Приложения для GNOME теперь могут работать в полностью изолированном контейнере

Разработчик GNOME Александр Ларсон (Alexander Larsson) объявил в своем блоге о реализации возможности запуска графических приложений в специальных контейнерах, не привязанных к конкретному дистрибутиву GNU/Linux и включающих в себя все зависимости, необходимые для работы приложения.

Для тестирования новой технологии была выбрана игра Neverball. Вывод графики и ввод данных пришлось организовать через Wayland, так как реализовать работу контейнера с X11 оказалось невозможно по соображениям безопасности. Вывод звука осуществляется через PulseAudio. Загрузка контейнера (и общего для всех контейнеров окружения) осуществляется специальной утилитой xdg-app, а запуск упакованной в контейнер программы — аналогично обычным приложениям. Находящееся в контейнере приложение не имеет доступа к другим процессам в системе, а также к сети и файловой системе (кроме файлов окружения и самого приложения).

На данный момент система контейнеров работает только на Fedora 21, что связано с необходимостью использования таких пока еще малораспространенных технологий, как Wayland и kdbus. Тем не менее, она в перспективе позволит облегчить распространение сборок ПО, не входящего в штатные репозитории дистрибутивов, за счет отсутствия привязки контейнера к конкретному дистрибутиву. Преимущества этой технологии в плане уменьшения количества зависимостей и пакетов также очевидны, не говоря уже о преимуществах в плане безопасности.

Постоянная ссылка к новости: http://www.nixp.ru/news/13205.html. Aлександр по материалам GNOME Blogs.