Представлены правила для AI-ассистентов, применяемых при разработке ядра Linux

Саша Левин (Sasha Levin) из компании NVIDIA, занимающийся сопровождением LTS-веток ядра Linux и входящий в консультативный совет организации Linux Foundation, выставил на обсуждение разработчиков набор правил и документацию, которые должны учитываться AI-ассистентами при генерации изменений для ядра Linux.

Определены следующие ключевые принципы для AI:

— Перед созданием изменений необходимо прочитать документацию и следовать изложенным в ней требованиям.
Следует выполнять требования по стилю и оформлению кода для ядра.
— Перед отправкой изменения его нужно тщательно протестировать.
— К коду нужно приложить понятное и исчерпывающее сообщение с описанием изменения.
— Изменения не должны нарушать работу компонентов в пространстве пользователя.
— В качестве соавтора изменения должен быть отмечен AI, не ограничиваясь только упоминанием разработчика, использовавшего AI-ассистент.

Для выделения изменений, подготовленных с использованием AI, к коммиту предписывается прикреплять тег "Co-developed-by: $AI_NAME $AI_MODEL $AI_VERSION".

Linux / Линукс 🥸

Вышел systemd 258-rc1. Новых фич больше, чем в ядре Linux

Поттеринг уверенно строит свою операционную систему внутри операционной системы. Осталось дождаться, когда он добавит systemd-browser для веб-серфинга из-под PID 1 😁

Леннарт выкатил релиз-кандидат systemd 258, и, похоже, это самое крупное обновление за последние годы. Сам автор анонсировал его в 32 (!!!) отдельных постах на Mastodon. Пришлось пробраться через этот поток сознания и собрать самое главное. Пристегнитесь, тут много интересного.

Новая версия требует ядро Linux не ниже 5.4 и полностью прекращает поддержку cgroups v1. Если у вас что-то старое или кастомное, будьте готовы к сюрпризам. Также серьезно переработан systemd-resolved. Теперь в нем, помимо стандартных настроек DNS, можно создавать произвольное количество делегированных зон со своими серверами и правилами.

Продолжается курс на поглощение всего и вся. systemd-homed теперь поддерживает несколько домашних каталогов для одного пользователя (переключение через username%areaname при логине). Добавлены квоты на использование /tmp для каждого юзера, чтобы один не мог забить все место. Для любителей виртуализации systemd-boot теперь умеет загружать образы UKI по сети (HTTP boot), а systemd-vmspawn научился на лету увеличивать размер файловой системы создаваемой ВМ.

Появились и полезные утилиты для админов. systemctl start -v теперь выводит подробные логи запуска сервиса, что упрощает отладку. Новая команда systemd-analyze unit-shell позволяет запустить шелл в контексте любого юнита — идеально для тестирования и траблшутинга. А еще добавили функцию сброса к заводским настройкам на следующую перезагрузку.

З.Ы. Похоже, конечная цель Поттеринга, это чтобы однажды ядро Linux стало просто еще одним опциональным компонентом для systemd 🌚

Linux / Линукс 🥸

Радость не в том, чтобы просто решить задачу, а в том, чтобы решить её СВОИМ, пусть и совершенно безумным, способом. И когда эта конструкция наконец-то начинает работать, это лучшее чувство в мире.

Linux / Линукс 🥸

Критичный баг в sudo пофикшен: больше не "убивает" все процессы

Вышло срочное обновление sudo 1.9.17p2, устраняющее опасную ошибку. При определённых условиях (особенно в PTY) sudo мог отправить сигнал SIGHUP не тому процессу, а *всем* процессам в системе! Это эквивалентно аварийному завершению работы.

Проблема (с версии 1.9.16) возникала из-за некорректного вызова killpg(-1, SIGHUP) при ошибке запуска команды. Вместо завершения одного сбойного процесса, сигнал "потеря терминала" получала вся система, что могло вызвать её крах. Также пофикшен сбой при перехвате команд (intercept) с большими аргументами (>4096 байт).

Linux / Линукс 🥸

NPM по ошибке заблокировал Stylus (4.2M загрузок/неделю)

Администраторы NPM ошибочно заблокировали популярный пакет Stylus, заподозрив в нём вредоносный код. Через 12 часов пакет восстановили, но блокировка уже вызвала массовые сбои в сборках (включая Angular CLI), напомнив печально известный left-pad (2016).

Причина ложного срабатывания — присутствие в команде Stylus разработчика "panya", ранее уличенного в публикации вредоносных пакетов (svelte-intl и др.). Сам Stylus он не скомпрометировал.

Linux / Линукс 🥸

Релиз Linux 6.16 Baby Opossum Posse

Линус Торвальдс представил первый стабильный релиз ядра Linux 6.16 под кодовым названием Baby Opossum Posse (Отряд детенышей опоссума). Релиз Linux 6.17 ожидается в октябре 2025 года (эта версия станет ядром для Ubuntu 25.10, Fedora 43 и других дистрибутивов Linux, планируемых к выпуску в конце 2025 года).

Новая версия ядра Linux содержит большое количество изменений, обновлений и доработок, а также исправлений по ранее обнаруженным багам (Linux 6.16 changelog). В код проекта добавлена поддержка нового оборудования. В Linux 6.16 также появилось больше возможностей по работе с Rust для сборки ядра с использованием только стабильных функций этого языка программирования.

Linux / Линукс 🥸

Linux / Линукс 🥸

Технический разбор полетов взлома Аэрофлота ✈️

Официальная версия "сбой в информационной системе". Однако хакерские группы Silent Crow и «Киберпартизаны BY» заявили, что это результат целенаправленной и тщательно спланированной атаки, которая длилась целый год.

По заявлению атакующих, они не просто взломали периметр, а получили контроль уровня Tier 0, то есть полный административный доступ ко всей IT-инфраструктуре. Были скомпрометированы и взяты под контроль все ключевые корпоративные системы: SharePoint, Exchange, 1С, Sabre, ERP, DLP и другие. Вдобавок, они получили доступ к рабочим станциям топ-менеджмента и системам наблюдения за персоналом. Финалом атаки стало уничтожение около 7000 серверов (физических и виртуальных) и похищение до 22 ТБ данных (12 ТБ баз данных, 8 ТБ файлов из сетевых хранилищ и 2 ТБ корпоративной почты).

С точки зрения архитектуры, это худший сценарий из всех возможных. Длительное присутствие в сети, эскалация привилегий до полного контроля над Active Directory, компрометация рабочих станций админов и топ-менеджмента. Тот факт, что защитные системы, включая DLP и мониторинг логов, не сработали, прямо указывает на отсутствие полноценной сегментации сети, изоляции критических систем и контроля по принципу минимальных привилеги.

Прокуратура РФ уже подтвердила факт кибератаки и возбудила уголовное дело. Восстановление теперь потребует не просто поднять сервер из бэкапа, а полного аудита, переустановки ОС, реконфигурации AD с нуля, ротации всех ключей и паролей и, возможно, поиска оффлайн-бэкапов, если они вообще существовали и не были уничтожены вместе с остальной инфраструктурой 😶

ЖОска...

Типичный 🥸 Сисадмин

Выпуск дистрибутива Slackel 8.0

Опубликован выпуск дистрибутива Slackel 8.0, построенного на наработках проектов Slackware и Salix, и полностью совместимого с предлагаемыми в них репозиториями. Ключевым отличием Slackel является использование постоянно обновляемой ветки Slackware-Current. Графическое окружение основано на оконном менеджере Openbox. Размер загрузочного образа, способного работать в Live-режиме, 3.6 ГБ (i386 и x86_64).

Новый выпуск синхронизирован с веткой Slackware Current и поставляется с ядром Linux 6.12.39. Обновлены версии программ, среди которых firefox 140.0.4, thunderbird 140.0.1esr, libreoffice 25.2.1, GIMP 3.0.4, smplayer 25.6.0, mpv 0.40.0, MPlayer 20250330, exaile 4.1.3, brasero 3.12.3, isomaster 1.3.17, pidgin 2.14.142 и transmission 2.94.

В дистрибутиве реализована поддержка пакетов в формате flatpak и задействованы разработанные проектом Slackel графические утилиты.

Linux / Линукс 🥸

Linux / Линукс 🥸

Выпуск SVT-AV1 3.1.0, кодировщика для формата видео AV1

Опубликован выпуск библиотеки SVT-AV1 3.1.0 (Scalable Video Technology AV1) c реализациями кодировщика и декодировщика формата кодирования видео AV1, для ускорения которых задействованы присутствующие в процессорах x86_64 и ARM расширения для аппаратного распараллеливания вычислений. Проект создан компанией Intel в партнёрстве с Netflix с целью достижения уровня производительности, пригодного для перекодирования видео на лету и применения в сервисах, отдающих видео по запросу (VOD). В настоящее время разработка ведётся под эгидой альянса Open Media (AOMedia), курирующего развитие формата кодирования видео AV1. Ранее проект развивался в рамках проекта OpenVisualCloud, который также разрабатывает кодировщики SVT-HEVC и SVT-VP9. Код распространяется под лицензией BSD.

SVT-AV1 может быть собран для систем на базе любых архитектур, для которых имеется компилятор с поддержкой стандарта C99, но наилучшая производительность достигается на системах x86_64, для которых применяются ассемблерные оптимизации на базе инструкций SIMD (желательно наличие в CPU поддержки AVX2, но в качестве минимума достаточно и SSE2). Потребление памяти зависит от числа задействованных при кодировании процессорных ядер, регулируемых опцией "--lp". Из-за усложнения применяемых в AV1 алгоритмов, для кодирования данного формата требуется существенно больше ресурсов, чем для других форматов, например, штатный кодировщик от проекта AV1 требует в 5721, 5869 и 658 раз больше вычислений по сравнению с кодировщиками x264 (профиль "main"), x264 (профиль "high") и libvpx-vp9.

Linux / Линукс 🥸

Отношения, которые обречены на kernel panic 🌚

Linux / Линукс 🥸

Уволен создатель OpenPrinting

Canonical уволила Тилля Кампетера — лидера проекта OpenPrinting и главного разработчика CUPS в Linux (с 2021 года). Он руководил проектом с момента основания (2001) и работал в Canonical 18 лет. Причины не названы, но вероятно — сокращение удалёнщиков или внешние проекты.

Проект критически важен: CUPS — основа печати в Linux, которую OpenPrinting поддерживает после ухода Apple. Тилль также курировал пакеты печати для Ubuntu. Более 30 сотрудников Canonical выразили недоумение увольнением.

Сейчас Тилль ищет способы сохранить проект:
— Перевод на спонсорское финансирование;
— Поиск работодателя, разрешающего работу над OpenPrinting;
— Переход под крыло Linux Foundation.

Linux / Линукс 🥸

Linux / Линукс 🥸

Выпуск системной библиотеки Glibc 2.42 и набора утилит GNU Binutils 2.45

— В функцию pthread_create добавлена поддержка легковесных сторожевых страниц для защиты стека (stack guard page), обращение к которым вызывает исключение и аварийное завершение процесса (SIGSEGV). Реализация основана на появившемся в системном вызове madvise флаге MADV_GUARD_INSTALL, поддерживаемом начиная с ядра Linux 6.13. По сравнению с маппингом в режиме PROT_NONE сторожевые страницы позволяют более эффективно блокировать выполнение кода за пределами выделенной области памяти, так как их создание не требует выделения новой области виртуальной памяти.
— Добавлены и отражены в заголовочном файле math.h новые функции возведения в степень и вычислений корней compoundn, pown и powr, rootn и rsqrt, определённые в стандарте ISO C23. Варианты функций реализованы для типов float, double, long double, _FloatN и _FloatNx, а также для обобщённого типа из tgmath.h.
— На платформе Linux реализована функция pthread_gettid_np, которая, как и функция gettid(), возвращает уникальный идентификатор потока, но отличается расширенной проверкой ошибок (при возникновении неопределённого поведения процесс завершается).
— Добавлены функции для вычисления абсолютных значений, работающие с беззнаковыми типами: uabs, ulabs, ullabs и uimaxabs. Данные функции войдут в состав будущего стандарта Си.

И другие изменения.

Linux / Линукс 🥸

Linux / Линукс 🥸

ИИ за 5 часов портировал 20-летнее приложение на Vulkan: эксперимент Red Hat

Кристиан Шаллер (Red Hat) использовал Claude AI для портирования Xtraceroute (3D-визуализация сети) с GTK2/OpenGL на GTK4/Vulkan. Результат: рабочий порт за 5 часов вместо дней ручной работы. Затем ИИ создал новое приложение с офисами Red Hat на глобусе.

Как это работает:
— ИИ генерирует код, экономя время на изучении документации API;
— Автоматически адаптирует код под изменения в GNOME Shell;
— Но требует проверки: для PDF-просмотра сначала предложил тяжелый WebKit, а только потом — лёгкий libpoppler.

Безопасность:
Онлайн-ИИ (Claude, ChatGPT) рискованны для кода. Red Hat разрабатывает локальный Granite.code на базе открытой модели Granite. Пока слабее облачных аналогов, но защищает конфиденциальность.

Linux / Линукс 🥸

snapdiff - простая утилита, позволяющая сравнить две директории и вывести о них информацию

📌 https://github.com/jotaen/snapdiff

Linux / Линукс 🥸

В драйвер PanVK добавлена поддержка Vulkan 1.4

Компания Collabora объявила о реализации в Vulkan-драйвере PanVK поддержки графического API Vulkan 1.4 для устройств с GPU ARM на базе архитектуры V10, таких как Mali-G610 и Mali-G310. Изменения включены в кодовую базу Mesa и будут предложены пользователям в выпуске Mesa 25.2, находящемся на стадии кандидата в релизы. В текущем стабильном выпуске Mesa 25.1 в PanVK поддерживается лишь версия Vulkan 1.2.

Из планов по дальнейшему развитию драйвера PanVK упоминается сертификация поддержки Vulkan 1.4 в консорциуме Khronos, проведение оптимизации производительности DDK при выполнении типовых задач, улучшение совместимости с существующими приложениями и реализация поддержки дополнительных расширений Vulkan. Отдельно отмечается намерение повысить производительность для старых поколений GPU Mali, таких как Bifrost (V6 и V7), и обеспечить поддержку Vulkan для первых поколений GPU семейства Valhall (V9).

Linux / Линукс 🥸