающий постквантовый алгоритм формирования цифровой подписи ML-DSA (CRYSTALS-Dilithium) с классической хеш-функцией SHAKE256.
• Добавлена поддержка функций формирования ключей SNMP KDF на основе HMAC-SHA и SRTP KDF на основе AES-CM, используемых в сетевых протоколах SNMPv3 и SRTP.
• В команду "openssl fipsinstall" добавлена опция "-defer_tests", позволяющая отложить запуск тестов при установке FIPS-модулей.
• Для платформы Windows реализована поддержка статического или динамического связывания с Visual C++ Runtime.
• В TLS 1.2 добавлена поддержка согласуемого обмена ключами на основе алгоритма FFDHE (Finite Field Diffie-Hellman Ephemeral), соответствующая RFC 7919.
• Прекращена поддержка SSLv3 и SSLv2 Client Hello.
• Удалена поддержка динамически загружаемых движков, вместо которых для расширения функциональности OpenSSL следует использовать концепцию подключаемых провайдеров.
• В TLS на этапе компиляции отключена поддержка устаревших эллиптических кривых. Для возвращения можно использовать опцию "enable-tls-deprecated-ec".
• Удалена утилита c_rehash, вместо которой следуют использовать команду "openssl rehash".
• Из команды "openssl ca" удалена устаревшая опция "msie-hack".
• Удалена поддержка собственных методов EVP_CIPHER, EVP_MD, EVP_PKEY и EVP_PKEY_ASN1.
• Удалены устаревшие функции SSL/TLS, привязанные к фиксированным версиями протоколов, например, "TLSv1_client_method()".
• Удалены устаревшие функции ERR_get_state(), ERR_remove_state() и ERR_remove_thread_state().
• Прекращена поддержка целевых платформ darwin-i386{,-cc} и darwin-ppc{,64}{,-cc}.

1. OpenNews: Выпуск OpenSSL 3.6.0 с поддержкой EVP_SKEY и устранением переполнения буфера
2. OpenNews: Выпуск криптографической библиотеки OpenSSL 3.5.0
3. OpenNews: Реструктуризация проекта OpenSSL. Переход под крыло OpenSSL библиотек Bouncy Castle и Cryptlib
4. OpenNews: Выпуск криптографической библиотеки Botan 3.1.0
5. OpenNews: Выпуск криптографической библиотеки Libgcrypt 1.11.0

В соответствии с февральским отчётом компании Netcraft под управлением nginx работает около 321 млн сайтов (год назад 245 млн, два года назад - 243 млн, три года назад 289 млн). Nginx используется на 16.08% всех активных сайтов (год назад 17.89%, два года назад 18.15%, три года назад 18.94%), что соответствует второму месту по популярности в данной категории (доля Apache соответствует 13.27% (год назад 16.03%, два года назад 20.09%, три года назад 20.52%), Cloudflare - 20.62% (17.81%, 14.12%, 11.32%), Google - 10.65% (9.89%, 10.41%, 9.89%).

При рассмотрении всех сайтов nginx сохраняет лидерство и занимает 22.65% рынка (год назад 20.48%, два года назад - 22.31%, три года назад - 25.94%), в то время как доля Apache соответствует 12.19% (16.03%, 20.17%, 20.58%), Cloudflare - 15.27% (12.87%, 11.24%, 10.17%), OpenResty (платформа на базе nginx и LuaJIT) - 8.01% (9.36%, 7.93%, 7.94%).

Среди миллиона самых посещаемых сайтов в мире nginx занимает второе место с долей 19.85% (год назад 20.37%, два года назад 20.63%, три года назад 21.37%). Первое место удерживает Cloudflare - 26.84% (22.32%, 22.59%, 21.62%). Доля Apache httpd - 15.84% (17.95%, 20.09%, 21.18%).

По данным W3Techs nginx используется на 32.8% сайтов из миллиона самых посещаемых (в апреле прошлого года этот показатель составлял 33.8%, позапрошлого - 34.3%). Доля Apache за год снизилась с 26.3% до 23.9%, доля Microsoft IIS снизилась с 4% до 3.4%, а доля Caddy с 0.3% до 0.2%. Доля Node.js увеличилась с 4.4% до 6.0%, а доля LiteSpeed с 14.6% до 15.2%.

Наиболее заметные улучшения, добавленные в процессе разработки основной ветки 1.29.x, на базе которой сформирован релиз 1.30.0:

• Добавлена поддержка протокола Multipath TCP (MPTCP), позволяющего доставлять пакеты одновременно по нескольким маршрутам через разные сетевые интерфейсы. Для включения в директиву "listen" добавлен параметр "multipath".
• Добавлена поддержка TLS-расширения ECH (Encrypted ClientHello), продолжающего развитие расширения ESNI (Encrypted Server Name Indication) и используемого для шифрования информации о параметрах TLS-сеансов, таких как запрошенное доменное имя. Ключевое отличие ECH от ESNI в том, что в ECH вместо шифрования на уровне отдельных полей целиком шифруется всё TLS-сообщение ClientHello, что позволяет блокировать утечки через поля, которые не охватывает ESNI, например, поле PSK (Pre-Shared Key). Использование ECH включается через указание в директиве "ssl_ech_file" файла конфигурации ECHConfig в формате PEM. Поддержка доступна при использовании библиотеки OpenSSL 4.0.
• Добавлена возможность привязки сеансов клиентов к одним и тем же серверам в группе. Доступно три метода: "cookie" - передача данных о выбранном сервере через указанную Cookie; "route" - проксируемый сервер назначает клиенту маршрут при получении первого запроса; "learn" - nginx анализирует ответы от upstream-сервера и запоминает начатые сервером сеансы. Для настройки привязки в блок "upstream" модуля "http" добавлена директива "sticky", а в директиву "server" добавлены параметры "route" и "drain".
• Добавлена директива "early_hints" и реализована поддержка HTTP-кода 103 в ответах от бэкендов proxy и gRPC. Код 103 позволяет информировать клиента о содержании некоторых HTTP-заголовков сразу после запроса, не дожидаясь пока сервер выполнит все связанные с запросом операции и начнёт отдачу контента. Подобным образом можно сообщать подсказки о связанных с отдаваемой страницей элементах, которые могут быть предварительно загружены (например, могут быть приведены ссылки на используемые на странице css и javascript). Получив информацию о подобных ресурсах браузер приступит к их загрузке не дожидаясь окончания отдачи основной страницы, что позволяет сократить общее время обработки запроса.
• Добавлены директивы add_header_inherit и add_trailer_inherit, позволяющие изменить правила наследования значений, указанных в директивах add_header и add_trailer. Параметр "off" отменяет наследование значений, а параметр "merge" включает добавление значений с предыдущего уровня к значениям на текущем уровне.
• Добавлена директива "ssl_certificate_compression" для управления сжатием TLS-сертификатов.
• Добавлена директива max_headers, ограничивающая максимальное число HTTP-заголовков в запросе. При превышении лимита возвращается ошибка 400 (Bad Request). Возможность перенесена из FreeNginx.
• Добавлены переменные $request_port и $is_request_port. Первая переменная содержит номер порта из компонента URI или из заголовка "Host", а вторая содержит ":", если переменная $request_port не пустая.
• Добавлены переменные $ssl_sigalg и $ssl_client_sigalg, содержащие название алгоритма формирования цифровой подписи для TLS-соединения.
• В директиву "geo" добавлен параметр "volatile", отключающий кэширование переменной. Разрешено использовать маски в директиве "include", указанной внутри блока "geo".
• В блоке "upstream" активирована по умолчанию директива "keepalive". В директиву "keepalive", используемую в блоке "upstream", добавлен параметр "local". При указании данного параметра, вместо совместного использования одного соединения к общему upstream-серверу, упоминаемому в разных блоках location и server, для каждого блока поддерживается отдельное соединение к upstream.
• При использовании в режиме прокси по умолчанию выставлена версия протокола HTTP/1.1 с включением режима keep-alive (в модуле ngx_http_proxy_module включена по умолчанию поддержка keep-alive и выставлено значение "1.1" в директиве "proxy_http_version" и прекращена отправка по умолчанию заголовка "Connection").
• В модуль ngx_http_proxy добавлена поддержка протокола HTTP/2, что позволяет использовать HTTP/2 при обращении к бэкендам.
• Предоставлена возможность загрузки криптографических ключей из аппаратных токенов, используя в качестве провайдера библиотеку OpenSSL.
• В реализацию протокола QUIC добавлена поддержка режима 0-RTT, доступная на системах с OpenSSL 3.5.1 и более новыми выпусками.
• Добавлена возможность сборки с криптографической библиотекой AWS-LC, развиваемой компанией Amazon.
• По умолчанию отключено сжатие сертификатов TLSv1.3.
• Обеспечена совместимость с библиотекой OpenSSL 4.0.

Дополнительно можно отметить публикацию релиза проекта FreeNginx 1.30.0, развивающего форк Nginx. Разработку форка ведёт Максим Дунин, один из ключевых разработчиков Nginx. FreeNginx позиционируется как некоммерческий проект, обеспечивающий разработку кодовой базы Nginx без корпоративного вмешательства. Код FreeNginx продолжает поставляться под лицензией BSD. Среди изменений в ветке FreeNginx 1.30: добавлена поддержка TLS-расширения ECH (Encrypted Client Hello); улучшена обработка директивы limit_rate; добавлены директивы send_min_rate и client_body_min_rate; реализована возможность ограничения числа соединений и интенсивности запросов в почтовом прокси; добавлена поддержка БД GeoIP2 в модуле GeoIP; усилена защита модуля XSLT.

1. OpenNews: Выпуск Angie 1.11.0, форка Nginx
2. OpenNews: Выпуск nginx 1.28.0 и форка FreeNginx 1.28.0
3. OpenNews: Проект Nginx перевёл разработку на Git и GitHub
4. OpenNews: Представлен FreeNginx, форк Nginx, созданный из-за несогласия с политикой компании F5

Servo 0.1.0 стал первым выпуском, для которого обеспечен длительный цикл поддержки (LTS). Новые LTS-ветки будут публиковать раз в 6 месяцев на основе очередного промежуточного выпуска. Поддержка LTS-выпусков будет осуществляться 9 месяцев (3 месяца даётся для перехода на новую LTS-ветку). От обычных выпусков LTS-ветка отличается публикацией обновлений с исправлениями уязвимостей в библиотеке servo, JavaScript-движке и зависимостях. Предполагается, что LTS-ветка будет полезна для разработчиков, встраивающих Servo в свои проекты и не желающих ежемесячно переходить на очередной промежуточный выпуск с возможными изменениями в API.

Выпуск Servo 0.1.0 LTS построен на основе сформированной несколько дней назад промежуточной версии 0.0.6, в которой были реализованы следующие новые возможности:

• В HTML-элементe "button" реализованы атрибуты "command" и "commandfor", которые можно использовать в кнопках вместо атрибутов "popovertargetaction" и "popovertarget" для декларативной настройки взаимодействия с меню, вызываемым при нажатии на кнопку.
• Добавлен CSS-селектор ":modal", позволяющий определить, что диалог, созданный через элемент <dialog>, является модальным.
• Реализовано CSS-правило @property, позволяющее регистрировать собственные CSS-свойства.
• Добавлены CSS-свойства "alignment-baseline" и "baseline-shift" для выравнивания текста по вертикали.
• Добавлена поддержка заголовка "Content-Security-Policy: base-uri", ограничивающего URL, которые могут использоваться в HTML-элементе <base>.
• Добавлена частичная поддержка отложенной загрузки iframe-блоков, при которой содержимое, находящееся вне видимой области, не загружается до тех пор, пока пользователь не прокрутит страницу в место, непосредственно предшествующее элементу. Включение отложенной загрузки страниц осуществляется через атрибут "loading=lazy" в теге iframe (<iframe loading=lazy>).
• Добавлена частичная поддержка CSS-свойства "transform-style: preserve-3d" для позиционирования дочерних элементов в 3D-пространстве.
• Реализованы события pointermove, pointerdown, pointerup и pointercancel.
• Обеспечен поворот изображений на основе метаданных EXIF.
• Обеспечено использование переменной окружения LANG для выбора языка по умолчанию для заголовка "Accept-Language" и свойства navigator.language.
• Добавлены API Pointer Events и UserActivation.
• Реализованы методы import.meta.resolve(), formData(), toJSON(), createIndex(), deleteIndex() и index().
• В демонстрационном браузере servoshell для изменения настроек реализованы страницы servo:preferences (GUI конфигуратор) и servo:config (изменение отдельных параметров в стиле about:config). Добавлена поддержка перезагрузки страницы при нажатии F5.
• В инструментах для web-разработчиков в режиме инспектирования добавлена поддержка редактирования атрибутов DOM, в web-консоли обеспечен предпросмотр объектов, передаваемых через console.log(), в отладчике появилась возможность приостановки и возобновления выполнения скриптов.
  
  
• Расширен API для встраивания браузерного движка в приложения.

Движок Servo изначально развивался компанией Mozilla, но затем перешёл под покровительство организации Linux Foundation. Servo отличается поддержкой многопоточного рендеринга web-страниц, распараллеливанием операций с DOM (Document Object Model) и задействованием предоставляемых языком Rust механизмов безопасного программирования. Servo изначально создан с поддержкой разбиения кода DOM и рендеринга на более мелкие подзадачи, которые могут выполняться параллельно и более эффективно использовать ресурсы многоядерных CPU. В Firefox уже интегрированы некоторые части Servo, такие как многопоточный CSS-движок и система отрисовки WebRender.

1. OpenNews: Представлена библиотека Servo GTK для интеграции движка Servo с GTK-приложениями
2. OpenNews: Браузер Ladybird опередил Servo при тестировании поддержки web-технологий
3. OpenNews: В прототипе браузера на базе движка Servo появилась поддержка вкладок

Номер 7.0 присвоен, так как в ветке 6.x накопилось достаточного выпусков для смены первого числа в номере версии (в своё время выпуск 6.0 был сформирован следом за 5.19). Смена нумерации осуществляется из эстетических соображений и является формальным шагом, снимающим дискомфорт из-за накопления большого числа выпусков в серии.

В новую версию принято 15624 исправления от 2477 разработчиков, размер патча - 56 МБ (изменения затронули 18053 файла, добавлено 704060 строк кода, удалено 278132 строки). В прошлом выпуске было 15657 исправлений от 2237 разработчиков, размер патча - 52 МБ. Около 51% всех представленных в 7.0 изменений связаны с драйверами устройств, примерно 11% изменений имеют отношение к обновлению кода, специфичного для аппаратных архитектур, 14% связано с сетевым стеком, 5% - с файловыми системами и 3% c внутренними подсистемами ядра.

Основные новшества в ядре 7.0 (1, 2, 3):

• Дисковая подсистема, ввод/вывод и файловые системы
  • Реализована инфраструктура fserror и добавлен API для получения информации об ошибках ввода/вывода и повреждении метаданных при работе с файлами. Предложенная инфраструктура унифицирует в файловых системах передачу сведений об ошибках в пространство пользователя через механизм fsnotify.
  • В XFS добавлены новые возможности для мониторинга за состоянием файловой системы из пространства пользователя. Предложена ioctl-операция XFS_IOC_HEALTH_MONITOR, возвращающая файловый дескриптор, через который можно получать сведения о сбоях, связанных с повреждением метаданных или возникновение ошибок при вводе/вывода, а также отслеживать изменение состояний ФС, таких как отмонтирование и завершение работы. Дополнительно предложен управляемый через systemd фоновый процесс xfs_healer, обрабатывающий события о состоянии ФС из пространства пользователя и при необходимости автоматически запускающий процедуры восстановления.
  • В файловую систему Btrfs добавлена экспериментальная поддержка структуры "дерево ремапинга" (remap tree), которая в будущем может быть задействована в качестве промежуточного слоя при выполнении операций ввода-вывода. Суть добавленной возможности в том, что после перемещения данных на накопителе вместо обновления всех связанных с этими данными структур в дополнительной структуре "remap tree" сохраняются старые и новые адреса данных, после чего при обращении к данным адреса подменяются. Новый подход преподносится как более надёжный и гибкий, а также упрощающий дальнейшее расширение функциональности Btrfs.
  • В Btrfs реализована поддержка прямого ввода/вывода в ситуациях, когда размер блока превышает размер страницы памяти в системе.
  • В состав включена новая файловая система "Nullfs", которую можно использовать в качестве заглушки для корневой ФС. Файловая система Nullfs всегда пустая, не содержит данных и не поддерживает изменения. Назначением Nullfs является использование в качестве начальной ФС для упрощения процесса загрузки системы - поверх Nullfs затем монтируются другие ФС и используется системный вызов pivot_root() для переключения корневой ФС вместо очистки содержимого initramfs и использования связанной с ним корневой ФС.
  • Реализовано обновление информации о времени модификации файлов в неблокирующем режиме. Ранее вызов file_update_time_flags() с флагом IOCB_NOWAIT возвращал ошибку "-EAGAIN", что не позволяло использовать операции прямой записи в неблокирующем режиме.
  • В файловых системах в разряд отдельно включаемых опций переведена поддержка уведомительных блокировок (lease). По умолчанию подобный механизм теперь не активируется из-за проблем с ФС, изначально не рассчитанных на его применение. Например, его не поддерживают ФС 9p и cephfs.
  • В файловой системе Ext4 повышена эффективность кэширования экстентов и отложенного выделения блоков (delayed allocation). Реализован sysfs-параметр "err_report_sec", определяющий задержку записи в лог повторяющихся предупреждений о проблемах с целостностью и ошибках в ФС. Повышена производительность одновременной записи в несколько файлов в режиме прямого ввода/вывода (direct I/O).
  • В файловой системе EROFS (Extendable Read-Only File System), предназначенной для использования на разделах, доступных в режиме только для чтения, для сжатия по умолчанию задействован алгоритм LZMA. Опционально доступны алгоритмы DEFLATE и Zstandard, которые больше не помечены экспериментальными. Реализовано совместное использование записей в страничном кэше (page-cache) для идентичных файлов в отдельных ФС EROFS.
  • Удалён режим laptop_mode, экономящий энергопотребление за счёт откладывания и объединения операций записи на жёсткий диск с целью продления нахождения диска в спящем режиме и снижения числа пробуждений. Режим потерял актуальность, так как в современных мобильных устройствах жёсткие диски вытеснены твердотельными накопителями.
  • Файловая система F2FS переведена на использование больших фолиантов страниц памяти (large folios).
  • Возрождена работа над драйвером ntfs3, развиваемым компанией Paragon Software. Добавлена поддержка операций с файлами на базе iomap, реализованы опции llseek SEEK_DATA/SEEK_HOLE, добавлен режим delalloc для отложенного выделения блоков. Тем временем, в списке рассылки разработчиков ядра в феврале было одобрено включение в состав одной из будущих версий ядра новой реализации NTFS - ntfsplus, разработанной для замены ntfs3.
  • По умолчанию при сборке включена версия протокола NFS 4.1 (CONFIG_NFS_V4_1). Обеспечена блокировка экспорта через NFS специализированных псевдо-ФС, таких как pidfs и nsfs. В NFSD реализована экспериментальная возможность использования POSIX ACL и добавлена поддержка динамического изменения пула потоков (thread-pool) в зависимости от нагрузки.
• Память и системные сервисы
  • Утверждены официальные правила применения AI-ассистентов и включения в ядро автоматически сгенерированного содержимого. При передаче сгенерированного кода предписано помечать его через указание используемого AI-ассистента при помощи тега "Assisted-by". AI-ассистентам запрещено добавлять тег "Signed-off-by" - человек, передавший патч, считается его автором, несёт ответственность за переданное изменение и ручается за его качество. Разработчикам предписано проводить ручное рецензирование полученного через AI кода и проверять соответствие результата лицензионным требованиям.
  • Поддержка Rust переведена из экспериментальных в основные возможности ядра. Поддержка Rust не активна по умолчанию и не приводит к включению Rust в число обязательных сборочных зависимостей к ядру.
  • Завершена интеграция в ядро механизма "Swap Table", позволяющего повысить производительность подкачки. Ускорение достигается благодаря уменьшению конкуренции за доступ к кэшу подкачки, более эффективного поиска в кэше и снижения фрагментации. Бэкенд на базе Swap Table задействован для кэширования подкачки вместо бэкенда XArray и позволил в тесте redis-benchmark с BGSAVE увеличить число обрабатываемых запросов на 22%.
  • Добавлена поддержка появившегося в Clang 22 расширения Thread Safety Analysis, позволяющего на этапе компиляции выявлять потенциальные состояния гонки и ошибки, вызванные некорректным выставлением блокировок. Расширение предлагает серию атрибутов, таких как GUARDED_BY(...), REQUIRES(...), RELEASE(...) и ACQUIRE(...), позволяющих отмечать охватываемые блокировками функции и разделять области действия блокировок (определять контекст). На этапе компиляции выполняется проверка корректности применения примитивов синхронизации, таких как мьютексы, на основе оценки активности или не активности, связанного с ними контекста.
  • В системный вызов open_tree добавлен флаг OPEN_TREE_NAMESPACE для упрощения настройки изолированных контейнеров и ускорения запуска контейнеров на системах с большим числом точек монтирования. По аналогии с OPEN_TREE_CLONE новый флаг копирует только указанное дерево точек монтирования (mount tree), но вместо локального файлового дескриптора возвращает файловый дескриптор в новом пространстве имён точек монтирования, в котором скопированное дерево монтируется поверх копии реальной корневой ФС. Флаг OPEN_TREE_NAMESPACE востребован для ухода от раздельного выполнения операций unshare(CLONE_NEWNS) и pivot_root(), применяемых при создании контейнеров.
  • В системный вызов rseq добавлен механизм расширения квантов времени (time slice), позволяющий получить дополнительное процессорное время для неразрывного выполнения критической секции. Идея в том, чтобы избежать прерывания планировщиком задач критической секции с выставленной блокировкой, приводящего к передаче управления другим потокам, использующим ресурс, на которых остаётся выставлена блокировка. Расширение кванта времени производится без дополнительных накладных расходов, но и без строгих гарантий, предоставляемых при полноценном регулировании приоритетов.
  • Для архитектур arm64, loongarch, powerpc, riscv, s390 и x86 режим вытеснения задач (preemption) в планировщике по умолчанию изменён с PREEMPT_NONE на PREEMPT_LAZY. Число возможных режимов сокращено с четырёх до двух - PREEMPT_FULL и PREEMPT_LAZY (режимы PREEMPT_NONE и PREEMPT_VOLUNTARY оставлены только для архитектур, не поддерживающих PREEMPT_FULL и PREEMPT_LAZY). Режим PREEMPT_LAZY применяет модель полного вытеснения (PREEMPT_FULL) для realtime-задач (RR/FIFO/DEADLINE), но задерживает вытеснение обычных задач (SCHED_NORMAL) до границы тика. Вносимая задержка приводит к сокращению случаев вытеснения держателей блокировок, что позволяет приблизить производительность к конфигурациям, использующим модель добровольного вытеснения (voluntary preemption), т.е. PREEMPT_LAZY позволяет сохранить возможности полного вытеснения в отношении realtime-задач, но сводит к минимуму проседание производительности для обычных задач.

    Включение PREEMPT_LAZY привело к серьёзной регрессии, в два раза снижающей производительность PostgreSQL на системах ARM64. Для устранения падения производительности разработчикам PostgreSQL предложено задействовать опцию PR_RSEQ_SLICE_EXTENSION для снижения вероятности вытеснения держателя блокировки.

  • Продолжен перенос изменений из ветки Rust-for-Linux, связанных с использованием языка Rust в качестве второго языка для разработки драйверов и модулей ядра. Благодаря ранее интегрированной библиотеке "syn", упрощающей написание сложных макросов, удалось сократить размер Rust-кода в ядре за счёт упрощения определений имеющихся процедурных макросов. Расширены возможности библиотек kernel, macros и pin-init.
  • В систему асинхронного ввода/вывода io_uring добавлена опция для использования не кольцевых очередей (non-circular submission queue), более эффективно кэшируемых в ситуации, когда выполнение запроса завершается раньше возврата из системного вызова.
  • В подсистеме eBPF в механизме BTF (BPF Type Format), предоставляющем информацию для проверки типов в псевдокоде BPF, для поиска отладочной информации задействован бинарный поиск, что повысило эффективность загрузки BPF-программ. В eBPF добавлена поддержка неявных аргументов при вызове kfunc (функции ядра, доступные для использования в программах BPF), определённых с флагом KF_IMPLICIT_ARGS.
  • Удалён код для поддержки начального RAM-диска (initrd) на базе linuxrc, давно объявленный устаревшим. Оставшиеся реализации initrd планируют удалить в 2027 году. Вместо initrd следует использовать initramfs (разница в том, что initrd размещает начальное загрузочное окружение в дисковом образе, а initramfs - в файловой системе).
  • В блочном устройстве zram, применяемом для сжатого хранения раздела подкачки в памяти, изменена логика работы со сжатыми страницами памяти при опциональном перемещении данных в постоянное хранилище в случае заполнения доступной оперативной памяти. Ранее страницы памяти распаковывались перед записью на физический носитель, а теперь сохраняются как есть в сжатом виде, что снижает нагрузку на CPU и экономит энергию при автономной работе.
  • В утилиту timerlat, предназначенную для измерения задержек при работе планировщика задач, добавлена опция "--bpf-action" для запуска BPF-программ в случае превышения заданного порога.
  • В систему трассировки ftrace добавлена настройка "bitmask-list" для вывода битовых масок в читаемом виде (в форме списка битов, а не шестнадцатеричного числа). В tracefs добавлены возможности для аудита фильтров и триггеров. Добавлена команда "perf sched stats" для сбора и отображения статистики о работе планировщика задач. В подсистему perf добавлена поддержка метрик производительности процессоров AMD Zen 6, Intel Nova Lake, Diamond Rapids и Wildcat Lake, Airmont NP.
  • В утилите Turbostat реализован вывод статистики о работе L2-кэша процессоров Intel.
  • Добавлены сборочные опции LOGO_LINUX_MONO_FILE, LOGO_LINUX_VGA16_FILE и LOGO_LINUX_CLUT224_FILE для определения файла с изображением логотипа, который будет показываться при загрузке ядра вместо штатного логотипа с пингвином Tux.
  • Реализовано автоматическое включение использования расширений Intel TSX (Transactional Synchronization Extensions) на системах c процессорами, не подверженными уязвимости Zombieload, такими как Cooper Lake, Ice Lake, Sapphire Rappids, Emerald Rappids и Granite Rappids. Уязвимость Zombieload приводит к утечке сведений по сторонним каналам при работе механизма асинхронного прерывания операций (TAA, TSX Asynchronous Abort). Включение TSX позволяет добиться повышения производительности многопоточных приложений за счёт динамического исключения лишних операций синхронизации.
• Виртуализация и безопасность
  • В системе асинхронного ввода/вывода io_uring реализована возможность прикрепления BPF-программ с фильтрами, контролирующими, что могут делать конкретные SQE (Submission Queue Entry) операции (подобие системных вызовов в io_uring). Добавленная возможность является аналогом фильтров системных вызовов. Фильтры можно привязывать к определённым задачам и они наследуются при порождении других процессов после вызова fork(). При наличии активных фильтров, добавляемые поверх фильтры могут лишь прикреплять дополнительные ограничения, но не отключать имеющиеся. Реализованная возможность позволит блокировать методы обхода фильтрации системных вызовов в sandbox-окружениях, основанные на выполнении вместо системных вызовов аналогичных операций, предоставляемых в io_uring.
  • В SELinux добавлена возможность управления доступом к токенам BPF, позволяющим непривилегированным процессам выполнять некоторые привилегированные операции c BPF, например, загружать BPF-программы в ядро и создавать map-структуры.
  • Добавлена поддержка алгоритма формирования цифровых подписей ML-DSA (CRYSTALS-Dilithium), основанного на теории решёток и стойкого к подбору на квантовом компьютере. Предоставлена возможность использования ML-DSA для аутентификации модулей ядра.
  • Удалена возможность использования схем формирования цифровых подписей с алгоритмом SHA-1 для заверения модулей ядра (поддержка загрузки подписанных модулей сохранена).
  • В записи аудита NETFILTER_PKT добавлены поля 'sport' и 'dport' для инспектирования номеров сетевых портов, а не только IP-адресов.
  • Для систем с архитектурой RISC-V реализована поддержка расширений Zicfiss и Zicfilp, предоставляющих аппаратные возможности для применения защиты CFI (Control Flow Integrity), блокирующей нарушения нормального порядка выполнения инструкций (control flow) в результате применения эксплоитов, изменяющих хранимые в памяти указатели на функции.
  • В гипервизоре KVM реализована возможность передачи в гостевые системы информации о поддержке процессором расширения ERAPS (Enhanced Return Address Predictor Security), позволяющего обойтись без некоторых операций сброса состояния CPU при возвращении управления хосту гостевой системой. Кроме того, добавлена поддержка закрепления за гостевыми системами оборудования для отслеживания производительности (PMU, Performance Monitoring Unit), что позволяет повысить точность профилирования по сравнению с использованием эмулируемых PMU.
  • В драйвер для гипервизора Hyper-V добавлена поддержка интерфейса debugfs для просмотра статистики о работе гипервизора.
  • Добавлено отдельной хранилище ключей (keyring) для проверки целостности дисковых образов при помощи модуля dm-verity.
• Сетевая подсистема
  • Включено по умолчанию расширение AccECN (Accurate Explicit Congestion Notification), реализующее улучшенный вариант расширения ECN, позволяющего хостам в случае перегрузки маркировать IP-пакеты вместо их отбрасывания, что даёт возможность определять возникновение начальной стадии затора в каналах связи без потери пакетов. Исходное расширение ECN имеет ограничение, допускающее выставление только одного сигнала о перегрузке в рамках одного цикла приёма-передачи TCP (RTT, Round-Trip Time, отправка запроса и получение ответа). AccECN снимает данное ограничение и даёт возможность получателю передавать отправителю более одной метки о перегрузке в заголовке TCP-пакета. Алгоритмы управления перегрузкой могут использовать полученную информацию для более точного реагирования на перегрузки и не прибегать к резкому снижению интенсивности отправки пакетов при появлении незначительной перегрузки.
  • В реализацию алгоритма управления сетевыми очередями Cake добавлена возможность обработки нескольких очередей для распределения нагрузки на несколько ядер CPU. Алгоритм CAKE применяется для снижения негативного влияния промежуточной буферизации пакетов на граничном сетевом оборудовании, и нацелен на достижение максимально возможной пропускной способности и минимального уровня задержек даже на медленных каналах связи.
  • В сокеты VSOCK, используемые для взаимодействия с виртуальными машинами, добавлена поддержка сетевых пространств имён (network namespace).
  • Добавлена начальная реализация будущего стандарта WiFi 8 (802.11bn, Ultra High Reliability" WiFi).
  • Добавлены оптимизации, позволившие повысить производительность обработки входящих UDP-пакетов на 12% при проведении стресс-тестирования в 100-гигабитной сети.
  • Добавлена возможность использования буферов приёма пакетов (RX), размером больше 4 КБ. Увеличение размера буфера сокращает число операций со стеком при использовании аппаратного агрегирования пакетов (hw-gro - Hardware Generic Receive Offload), что в однопоточных тестах приводит к снижению нагрузки на CPU почти на треть.
  • Реализована возможность применения механизмов аппаратного ускорения обработки пакетов GSO (Generic Segmentation Offload) и GRO (Generic Receive Offload) при использовании вложенных UDP-туннелей.
• Оборудование
  • В драйвере AMDGPU реализована поддержка IP-блоков, используемых в новых GPU AMD, таких как SMUIO 15.x, PSP 15.x, IH 6.1.1/7.1, MMHUB 3.4/4.2, GC 11.5.4/12.1, SDMA 6.1.4/7.1/7.11.4 и JPEG 5.3.
  • В драйвере Nouveau улучшено управление частотой на системах Tegra 186+.
  • В драйвер i915 добавлена начальная поддержка дисплейного IP-блока Xe3p_LPD, применяемого в процессорах Intel Nova Lake-P.
  • Продолжена работа над drm-драйвером (Direct Rendering Manager) Xe для GPU на базе архитектуры Intel Xe, которая используется в видеокартах Intel семейства Arc и интегрированной графике, начиная с процессоров Tiger Lake. Добавлен режим Multi Queue. Добавлены компоненты, необходимые для диагностики зависаний GPU в Mesa. Добавлена поддержка механизма MERT для управления доступом к памяти GPU. Расширена поддержка датчиков температуры.
  • Продолжена интеграция компонентов драйвера Nova для GPU NVIDIA, оснащённых GSP-прошивками, используемыми начиная с серии NVIDIA GeForce RTX 2000 на базе микроархитектуры Turing. Драйвер написан на языке Rust. В новой версии проведена подготовка к реализации поддержки GPU на базе микроархитектуры Turing и внесены различные внутренние изменения.
  • Добавлена поддержка контроллеров и периферийных устройств с многоканальным интерфейсом SPI (Serial Peripheral Interface), позволяющим передавать данные в несколько параллельных потоков.
  • Добавлен драйвер для комбинированных коннекторов Type-C, применяемых на устройствах на чипах Apple Silicon и сочетающих интерфейсы USB3, DP-AltMode и Thunderbolt/USB4.
  • Добавлена поддержка звуковых подсистем чипов Tegra238, Minisforum V3 SE, iBasso DC04U, Intel Nova Lake, Nova Lake S и Focusrite Forte.
  • Реализована поддержка аппаратных декодировщиков видео в форматах H.264 и HEVC, применяемых в SoC RK3588 и RK3576 (используются, например, в платах Orange Pi 5).
  • Добавлена начальная поддержка ускорителей копирования и анализа данных Intel DSA 3.0 (Data Streaming Accelerator).
  • Добавлена поддержка ARM-плат, SoC и устройств: Arduino UnoQ, OrangePi 6 Plus, OrangePi CM5, Anbernic RG-DS, Realtek Kent, Qualcomm Kaanapali, Mediatek Ezurio, Facebook Anacapa, Microchip LAN9668, Khadas VIM1S, QNAP TS133, i.MX952, i.MX93, i.MX94, VHIP4 EvalBoard, TQ-Systems MBLS1028A, Agilex5, Radxa CM3J, Glymur,
  • Добавлена поддержка смартфонов и планшетов: Fairphone Gen 6 (SoC Qualcomm Milos/Snapdragon 7s Gen 3), Pixel 3/3 xl, Microsoft surface pro 11.

Одновременно латиноамериканский Фонд свободного ПО сформировал вариант полностью свободного ядра 7.0 - Linux-libre 7.0-gnu, очищенного от элементов прошивок и драйверов, содержащих несвободные компоненты или участки кода, область применения которых ограничена производителем. В выпуске 7.0 проведена чистка от блобов драйвера iwlwifi. Обновлён код чистки в драйверах amdgpu, adreno, TI PRUeth, air_en8811h, ath12k, TI VPE, rtw8852b, rt1320, rt5575 SPI, tas2783, Intel catpt. Выполнена чистка имён blob-ов в dts-файлах (devicetree) для ARM-чипов.

1. OpenNews: Релиз ядра Linux 6.19. Следующему ядру будет присвоен номер 7.0
2. OpenNews: Релиз ядра Linux 6.18
3. OpenNews: Релиз ядра Linux 6.17
4. OpenNews: Релиз ядра Linux 6.16
5. OpenNews: Релиз ядра Linux 6.15

Дистрибутив примечателен исключением из поставки всех несвободных компонентов, таких как бинарные драйверы, прошивки и элементы графического оформления, распространяемые под несвободной лицензией или использующие зарегистрированные торговые марки. Несмотря на полный отказ от проприетарных компонентов, Trisquel совместим с Java (OpenJDK), поддерживает большинство аудио- и видео-форматов, включая работу с защищенными DVD, задействуя при этом только полностью свободные реализации данных технологий. В качестве рабочих столов предлагаются MATE (по умолчанию), LXDE и KDE.

В новом выпуске:

• Осуществлён переход с пакетной базы Ubuntu 22.04 на ветку Ubuntu 24.04.
• До версии 6.8 (была 5.15) обновлён полностью свободный вариант ядра Linux - Linux Libre, очищенный от проприетарных прошивок и драйверов, содержащих несвободные компоненты. Повышена модульность поставки ядра.
• С целью повышения безопасности переработаны правила AppArmor для графических окружений.
• Пакетный менеджер APT обновлён до ветки 3.0, а настройки репозиториев переведены на использование формата deb822.
• В состав включены web-браузеры GNU IceCat и ungoogled-chromium, помимо ранее поставляемого Abrowser (сборка Firefox от разработчиков Trisquel).
• Рабочий стол MATE обновлён до версии 1.26.1. Опционально для установки доступны пользовательские окружения LXDE 0.99.2, KDE Plasma 5.27 и Sugar 0.121 (обучающее окружение для детей).
• Обновлены версии программ, в том числе в бэкпортах доступны свежие версии LibreOffice, yt-dlp, Inkscape, Nextcloud Desktop, Kdenlive, Tuba, 0 A.D., fastfetch и многих других приложений.

Основные требования к полностью свободным дистрибутивам:

• Включение в состав дистрибутива ПО с одобренными FSF лицензиями;
• Недопустимость поставки бинарных прошивок (firmware) и любых бинарных компонентов драйверов;
• Непринятие неизменяемых функциональных компонентов, но возможность включения нефункциональных, при условии разрешения копировать и распространять их в коммерческих и некоммерческих целях (например, CC BY-ND-карты к GPL-игре);
• Недопустимость использования торговых марок, условия использования которых мешают свободному копированию и распространению всего дистрибутива или его части;
• Соблюдение лицензионной чистоты документации, недопустимость документации, рекомендующей установку проприетарного ПО для решения определённых задач.

В настоящее время помимо Trisque в список полностью свободных дистрибутивов GNU/Linux включены следующие проекты:

• Dragora - независимый дистрибутив, пропагандирующий идею максимального архитектурного упрощения;
• Dynebolic - специализированный дистрибутив для обработки видео и аудио данных (более не развивается - последний релиз был 8 сентября 2011 года);
• Guix - основан на пакетном менеджере Guix и системе инициализации GNU Shepherd (ранее известной как GNU dmd), написанными на языке Guile (одна из реализаций языка Scheme), который также используется и для определения параметров запуска сервисов.
• Hyperbola - основан на стабилизированных срезах пакетной базы Arch Linux с переносом из Debian некоторых патчей для повышения стабильности и безопасности. Проект развивается в соответствии с принципом KISS (Keep It Simple Stupid) и нацелен на предоставление пользователям простого, легковесного, стабильного и безопасного окружения.
• Parabola GNU/Linux - дистрибутив, основанный на наработках проекта Arch Linux;
• PureOS - основан на пакетной базе Debian и разрабатывается компанией Purism, развивающей смартфон Librem 5 и выпускающей ноутбуки, поставляемые с данным дистрибутивом и прошивкой на базе CoreBoot;
• libreCMC (libre Concurrent Machine Cluster), специализированный дистрибутив, рассчитанный на использование во встраиваемых устройствах, таких как беспроводные маршрутизаторы.
• ProteanOS - обособленный дистрибутив, развивающийся в направлении достижения как можно более компактного размера;

1. OpenNews: Доступен полностью свободный Linux-дистрибутив Trisquel 11.0
2. OpenNews: Доступен полностью свободный вариант ядра Linux-libre 6.14
3. OpenNews: Обновление сборки Debian Libre 13.3, поставляемой без несвободных компонентов
4. OpenNews: Релиз web-браузера GNU IceCat 60.7.0
5. OpenNews: UnGoogled Chromium, браузер, ориентированный на приватность

Амьель подчеркнул, что французское правительство больше не может мириться с тем, что не контролирует свои данные и цифровую инфраструктуру. Сроки перехода и внедряемый дистрибутив Linux пока не уточняются. Первым на Linux решено перевести рабочие станции в межминистерском управлении цифровизации (DINUM). Министерствам предписано до осени подготовить собственные планы снижения зависимости от не европейских технологий, охватывающие рабочие станции, инструменты совместной разработки, антивирусы, AI-системы, СУБД, платформы виртуализации и сетевое оборудование.

Решение о замене Windows принято спустя несколько месяцев после анонса перевода системы проведения видеоконференций с пакета Microsoft Teams на французский продукт Visio, основанный на открытой платформе Jitsi. До конца года также планируют заменить информационную систему здравоохранения на новую подконтрольную разработку. Кроме этого, объявлено о миграции 80 тысяч сотрудников отделений системы медицинского страхования на собственную платформу межведомственного документооборота.

В дополнение можно отметить развитие Linux-дистрибутива EU OS, нацеленного на использование в государственном секторе Евросоюза. Дистрибутив развивается энтузиастами, которые взаимодействуют с органами государственного управления ЕС и намерены получить статус проекта Европейской комиссии. Дистрибутив основан на Fedora Linux, формируется в виде атомарно обновляемого системного образа и поставляется со средой рабочего стола KDE. Среди других европейских дистрибутивов похожего назначения: GendBuntu (редакция Ubuntu, применяемая в Национальной жандармерии Франции), Linux Plus 1 (внедрён в немецком регионе Шлезвиг-Гольштейн), LiMux (выпускался до 2019 года и применялся в Мюнхене), Linux Barcelona (сборка Ubuntu, применяемая в госучреждениях Барселоны).

1. OpenNews: Создан Euro-Office, форк ONLYOFFICE. Проект ONLYOFFICE обвинил форк в нарушении лицензии
2. OpenNews: В Мюнхене и Гамбурге согласован перевод госучреждений с продуктов Microsoft на открытое ПО
3. OpenNews: Давление французских силовых ведомств на GrapheneOS из-за отказа интегрировать бэкдор
4. OpenNews: В госучреждениях Германии решено перевести 30 тысяч ПК на Linux и LibreOffice
5. OpenNews: Госучреждения Дании уходят от продуктов Microsoft в пользу открытого ПО

Интеграция hickory-proto в прошивку осуществлена в рамках инициативы по повышению защиты baseband-модема. В прошивке baseband-модема имеется обработчик DNS, так как данный протокол используется в современных сотовых сетях, среди прочего при переадресации вызовов. При этом DNS является сложным протоколом, требующим разбора данных, поступающих извне и не заслуживающих доверия. В прошлом у Google уже был опыт выявления уязвимостей в прошивках baseband-модема устройств Pixel, например, в 2024 году была найдена уязвимость CVE-2024-27227, приводящая к переполнению буфера при обработке специально оформленных DNS-ответов.

Предполагается, что использование парсера протокола DNS на языке Rust сократит поверхность атаки и уменьшит риск эксплуатации через DNS целого класса уязвимостей, вызванных ошибками при низкоуровневой работе с памятью. Проект также рассматривается как базис для более широкого внедрения в другие компоненты кода на языках, безопасно работающих с памятью.

Из проблемных моментов отмечено относительно большой размер результирующего кода, так как библиотка Hickory-proto изначально не рассчитана на использование во встраиваемых устройствах. Размер интегрированных компонентов составил 371KB, из которых 350KB код Hickory-proto и зависимостей, 17KB - вспомогательные функции, выделенные из стандартной библиотеки, 4KB - прослойка для использования библиотеки для обработки ответов от DNS-серверов.

Отмечается, что для модема устройств Pixel дополнительные 300KB укладываются в имеющиеся ограничения памяти, но для более требовательных встраиваемых устройств необходимо проведение оптимизации для сокращения размера кода. В будущем в Hickory-proto планируют реализовать флаги, оставляющие при компиляции только требуемую функциональность.

1. OpenNews: Google переписал на языке Rust прошивку pvmfm, используемую в Android
2. OpenNews: Google выделил миллион долларов на улучшение переносимости между С++ и Rust
3. OpenNews: DNS-сервер Trust-DNS переименован в Hickory и будет задействован в инфраструктуре Let's Encrypt
4. OpenNews: Google прекратил публикацию кода для поддержки устройств Pixel в репозитории с кодом Android
5. OpenNews: Уязвимость в Android-прошивке Pixel 9, позволяющая выполнить код через отправку сообщения

Компоненты рабочего стола и приложения разрабатываются с использованием языков C/C++ и Go. Графический интерфейс построен с использованием библиотеки Qt. Ключевой особенностью рабочего стола Deepin является панель, которая поддерживает несколько режимов работы. В классическом режиме осуществляется более явное отделение открытых окон и предлагаемых для запуска приложений, отображается область системного лотка. Эффективный режим чем-то напоминает Unity, смешивая индикаторы запущенных программ, избранных приложений и управляющих апплетов (настройка громкости/яркости, подключённые накопители, часы, состояние сети и т.п.). Интерфейс запуска программ предоставляет два режима - просмотр избранных приложений и навигация по каталогу установленных программ.

Среди изменений:

• Переделан AI-ассистент для написания текста, в который добавлена возможность загрузки эталонного справочного материала. На основе загруженных образцов AI формирует структурный план, который пользователь может вручную отредактировать перед финальной генерацией текста. После генерации содержимое можно отредактировать в AI-интерфейсе и экспортировать в формате PDF, MS Word или Markdown. Генерация может производиться с использованием локально работающих AI-моделей
• Добавлен AI-режим "Claw Mode" на базе проекта OpenClaw, позволяющий управлять работой компьютера и автоматически выполнять системные работы при помощи команд на естественном языке, такие как запуск приложений, редактирование настроек и обработка наборов файлов. Реализована интеграция AI с программами для обмена сообщениями, позволяющая выполнять сложные работы через мессенджер, такие как сбор информации из разных источников и резюмирование документов.
• Добавлена возможность вызова панели AI-инструментов для перевода, резюмирования и пояснения текста, выделенного в любых приложениях.
• Обеспечен адаптивный выбор AI-модели в зависимости от трудности задачи, балансируя между скоростью и глубиной знаний. По умолчанию интегрирована работа с AI-моделями DeepSeek 3.2 и GLM 4.7.
• Ядро Linux обновлено до выпуска 6.18 (было 6.12). Интегрирована поддержка планировщика задач BORE, применяемого в CachyOS для снижения задержек на рабочем столе и повышения приоритета интерактивных процессов. В аллокаторе памяти ядра (SLUB) задействован слой кэширования "sheaves", использующий несколько кэшей, каждый из которых привязан к отдельному ядру CPU. Подобный кэш повышает производительность и снижает накладные расходы при выделении и освобождении памяти в ядре. Для повышения производительности подкачки задействован механизм "Swap Table". Повышена производительность ФС Ext4 и XFS. Добавлена поддержка расширения архитектуры набора команд Intel APX (Advanced Performance Extension), предоставляющего 16 дополнительных регистров общего назначения.
• В среде рабочего стола DDE (Deepin Desktop Environment) в панели задач реализована поддержка разделения пиктограмм приложений, у которых одновременно открыто несколько окон. В конфигуратор добавлена настройка размера курсора мыши.
• В файловом менеджере реализована возможность использования правой кнопки мыши для закрепления вкладок в верхней части, сохранения путей важных каталогов и перемещения элементов между окнами в режиме drag&drop. При предпросмотре изображений добавлена поддержка изменения масштаба мышью. Оптимизирован визуальный эффект группировки файлов.
• В почтовый клиент добавлена поддержка вывода писем на печать.

1. OpenNews: Доступен дистрибутив Deepin 25, развивающий собственное графическое окружение
2. OpenNews: openSUSE прекращает поставку Deepin из-за установки небезопасных компонентов в обход RPM
3. OpenNews: Выпуск дистрибутива UbuntuDDE 23.04 с рабочим столом Deepin
4. OpenNews: Компания Huawei передала дистрибутив openEuler некоммерческой организации Open Atom
5. OpenNews: Представлен дистрибутив openKylin 1.0, развиваемый крупнейшими китайскими компаниями

• В корректирующем релизе мультимедийного фреймворка GStreamer 1.28.2 выявлено 11 уязвимостей, из которых 3 вызваны переполнением буфера и потенциально могут привести к выполнению кода при обработке специально оформленных мультимедийных контейнеров MKV (CVE не назначен) и MOV/MP4 (CVE-2026-5056), а также потоков в формате H.266/VVC (CVE не назначен). Остальные 8 уязвимостей вызваны целочисленным переполнением или разыменованием нулевого указателя, и могут привести к отказу в обслуживании или утечке информации при обработке данных в форматах WAV, JPEG2000, AV1, H.264, MOV, MP4, FLV, mDVDsub и SRT/WebVTT. Опасность уязвимостей в GStreamer усугубляется тем, что он применяется в GNOME для разбора метаданных при автоматической индексации новых файлов, т.е. для атаки достаточно добиться загрузки файла в индексируемый каталог ~/Downloads.
• В сервере печати CUPS выявлено 8 уязвимостей, две из которых (CVE-2026-34980, CVE-2026-34990) могут использоваться для организации удалённого выполнения своего кода с правами root через отправку специально оформленного запроса на сервер печати. Первая уязвимость позволяет неаутентифицированному атакующему добиться выполнения своего кода с правами пользователя lp, отправив специально оформленное задание вывода на печать (проблема вызвана некорректной обработкой экранированных символов перевода строки). Вторая уязвимость позволяет поднять привилегии с пользователя lp до root, добившись изменения файлов c правами root через подстановку фиктивного принтера. Обновление CUPS с устранением уязвимостей пока недоступно.
• Опубликован корректирующий релиз криптографической библиотеки wolfSSL 5.9.1, в котором устранена 21 уязвимость. Одной проблеме присвоен критический уровень опасности, а 9 - высокий (приводят к повреждению памяти). Критическая уязвимость (CVE-2026-5194) вызвана отсутствием проверки размера хэша и идентификатора OID, что позволяет указывать хэши, размером меньше допустимого для снижения стойкости алгоритмов формирования цифровой подписи ECDSA/ECC, DSA, ML-DSA, ED25519 и ED448, и обхода аутентификации на базе сертификатов. Уязвимость выявлена инженерами Anthropic в ходе проверки кода AI-моделью.
• Опубликованы корректирующие выпуски криптографической библиотеки OpenSSL 3.6.2, 3.5.6, 3.4.5 и 3.3.7, в которых устранено 7 уязвимостей. Наиболее опасная уязвимость (CVE-2026-31790) может привести к утечке конфиденциальных данных, оставшихся в буфере после прошлой операции. Проблема вызвана использованием неинициализированной памяти при инкапсуляции ключей RSA KEM RSASVE.

  Другая уязвимость (CVE-2026-31789) вызвана переполнением буфер и потенциально может привести к выполнению кода при осуществлении операций по преобразованию строк в шестнадцатеричное представление при обработке специально оформленных сертификатов X.509. Проблема помечена как неопасная так как она проявляется только на 32-разрядных платформах. Остальные уязвимости вызваны чтением данных из области вне буфера, обращения к уже освобождённой памяти и разыменования нулевого указателя.

• В AI-агенте OpenClaw 2026.3.11, позволяющем AI-моделям взаимодействовать в системными окружениями (например, запускать утилиты и работать с файлами), устранена критическая уязвимость (CVE-2026-32922) с уровнем опасности 10 из 10. Уязвимость вызвана тем, что команда "/pair approve" должным образом не проверяла полномочия, из-за чего любой пользователь, имеющий привилегии сопряжения с хостом (самый низкий уровень привилегий, для которого достаточно доступа к OpenClaw), мог утвердить права администратора для самого себя и полностью контролировать окружение. Для совершения атаки достаточно подключиться к OpenClaw, запросить регистрацию фиктивного устройства с доступом operator.admin, после чего самому одобрить собственный запрос командой "/pair approve" и получить полное управление атакованным экземпляром OpenClaw и всеми связанными с ним сервисами.

  За несколько дней до этого в OpenClaw была выявлена похожая уязвимость (CVE-2026-33579), позволявшая обойти проверку прав доступа и получить права администратора. Выявившими проблему исследователями приводится статистика, в соответствии с которой в сети найдено 135 тысяч публично доступных экземпляров OpenClaw, из которых 63% позволяют подключиться без аутентификации.

• В пакетном менеджере Nix, применяемом в дистрибутиве NixOS, выявлена уязвимость (CVE-2026-39860), которой присвоен критический уровень опасности (9 из 10). Уязвимость даёт возможность перезаписать любой файл в системе, насколько позволяют права доступа фонового процесса Nix, который в NixOS и многопользовательских установках выполняется с правами root. Проблема вызвана некорректным устранением уязвимости CVE-2024-27297 в 2024 году. Эксплуатация осуществляется через подмену символической ссылкой каталога внутри изолированного сборочного окружения, в который записывался результат сборки. Уязвимость устранена в обновлениях nix 2.34.5, 2.33.4, 2.32.7, 2.31.4, 2.30.4, 2.29.3 и 2.28.6.
• В ядре Linux устранено 5 уязвимостей, выявленных в ходе экспериментов с инструментарием Claude Code и затрагивающих подсистемы nfsd, io_uring, futex и ksmbd (1, 2). Уязвимость в драйвере NFS позволяет через отправку запросов к NFS-серверу узнать содержимое областей памяти ядра. Проблема вызвана ошибкой, проявляющейся начиная с ядра 2.6.0 (2003 год).

1. OpenNews: 10 уязвимостей в GStreamer, приводящих к удалённому выполнению кода
2. OpenNews: Уязвимости в PCP и Nix, позволяющие поднять привилегии в системе
3. OpenNews: Уязвимости в пакетных менеджерах Nix, Lix и Guix
4. OpenNews: В OpenSSL обнаружена критическая уязвимость, которая может привести к утечке закрытых ключей
5. OpenNews: Удалённо эксплуатируемые уязвимости в сервере печати CUPS

Основные изменения в Chrome 147 (1, 2, 3, 4):

• Добавлен режим вертикального отображения вкладок, заменяющий верхнюю горизонтальную панель с кнопками вкладок на боковую панель с вертикальными вкладками. Вертикальные вкладки могут показываться в развёрнутом (пиктограмма + часть описания) и свёрнутом режимах (только пиктограммы). При наведения курсора на боковую вкладку показывается эскиз с её содержимым. Упрощено управление группами вкладок. В контекстное меню, появляющееся при клике правой кнопкой мыши на строке вкладок, добавлена опция "Показать вкладки вертикально" ("Show Tabs Vertically"). Если опция не появилась по умолчанию, её можно активировать через настройку "chrome://flags/#vertical-tabs".
• Переработан режим чтения (reading mode), при котором отображается только значимый текст страницы, а все сопутствующие управляющие элементы, баннеры, меню, навигационные панели и прочие не связанные с контентом части страницы скрываются. В новой версии по аналогии с Firefox значимое содержимое показывается во всей видимой области, а не как раньше в узком боковом окне рядом с исходной страницей. Если новый режим не применяется по умолчанию, его можно активировать через настройку "chrome://flags/#read-anything-immersive-reading-mode".
• В меню "Help" добавлена кнопка для отправки жалобы для занесения в список блокировки web-страниц, созданных для мошенничества или фишинга. Кнопка показывается при включённом режиме "Safe Browsing".
• Расширены средства защиты от обращения к локальной системе при взаимодействии с публичными сайтами. Обращения с сайтов к IP-адресам локальной сети (интранет или внутренние адреса) или loopback-интерфейсу (127.0.0.0/8) потребует подтверждения операции у пользователя. Под действие защиты теперь попадают не только попытки загрузки ресурсов по HTTP/HTTPS, запросы fetch() и iframe-вставки, но и установка соединений через WebSockets и WebTransport, а также fetch-запросы, инициированные через метод WindowClient.navigate(). Обращение к внутренним ресурсам используются злоумышленниками для косвенной идентификации и осуществления CSRF-атак на маршрутизаторы, точки доступа, принтеры, корпоративные web-интерфейсы и другие устройства и сервисы, принимающие запросы только из локальной сети.
• Функциональность для разбора XML переведена c libxml2 на новую библиотеку, написанную на языке Rust с оглядкой на обеспечение безопасности. Изменение касается только XML, как было объявлено ранее поддержка XSLT скоро будет прекращена.
  
  
  
• Реализована возможность применения метода startViewTransition() не только для всей страницы, но и для отдельных HTML-элементов.
• Добавлена CSS-функция contrast-color(), возвращающая противоположный вариант для указанного цвета (для белого вернёт чёрный, а для чёрного - белый). Функцию можно использовать для подбора цвета фона для определённого цвета текста и наоборот.
• Добавлено CSS-свойство "border-shape", позволяющего создавать непрямоугольное обрамление элементов, например, использовать рамки круглой или многоугольной формы. CSS-свойство "border-shape" принимает те же виды форм, что и свойство "clip-path", но в отличие от последнего определяет контур, декодирует его и отсекает выходящее за контур содержимое.
• Добавлен интерфейс CSSPseudoElement, позволяющий работать с псеведоэлементами CSS из JavaScript.
• В элементе link реализована возможность применения атрибута "rel=modulepreload" для упреждающей загрузки не только скриптов, но и модулей с CSS-стилями (<link rel="modulepreload" as="style" href="...">) и данными JSON (<link rel="modulepreload" as="json" href="...">).
• Изменено поведение при вычислении ширины рамок и контуров в CSS-свойствах border-width, outline-width и column-rule-width, которое унифицировано с Firefox и браузерами на движке WebKit. До сих пор ширина в указанных свойствах обнулялась, независимо от выставленных в них значений, если свойства border-style, outline-style или column-rule-style имели значение "none" или "hidden". Теперь значения order-width, outline-width и column-rule-width всегда выставляют заданные разработчиком значения, независимо от содержимого свойств "*-style".
• Добавлен метод Math.sumPrecise() для вычисления суммы элементов массивов и других перечисляемых объектов с точностью, превышающей точность обычного суммирования в цикле (исключаются потери точности при промежуточном сохранении результатов).
• Добавлен атрибут Request.isReloadNavigation, позволяющий определить, что страница была перезагружена, например, после нажатия на кнопку "Refresh" или вызова методов location.reload() и history.go(0).
• Для снижения точности косвенной идентификации изменена логика округления размера памяти, возвращаемого через API Device Memory, позволяющего получить сведения о размере оперативной памяти. Данная информация может оказаться полезной для создания легковесных вариантов web-приложений, загружающихся для устройств с небольшим ОЗУ или для активации расширенных возможностей при наличии большого объёма памяти. В сборках для платформы Android размер памяти теперь округляется до 1, 2, 4 и 8 гигабайт, а для других платформ до 2, 4, 8, 16 и 32 гигабайт.
• Для изолированных web-приложений (IWA - Isolated Web Apps) реализован API Web Printing, предоставляющий методы для определения наличия принтеров, отправки документов на печать и управления очередью вывода на печать. Используемые в API имена атрибутов и семантика соответствуют протоколу IPP (Internet Printing Protocol).
• В режиме "Origin trials" реализован API WebNN, позволяющий использовать предоставляемые операционной системой сервисы для машинного обучения и связанные с этим аппаратные возможности.
• Внесены улучшения в инструменты для web-разработчиков. Во встроенном AI-ассистенте реализован автоматический выбор контекста. Модернизирована панель "Device Mode", применяемая для тестирования работы сайта на разных мобильных устройствах. В панели Network обеспечено автоматическое декодирование сжатого содержимого запросов, переданных с заголовком Content-Encoding: gzip или deflate. Предоставлена возможность применения регулярных выражений для фильтрации CSS-стилей.
  
  

Кроме нововведений и исправления ошибок в новой версии устранено 60 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Двум проблемам (переполнение буфера и целочисленное переполнение в WebML) присвоен критический уровень опасности, подразумевающий, что уязвимости позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google учредила 60 премий и выплатила 118 тысяч долларов США (две премии $43000, две премии $11000 и по одной премии в $4000, $3000, $2000 и $1000. Размер 52 вознаграждений пока не определён.

1. OpenNews: Выпуск Chrome 146. Анонсированы официальные Linux-сборки Chrome для ARM64
2. OpenNews: Chrome переходит на двухнедельный цикл подготовки релизов
3. OpenNews: Поставка ОС Aluminium намечена на 2028 год. Поддержка ChromeOS сохранится до 2034 года
4. OpenNews: Инструментарий для удаления избыточной функциональности из Chrome, Edge и Firefox
5. OpenNews: Google представил AI-возможности Chrome

Пользователям предлагается сформировать и отправить отчёт о совместимости FreeBSD с их системами. Для создания отчёта предложены скрипт и инструкция с перечнем возможностей, которые следует проверить при загрузке на устройстве FreeBSD. Результаты необходимо отправить в форме pull-запроса в репозиторий проекта на GitHub.

Скрипт run_hwprobe.sh, который следует запустить после загрузки на своём устройстве FreeBSD, определяет имеющееся оборудование и выполняет ряд автоматизированных тестов для проверки его работоспособности. Собранные данные (пример) включают информацию о CPU, GPU, сетевых адаптерах, звуковых картах, Wi-Fi, Bluetooth, накопителях, USB-устройствах и загруженных модулях ядра.

Инструкция включает контрольный список с перечнем рекомендуемых ручных проверок, позволяющих субъективно оценить корректность перехода в спящий режим в разных условиях, работу индикаторов, срабатывание режимов экономии энергопотребления, поддержку GPU, вывод видео и звука через HDMI, задействование аппаратного декодирования видео, подключение к сети, работу высокоскоростных режимов Wi-fi, работу в KDE, подключение внешних мониторов и т.п.

1. OpenNews: Отчёт FreeBSD по улучшению юзабилити и работы на ноутбуках
2. OpenNews: Улучшение работы FreeBSD на ноутбуках названо новой стратегической целью проекта
3. OpenNews: Первые итоги проекта по улучшению работы FreeBSD на ноутбуках
4. OpenNews: Проект по запуску программ FreeBSD в Linux
5. OpenNews: Релиз FreeBSD 15.0

Целью miracle-wm является создание композитного сервера, применяющего мозаичное управление окнами, но более функционального и стильного, чем такие продукты, как Swayfx. При этом проект позволяет использовать и классические приёмы работы с плавающими окнами, например, можно размещать отдельные окна поверх мозаичной сетки или закреплять окна к определённому месту на рабочем столе. Поддерживается виртуальные рабочие столы с возможностью выставления для каждого рабочего стола своего режима работы с окнами по умолчанию (мозаичная компоновка или плавающие окна).

Предполагается, что miracle-wm может оказаться полезным пользователям, которые отдают предпочтение мозаичной компоновке, но желают получить визуальные эффекты и более яркое графическое оформление с плавными переходами и цветами. Конфигурация определяется в формате YAML. Для установки miracle-wm можно использовать команду "sudo snap install miracle-wm --classic".

Основные новшества:

• Добавлена система плагинов, поставляемых в промежуточном коде WebAssembly и выполняемых в форме изолированных (sandbox) модулей. Плагины могу применяться для изменения и расширения возможностей композитного менеджера, среди прочего связанных с изменением логики размещения окон, обработкой и расширением конфигурации, перехватом событий ввода и указателя мыши, реализацией анимированных эффектов и подключением обработчиков, срабатывающих при создании, удалении или переключении рабочих столов. Плагины могут перезапускаться по отдельности без перезапуска композитного менеджера.
• Добавлен API для разработки плагинов на языке Rust.
• Добавлена поддержка тем оформления курсоров.
• Добавлены новые пиктограммы.
• Добавлена комбинация клавиш "Meta + Shift + R" для перезагрузки конфигурации.
• Концепция "мини-деревьев" (mini tree), применяемая для группировки связанных друг с другом плавающих окон, заменена более предсказуемое поведение с отдельными плавающими окнами.
• Проведена оптимизация производительности.
• Обеспечена автоматическая перезагрузка настроек дисплея после изменения конфигурации.
• Изменён формат настройки собственных обработчиков - в привязках вместо идентификаторов клавиш в стиле событий ввода ядра Linux теперь следует использовать имена в стиле XKbKeysyms, например, "D" вместо "KEY_D" и "Return" вместо "KEY_ENTER".

1. OpenNews: Выпуск miracle-wm 0.8, композитного менеджера на базе Wayland и Mir
2. OpenNews: Выпуск композитного сервера Niri 25.11, использующего Wayland
3. OpenNews: Выпуск композитного сервера Weston 15.0
4. OpenNews: Выпуск композитных серверов Hyprland 0.54 и labwc 0.9.4
5. OpenNews: Выпуск River 0.4.0 с разделением композитного и оконного менеджеров

Блокировка произведена без предварительного предупреждения и без возможности подать апелляцию. В качестве причины лишь упомянуто несоответствие организации требованиям к прохождению верификации, без каких либо уточнений того, что именно не устраивает Microsoft. Автор VeraCrypt попытался несколькими способами связаться с Microsoft, но все попытки не ушли дальше автоматизированных ответов ботов.

К обсуждению блокировки VeraCrypt подключился автор VPN WireGuard, который рассказал, что его учётную запись тоже заблокировали и он также теперь не может формировать релизы для Windows. Как и в случае с VeraCrypt разработчику не было отправлено каких-либо предупреждений - готовя к публикации обновление WireGuard автор попытался войти в интерфейс для создания подписи и столкнулся с тем, что его учётная запись блокирована. Процесс рассмотрения апелляции занимает до 60 дней и его исход непредсказуем. В случае выявления критической уязвимости в WireGuard у автора теперь нет возможности оперативно выпустить исправление для Windows. При этом Microsoft сам использует Wireguard в продукте Azure Kubernetes Service.

Дополнение: После общественного резонанса ситуацию прокомментировал Скотт Хансельман (Scott Hanselman), вице-президент Microsoft. По его словам он уже лично связался с авторами VeraCrypt и WireGuard, и компания разблокирует их учётные записи. В качестве причины упомянуто "я люблю подшучивать над своей компанией когда Microsoft делает что-то глупое, но иногда это лишь 'проверьте электронную почту и верифицируйте ваши аккаунты'.... Не всё является заговором, временами это просто бюрократические препоны".

1. OpenNews: Выпуск системы шифрования дисковых разделов VeraCrypt 1.26.24
2. OpenNews: Представлена реализация VPN WireGuard для ядра Windows
3. OpenNews: Доступен VPN WireGuard 1.0.0
4. OpenNews: Microsoft удалил функциональность Hot Reload из открытого .NET для поставки только в Visual Studio 2022
5. OpenNews: В Microsoft C/C++ Extension включена блокировка работы в форках VS Code