В KDE Linux вернулись к ванильному ядру Linux и полностью отказались от использования репозитория AUR. Изменения стали частью аудита безопасности, проведённого в ; поводом послужили несколько уязвимостей, найденных в основной ветке ядра Linux. Заодно из системы убрали fuse2, ряд внешних модулей ядра и несколько неиспользуемых пакетов. Параллельно сборку программ KDE перевели на компиляцию через kde-builder, а автоматическую проверку сборок начали переводить на систему OpenQA.
Сборка ПО KDE через kde-builder вместо mkosi
KDE Linux — разрабатываемая операционная система проекта KDE, которая показывает рабочее окружение Plasma и приложения KDE такими, какими их задумали сами разработчики. В мае проект продолжил перестраивать инфраструктуру и базовую часть системы.
KDE Linux — неизменяемая операционная система проекта KDE на основе образа, которая служит эталонной реализацией рабочего окружения Plasma. Система собирается из пакетов Arch, но не считается Arch-дистрибутивом и не поставляется с пакетным менеджером pacman. Проект находится в стадии alpha; подробности есть на официальном сайте.
Раньше сборочный процесс генерировал пакеты Arch для программ KDE и устанавливал их через mkosi — инструмент для сборки готовых образов Linux. В мае Hadi Chokr перевёл этот этап на штатный инструмент KDE kde-builder, который компилирует программы KDE напрямую. У перехода три причины: сборка ближе к тому, как программы KDE собирают сами их авторы; систему проще отвязать от конкретного дистрибутива и при необходимости брать не-KDE программы из другого источника; за счёт более эффективного кэширования процесс стал заметно быстрее.
Возврат к ванильному ядру вместо Zen
Мини-аудит небезопасного и неиспользуемого ПО провели Adrian Vovk, Hadi Chokr и Nate Graham после того, как в в основной ветке ядра Linux нашли несколько проблем безопасности. По его итогам в KDE Linux отказались от ядра Zen и вернулись к ванильному: как оказалось, Zen уже почти не давал ничего сверх правок конфигурации, которые в KDE Linux и так применяли.
Ванильное ядро (vanilla kernel) — оригинальная версия ядра Linux с сайта kernel.org, без сторонних патчей. Ядро Zen — сборка с набором патчей, нацеленных на отзывчивость настольных систем.
Отказ от fuse2 и полное удаление AUR
Из системы убрали fuse2 — библиотека не поддерживается и считается небезопасной. Из-за этого часть старых приложений в формате AppImage может перестать запускаться: им потребуется переход на fuse3.
Отдельно в KDE Linux полностью отказались от использования AUR. Раньше проект опирался на сборочный скрипт, который подтягивал отдельные компоненты из пользовательского репозитория Arch и формировал файлы PKGBUILD, но это сочли проблемой с точки зрения безопасности, надёжности и сопровождения. К тому же такой подход противоречил цели меньше зависеть от специфики Arch. Удалить AUR удалось после того, как из системы убрали пакет fenrir, который, как выяснилось, по техническим причинам вообще не использовался.
AUR (Arch User Repository) — пользовательский репозиторий Arch Linux, куда сообщество выкладывает сборочные скрипты PKGBUILD для пакетов, отсутствующих в официальных репозиториях.
Удаление внешних модулей ядра и лишних пакетов
Внешние (out-of-tree) модули ядра OpenRazer и APFS убрали: со временем они привели бы к провалу проверки при включении Secure Boot, поэтому в проекте решили опираться на штатные решения из основной ветки ядра. Поддержка APFS остаётся через драйвер FUSE в пространстве пользователя, однако этот вариант, судя по всему, заброшен.
Кроме того, удалили небезопасные и неиспользуемые модули alf_alg, а модули ядра для NTFS и CDemu заменили версиями, работающими через FUSE в пространстве пользователя.
Из образа также убрали ряд неиспользуемых пакетов:
- acpi_call;
- busybox;
- cryfs и encfs;
- hplip;
- v4l2loopback-utils;
- vpl-gpu-rt.
Часть из них посчитали лишней. Например, в проекте сочли, что задачи v4l2loopback-utils по работе с виртуальными камерами решаются средствами пространства пользователя.
Тестирование сборок на базе OpenQA
Для каждой сборки уже выполняется базовая проверка — загружается ли образ до рабочего стола. Этого мало, поэтому Bhushan Shah и Thomas Duckworth довели до рабочего состояния систему тестирования на базе OpenQA, прототип которой годом ранее подготовил Kangwei Zhu. После полной интеграции она поможет отлавливать неудачные сборки до релиза, а со временем набор проверок расширят.
Harald Sitter добавил отдельный тест, который проверяет, что в образе не нарушены файловые capabilities (привилегии исполняемых файлов). Поводом стала одна выпущенная сборка с такой регрессией — новый тест должен исключить повторение.
Служба установки Flatpak-приложений и замена KWalletManager
Nate Graham реализовал службу, которая устанавливает новые предустановленные Flatpak-приложения на уже работающие системы. При этом она не трогает приложения, которые пользователь ранее удалил вручную.
Среди обновлений набора программ — замена приложения Бумажник KDE (KWalletManager) и его страницы настроек в Параметрах системы на новое приложение KeepSecret, упакованное через Flatpak. Также обновили ночную Flatpak-сборку архиватора Ark — добавили поддержку 7-Zip и привели её в соответствие с версией на Flathub.
Каталог /opt/local и перенос документации
Hadi Chokr сделал каталог /opt/local поддерживаемым местом для установки скомпилированных бинарных файлов — обычный /usr/local на KDE Linux доступен только для чтения. Порядок описан в документации.
João Pedro Silva Sousa исправил ошибку, из-за которой установка могла завершаться сбоем, если к компьютеру одновременно подключены две загрузочные USB-флешки с KDE Linux. Помимо этого, сайт и документацию проекта перенесли на linux.kde.org.
Заключение
Майские правки заметно сдвигают KDE Linux к более контролируемой и проверяемой базе: меньше внешних модулей ядра, слабее привязка к специфике Arch, нет устаревших и небезопасных компонентов. Есть здесь и риск для пользователей: старые приложения в формате AppImage могут перестать запускаться без перехода на fuse3, а поддержка APFS теперь доступна только через FUSE в пространстве пользователя. Поскольку KDE Linux остаётся в стадии alpha, перестройка базовой части продолжится.