Менеджер пакетов Pacman 7.1 от Arch обеспечивает более строгий контроль подписей

Arch Linux Pacman достиг версии 7.1, в которой особое внимание уделяется безопасности, «песочнице» и воспроизводимости сборки. Большая часть обновлений связана с улучшением «песочницы» загрузчика Pacman.

Теперь он более жёстко ограничивает системные вызовы, использует флаг NO_NEW_PRIVS для предотвращения повышения привилегий и обеспечивает детальный контроль песочницы с помощью новых параметров конфигурации в pacman.conf и в командной строке.

Также было добавлено несколько исправлений для обеспечения бесперебойной работы при запуске от имени пользователя без прав root или на файловых системах, подключённых по NFS. Кроме того, была восстановлена поддержка старых API Landlock.

Обработка ошибок и диагностика также были улучшены: неизвестные группы пакетов теперь возвращают явные ошибки при использовании -Sg, а разрешение путей к каталогам было улучшено. Сообщение о циклах зависимостей было понижено до уровня отладки, чтобы уменьшить количество ненужного шума при работе с пакетами.

Что касается управления ключами, то процесс (повторного) импорта ключей, особенно с истекшим сроком действия, стал более надежным, что решает одну из наиболее частых проблем пользователей Arch, которые хранят локальные связки ключей.

Помимо самого менеджера пакетов, в makepkg — инструменте, используемом для создания пакетов Arch, — было улучшено несколько рабочих процессов и повышена производительность. Теперь пользователи могут задавать параметр конфигурации NPROC для управления параллельными операциями, а удаление файлов было распараллелено для ускорения выполнения.

В Pacman 7.1 также улучшена генерация отладочной информации, обеспечена воспроизводимость архивных файлов исходных пакетов, а также добавлены поля для конкретной архитектуры (options_$arch) и разделенные пакеты.

Также были устранены некоторые давние недоработки. Теперь Makepkg игнорирует общесистемные конфигурации Git, учитывает пустые каталоги конфигураций и обеспечивает единообразную обработку параметров сборки в PKGBUILD-скриптах. Кроме того, он предотвращает повторение записей в arch-массиве и обеспечивает выполнение «чистых» скриптов в нужном порядке.

Наконец, для администраторов репозиториев команда repo-add получила два полезных новых флага: --wait-for-lock для безопасного управления одновременными обновлениями репозитория и --remove, который автоматически удаляет устаревшие файлы пакетов при обновлении метаданных.

Подробную информацию обо всех нововведениях и улучшениях в Pacman 7.1 можно найти в полном журнале изменений: https://gitlab.archlinux.org/pacman/pacman/-/releases/v7.1.0. Пользователи Arch получат обновление в ближайшие дни, выполнив известную команду pacman -Syu.

Редактор: AndreyEx