[NIXP] Приложения для GNOME теперь могут работать в полностью изолированном контейнере

[Dmitry Shurupov]

Разработчик GNOME Александр Ларсон (Alexander Larsson) объявил в своем блоге о реализации возможности запуска графических приложений в специальных контейнерах, не привязанных к конкретному дистрибутиву GNU/Linux и включающих в себя все зависимости, необходимые для работы приложения. Для тестирования новой технологии была выбрана игра Neverball. Вывод графики и ввод данных пришлось организовать через Wayland, так как реализовать работу контейнера с X11 оказалось невозможно по соображениям безопасности. Вывод звука осуществляется через PulseAudio. Загрузка контейнера (и общего для всех контейнеров окружения) осуществляется специальной утилитой xdg-app, а запуск упакованной в контейнер программы — аналогично обычным приложениям. Находящееся в контейнере приложение не имеет доступа к другим процессам в системе, а также к сети и файловой системе (кроме файлов окружения и самого приложения). На данный момент система контейнеров работает только на Fedora 21, что связано с необходимостью использования таких пока еще малораспространенных технологий, как Wayland и kdbus. Тем не менее, она в перспективе позволит облегчить сборок ПО, не входящего в штатные репозитории дистрибутивов, за счет отсутствия привязки контейнера к конкретному дистрибутиву. Преимущества этой технологии в плане уменьшения количества зависимостей и пакетов также очевидны, не говоря уже о преимуществах в плане безопасности.


оригинал на www.nixp.ru