Rust Coreutils, você sabe, é uma implementação em Rust de uma série utilitários fundamentais da linha de comando, fornecidos pelo pacote GNU Coreutils, como cp, mv, rm, ls, cat, head, tail, wc e chmod.

Esse tipo de componente é um caso de uso ideal para uma reescrita que aproveite as vantagens de segurança e desempenho que o Rust traz, e o projeto busca oferecer substitutos compatíveis para essas ferramentas.

Mas compatibilidade é mesmo o conceito-chave aqui: o ecossistema tem décadas de acervo de scripts e bibliotecas fazendo uso das interfaces e formatos (documentados ou não) adotados pelas ferramentas originais, e qualquer mudança nas entradas ou nas saídas gera efeitos inesperados, imprevisíveis, e surpreendentes, de um jeito ruim.

Os desenvolvedores estão cientes e atentos para isso, o que talvez não seja o caso de alguns distribuidores, como os do projeto Ubuntu, que decidiram colocar desde o ano passado esse código em versões de produção, decisão que rejeito (mas não coloco na conta dos desenvolvedores, e sim dos distribuidores) – concordo 100% com a medida, mas não com a oportunidade, já que sacrifica a estabilidade e compatibilidade de hoje em prol de vantagens que serão colhidas apenas pelos usuários no final do ciclo de suporte da atual versão LTS.

Quanto à nova versão, o Changelog indica que além de melhorias de arquitetura de segurança, tivemos melhorias de desempenho (em comandos como cat, wc, head, tail, yes, cp, tee e unexpand), de compatibilidade (ls, numfmt, date, tr, cksum, factor, head, stat e sort) e suporte a modelos cross-platform.

O artigo "Rust Coreutils lança versão 0.9 e não tem culpa da pressa dos distribuidores destemidos demais" foi originalmente publicado no site BR-Linux.org, de Augusto Campos.

 
Consulte também a programação completa deste evento, que aconteceu no sábado.

Parabéns aos organizadores e a todo mundo da Cumbuca Dev. Que venham outras edições!

O artigo "Assista: Nosso Open Source Summit, encontro aberto sobre FLOSS" foi originalmente publicado no site BR-Linux.org, de Augusto Campos.

Ou seja: a IA entrou em cena em um utilitário que fundamenta os backups de muitos de nós, e entrou com aquele workflow típico: ao arrumar um bug, gera outros dois em partes do código que nem estavam relacionadas, e a gente começa a ver um padrão de patches feitos por IA, que estão lá para consertar bugs introduzidos por patches anteriores, também feitos por IA. A thread do link acima (assim como outros locais também) esmiuça isso um pouco mais detalhadamente, relatando outras regressões encontradas em versões recentes, numa inspeção inicial do código.

Como case de adoção de IA, é interessante para estudo, talvez vire caso antológico até, já que é um desenvolvedor experiente e renomado, e um software altamente popular. Escolha dele, claro. Do ponto de vista de quem recebe e usa um software previamente estabilizado, entretanto, provavelmente atende mal e leva a procurar alternativas.

A situação ainda está se desenvolvendo, possivelmente haverá respostas dos envolvidos, e mais detalhes, contrapontos ou explicações surgirão. Convém acompanhar. Mas vale lembrar: existe o fork openrsync, integrante da árvore de projetos do OpenBSD (sendo, portanto, irmão do openssh). Eu uso há anos.

O artigo "Novas versões do rsync trazem bugs críticos surpreendentes e foram feitas com IA" foi originalmente publicado no site BR-Linux.org, de Augusto Campos.

Dependendo da configuração de recursos como AppArmor ou SELinux, o bug pode ser mitigado, mesmo quando presente. E ele está presente na configuração default de uma série de versões de distribuições como Linux Mint Cinnamon, CentOS Stream 9, Rocky Linux 9, Kali Linux headless, AlmaLinux 9.7, SLES 15.

Em várias outras distribuições, o bug não é instalado por default, mas estará presente se o usuário tiver instalado o cifs-utils. Nesse grupo, temos: Ubuntu 18.04/20.04/22.04 Desktop/Server, Ubuntu 24.04 Desktop minimal/full e Server, Debian 11/12/13 netinst standard e GNOME/KDE/standard/XFCE, CentOS Stream 9 Cinnamon/KDE/MATE/XFCE, Rocky Linux 9 KDE/Workstation-Lite, openSUSE Leap 15.6 GNOME/KDE, openSUSE Tumbleweed GNOME/KDE, Rocky Linux 8 GenericCloud, Oracle Linux 8/9 KVM, Amazon Linux 2023 KVM.

O link acima inclui, ao final, os passos para mitigação imediata (desativar o módulo do kernel ou desinstalar o pacote cifs-utils deve bastar para afastar o risco imediato).

O artigo "CIFSwitch: vulnerabilidade dá acesso indevido de root em diversas distribuições" foi originalmente publicado no site BR-Linux.org, de Augusto Campos.

Era a resposta, redigida inicialmente por mim e encaminhada à revista por vocês, às acusações infundadas contra o software livre, que a revista havia publicado na quinzena anterior, em uma matéria que era sobre questões partidárias e de gestão pública, não tecnológica.

Antes disso, eu aguardei resposta oficial, sugeri à galera que dizia representar o movimento software livre junto ao governo federal para que tomassem alguma providência, pedi ao ministério correspondente que houvesse resposta oficial, e não veio.

Aí promovi a nossa reação, com apoio de vocês. Os editores da revista acataram e ainda elogiaram. Mandamos bem!

Sobre as questões originalmente levantadas pela revista, também encaminhei nossas perguntas a respeito, ao Ministério competente. O ministério confirmou recebimento e disse que nos responderiam, mas estamos no aguardo até hoje.

O artigo "20 anos hoje: o dia em que a comunidade do BR-Linux defendeu, na Revista Veja, o software livre" foi originalmente publicado no site BR-Linux.org, de Augusto Campos.

Segundo o artigo publicado, veja só, pelo Wall Street Journal, o poço da Red Hat:

"servirá como uma camada de coordenação de segurança, utilizando capacidades avançadas de IA para identificar, testar e corrigir vulnerabilidades de segurança em grandes volumes de código-fonte aberto. Os recursos estarão disponíveis por meio de assinaturas comerciais, permitindo que as empresas reportem bugs em estruturas de código aberto e recebam patches validados e prontos para produção que podem ser integrados diretamente em suas cadeias de fornecimento de software"

Esse poço tem a IA nas duas pontas: a da demanda – porque oferece os serviços justamente a organizações que usam o código aberto na infraestrutura de suas iniciativas em IA –, e o do contexto, porque capitaliza a ideia de que “novos modelos de IA tornam mais fácil que os adversários encontrem e explorem vulnerabilidades de software”.

Segundo o artigo do WSJ, a IBM/Red Hat informou que já começou a cavar o poço, com um grupo de clientes que inclui: Bank of America, Citi, Goldman Sachs, Morgan Stanley, Visa e Wells Fargo.

O artigo "Poço da distopia: IBM e Red Hat prometem alocar US$ 5 bilhões e 20.000 profissionais à segurança particular do código aberto" foi originalmente publicado no site BR-Linux.org, de Augusto Campos.

Eu sou muito simpático ao tema, e tive a oportunidade de ter serviços finger e gopher ativos antes da popularização da web – em meados da década de 1990, administrei 2 servidores gopher antes de administrar o primeiro servidor web da minha carreira. Boa parte dessa forma de ver o mundo acabou se cristalizando nos princípios que definiram o Axe, CMS que eu criei para hospedar o BR-Linux e meus outros sites, sem ser voltado a essa web meio distópica que temos hoje em dia.

O artigo do Brennan faz um bom trabalho ao explicar o gemini (que não é o serviço de geração de conteúdo enlatado do Google, neste caso, e sim um protocolo moderno para suprir a mesma lacuna preenchida pelo Gopher, cuja evolução praticamente parou assim que a web baseada no http decolou.

Se você não sabe do que estamos falando, este portal permite acessar todos esses protocolos no seu navegador, e tem links para alguns sites de exemplo.

Saiba mais: Gemini, Gophers, and Fingers. Oh My! Alternative Internets Beyond HTTPS.

O artigo "Dias de um futuro esquecido: finger, gopher e o gemini (não aquele, o outro!)" foi originalmente publicado no site BR-Linux.org, de Augusto Campos.

O autor estava frustrado com o estado da maior parte das ferramentas 'clássicas' do ramo, e resolveu fazer a dele, como conta neste breve post descritivo. Mas ele entende do assunto, e parece que gerou um resultado interessante. Definitivamente vou acompanhar e, possivelmente, aderir.

O artigo "DynIP.dev: DNS dinâmico com IPv6, DNSSEC, integrado ao seu roteador, e gratuito" foi originalmente publicado no site BR-Linux.org, de Augusto Campos.

O RHEL¹ é um dos mais populares sistemas operacionais corporativos da IBM, e conta com uma série de versões alternativas mantidas pela comunidade.

A maior parte dessas alternativas são meros clones compilados a partir do mesmo código-fonte, ou com pequenas modificações. Não é o caso do AlmaLinux, projeto que está no ar há 5 anos e que (além de acompanhar a base do RHEL) mantém desenvolvimento próprio, contribui com o upstream, e frequentemente atualiza seus pacotes com correções e ajustes necessários não apenas no mesmo dia em que o RHEL os inclui, com ainda, em alguns casos, os lança antes de chegarem à versão distribuída pela IBM.

A lista de novidades da versão 10.2, lançada ontem, é grande, e eu reproduzo o resumo do FossForce:

O novo AlmaLinux apresenta ferramentas de desenvolvimento atualizadas, novos pacotes de linguagens e bancos de dados, e segurança aprimorada. Ele adiciona o Python 3.14, PostgreSQL 18, MariaDB 11.8, Ruby 4.0 e PHP 8.4 como novos pacotes, junto com ferramentas como SDL3, libkrun, trustee e FIDO Device Onboard, tendo o GNOME 49 como desktop. O suporte a containers e virtualização é atualizado com as versões mais recentes do Podman, Buildah, libvirt, QEMU-KVM e skopeo. Pelo lado da segurança, há atualizações para o OpenSSL, OpenSSH, SSSD, configuração do SELinux e criptografia, e Keylime. O AlmaLinux 10.2 também traz pacotes para arquitetura i686 (que permitem software legado de 32 bits) e pipelines de CI.

Entre as novidades que divergem do RHEL 10.2, estão a reinclusão do Firefox e Thunderbird como pacotes RPM regulares no repositório, e o suporte a Btrfs que inclui a capacidade de dar boot a partir de um volume Btrfs.

As duas versões lançadas ontem também incorporam as correções que já estavam nos repositórios, para evitar e previnir a recente onda de vulnerabilidades que tem assolado o ecossistema, incluindo: Copy Fail, Dirty FRAG, Fragnesia, nginx Rift e SSH Keysign Pwn.

Imagens ISO de instalação estão disponíveis para as arquiteturas PC de 64 bits, ARM64, PowerPC de 64 bits, e IBM System Z (S390x).

O artigo "Alternativa ao RHEL: AlmaLinux lançou ontem suas versões 10.2 e 9.8" foi originalmente publicado no site BR-Linux.org, de Augusto Campos.

Um possível alento é que agora passou a tramitar uma emenda, especificamente para a lei da Califórnia (que é a que tem provocado mais reação), isentando da obrigação, de forma específica, “as pessoas ou entidades que distribuem um sistema operacional ou aplicativo sob termos de licença que permitem ao destinatário copiar, redistribuir e modificar o software”.

A mesma emenda também isenta, em outro dispositivo, os aplicativos que não sejam distribuídos nas app stores e outros repositórios explicitamente cobertos pela definição da norma.

A ideia de ter de comprovar idade (ou data de nascimento) para instalar ou usar um recurso digital é complicada inclusive quanto à exequibilidade prática, e reconhecer a inviabilidade de isso ser efetivo em um sistema operacional ou aplicativo open source é um primeiro passo na direção certa, na minha opinião.

Via Phoronix.

O artigo "Lei da Califórnia que exige verificação de idade em sistemas operacionais pode passar a isentar open source" foi originalmente publicado no site BR-Linux.org, de Augusto Campos.

Usando bots diversos e incluindo nos commits descrições (SysDiag, Optimize-Build...) que os faziam parecer legítimos e inofensivos, o Megalodon enviou workflows (do GitHub Actions) contendo trechos ofuscados em Base64, feitos para coletar e enviar para centros de controle externos várias informações de autenticação e similares: tokens de APIs, credenciais de nuvem, chaves SSH, etc.

É a chamada contaminação da linha de produção: os repositórios infectados (por exemplo, o do pacote NPM tiledesk-server) acabam virando propagadores do malware, e assim fazem vazar para o atacante as informações de quem instalar a versão infectada – que na semana passada já havia recebido centenas de milhares de arquivos das suas vítimas, segundo informações de monitoramento que foram divulgadas por pesquisadores.

Além da minha sugestão permanente de verificar se o seu workflow de desenvolvimento é seguro e se a automação por meio do GitHub compensa a exposição a riscos, a recomendação específica dos especialistas é de que os usuários do GitHub revisem imediatamente os commits recentes relacionados ao workflow, rotacionem os tokens e demais segredos expostos, habilitem regras de proteção, exijam commits assinados, e auditem pipelines de CI/CD para modificações não autorizadas.

O artigo "Megalodon injeta commits de malware em 5000 repositórios do GitHub em 6 horas" foi originalmente publicado no site BR-Linux.org, de Augusto Campos.

A descrição vem via LinuxGizmos: o Jetway BFNZASL2 é um sistema embarcado, fanless [dispensa ventoinha], construído em torno da arquitetura tradicional de mini-PCs Intel, com até 32GB de RAM, que vem com quatro interfaces Ethernet de 2,5 GbE, e opcionais de conectividade Wi-Fi 6, 5G, e armazenamento.

Não é por ser voltado a aplicações de conectividade, que a Jetway deixaria de oferecer as demais interfaces típicas desse porte de equipamento, o que o torna versátil para aplicações variadas e mesmo de nicho. Estão presentes: HDMI 1.4 (até 3840 × 2160), USB 2.0, USB 3.2 Gen 2 (10Gbps), console RJ45, conector para duas antenas. O bichinho tem até um LED especificamente designado para ser programável, no painel frontal!

A lista de sistemas operacionais suportados inclui explicitamente Linux, pfSense e OpenWrt.

O artigo "BFNZASL2: Um PCzinho feito sob medida para aplicações criativas que envolvem conectividade" foi originalmente publicado no site BR-Linux.org, de Augusto Campos.

Entre as novidades da versão 2 estão um terminal embutido na interface do usuário, mais desempenho nas buscas, recurso de filtros na Busca Rápida, e uma adição valiosa: aumento da acessibilidade, com suporte ampliado a leitores de tela.

Eu cheguei a usar o Norton Commander (de 1986), e ele realmente era uma interface superior para as operações de arquivo, no paradigma do MS-DOS. Sinto nostalgia, mas não me adapto muito bem a essa interface nos ambientes de janelas.

Já em terminais, às vezes uso o primo mais velho do GNOME Commander: o mc ou Midnight Commander, que não por coincidência é cria de Miguel de Icaza, que menos de 5 anos depois de criar o mc, foi co-fundador do GNOME.

O artigo "GNOME Commander 2.0: reescrito em Rust, agora com mais acessibilidade e inclusão" foi originalmente publicado no site BR-Linux.org, de Augusto Campos.

Esse corte vem na esteira de uma série de outros ajustes para remover drivers e outros componentes que estão no kernel há décadas sem registro de que ainda haja uso ou interesse relevante que justifique o esforço de sua manutenção, e o risco representado por manter código pouco revisado e raramente atualizado.

Outro corte recente foi o do driver para síntese de voz em placas ISA Double Talk – que possivelmente não é utilizado há décadas, inclusive porque a mesma placa e o mesmo serviço são mantidos em outro driver, de melhor qualidade, e que continuará presente no kernel.

A tendência é firme, e recentemente foram removidos também o suporte a computadores 486, a conexões ISDN, vários adaptadores da época do PCMCIA, e packet radio via rádio amador (que continua funcionando, porque o AX.25 não depende dos drivers antigos do kernel).

Via Phoronix: Linux To Drop ARCnet Support For Old ISA & PCMCIA Hardware.

O artigo "Faxinão: kernel Linux abandona suporte jurássico a ARCNet em placas ISA e PCMCIA" foi originalmente publicado no site BR-Linux.org, de Augusto Campos.

O BSDDay, você sabe, é um dos eventos mais tradicionais do Brasil para os ecossistemas de sistemas operacionais derivados do BSD (como FreeBSD, OpenBSD e NetBSD) e tecnologias correlatas de Software Livre. Nasceu das iniciativas do FUG-RJ (grupo de usuários de FreeBSD) para descentralizar o debate tecnológico e, embora mantenha foco na família BSD, o evento expandiu seu escopo ao longo dos anos para englobar soluções em Linux e ecossistemas abertos em geral.

Recebi o anúncio via Ricardo Jurczyk Pinheiro (que inaugurou a nova versão do nosso formulário de sugestão de notícias), avisando que a turma do Retrópolis vai estar por lá, na programação de palestras e como expositores; e também via Mauro Paes Corrêa, que palestrará por lá. Agradeço a ambos!

O artigo "11ª edição do BSDDAY na UFRRJ em Seropédica é neste sábado" foi originalmente publicado no site BR-Linux.org, de Augusto Campos.