Flatpak 1.18 chega com mais controlo de permissões e foco em OCI
Nova versão afina o modelo de sandbox, aproxima-se ainda mais de OCI e melhora tooling. É menos vistosa à superfície, mas importante para quem usa Flatpak todos os dias.
Nova versão afina o modelo de sandbox, aproxima-se ainda mais de OCI e melhora tooling. É menos vistosa à superfície, mas importante para quem usa Flatpak todos os dias.
Flatpak 1.18 saiu e, como quase sempre neste tipo de infra-estrutura, a maior parte do impacto está nos detalhes que não aparecem no centro de software. Um ano e cinco meses depois da 1.16, esta versão mexe em permissões, suporte a hardware recente e integração com formatos modernos como OCI, tudo para que o modelo de sandbox seja mais afinado e menos intrusivo.
Começando pelo lado do hardware, o Flatpak passa a suportar a interface de computação específica da AMD, o /dev/kfd, através da permissão DRI. Na prática, isto abre a porta a workloads de computação em GPUs AMD dentro de flatpaks sem recorrer a permissões absurdamente largas. A extensão VA‑API fica também activada para GPUs Intel Xe, o que interessa a quem usa aceleração de vídeo em portáteis mais recentes. É o tipo de suporte que muitas distribuições demorariam a alinhar se isto não estivesse centralizado no próprio Flatpak.
Do lado da distribuição, a 1.18 aproxima-se ainda mais do mundo OCI (Open Container Initiative). Há suporte para instalar directamente a partir de uma imagem OCI, sideloading a partir de repositórios e arquivos OCI e colecções com IDs próprios para remotos OCI. Para quem gere máquinas offline ou redes mais fechadas, isto é bem mais relevante do que qualquer animação nova no GNOME. Junta-se a isto a possibilidade de construir bundles OCI com camadas comprimidas em zstd, o que reduz transferências e armazenamento sem o utilizador final sequer se aperceber.
Na área das permissões, há um esforço claro para reduzir o clássico “device=all” que muitos manifestos ainda usam por preguiça. Surgem condicionais como has-usb-device e has-usb-portal, que permitem conceder acesso a USB de forma mais granular. Há também suporte para permissões condicionais em subsistemas partilhados e funcionalidades, e a capacidade de passar permissões de dispositivos para a sub-sandbox criada via portal. Em conjunto, isto aproxima o modelo de segurança do que o projecto sempre prometeu, e afasta o cenário em que meio mundo anda a clicar em “yes” a tudo no Flatseal.
Para quem vive na linha de comandos, a actualização traz cancelamento em downloads via curl, um novo –clear-env no flatpak run para limpar variáveis do host antes de arrancar a app, melhor output no flatpak update e no flatpak-coredumpctl, arranque mais rápido na integração com o fish e i18n de progresso mais cuidada. Pequenas afinações, mas quem administra muitas máquinas ou faz debugging agradece. Há também melhoria na verificação de caminhos –filesystem que apontam para pastas-pai, algo crítico quando se tenta manter o isolamento minimamente sério.
O projecto aproveita ainda para tratar de casos esquisitos: suporte a reinstalação em bundles, melhor informação de sistema no cabeçalho Flatpak-Os-Info quando se puxam objectos, activação incondicional de NTSync para quem corre aplicações Windows via Wine, e seguimento automático de branches para extensões marcadas como “no-autodownload”, para evitarem ficar mortas após uma actualização que mude de ramo. Nada disto resolve a dor de quem queria backups simples de flatpaks para o apocalipse offline, mas mostra uma direcção clara: Flatpak como alicerce sólido, mesmo que continue pouco amigo de cenários totalmente desconectados.
Flatpak 1.18 já está disponível no GitHub do projecto, mas o conselho continua a ser actualizar pela tua distribuição, seja ela Fedora, Ubuntu, Arch ou uma derivada mais de nicho. Os developers recomendam a actualização rápida. Quem usa Linux no desktop em Portugal e depende de Flathub para ter aplicações recentes tem interesse directo neste tipo de manutenção invisível: é isto que decide se a próxima app corre em segurança… ou com meia máquina exposta sem se dar por isso.
Fonte: 9 to 5 Linux
Comentários · 0