Вихід Yay 13.0: Оновлення AUR-допоміжника для Arch Linux

Вийшла версія Yay 13.0, яка стала значним оновленням для популярного AUR-допоміжника для Arch Linux. Це сталося на фоні нещодавнього інциденту безпеки в AUR, пов’язаного з шкідливими пакетами.

Основні зміни в оновленні Yay 13.0

Цікаво, що це оновлення не змінює принцип роботи AUR і не гарантує безпеку пакетів. Натомість, воно пропонує користувачам додаткові інструменти для перевірки, фільтрації та автоматизації процесу огляду перед установкою або оновленням пакетів.

Ключовою новацією є виведення часу останньої модифікації PKGBUILD. Тепер Yay показує, як недавно було змінено PKGBUILD для пакету AUR у результатах пошуку, меню оновлення та yogurt. Хоча останні зміни не завжди є підозрілими, а старі – не завжди безпечними, часовий штамп пропонує користувачам ще один фактор для розгляду під час перевірки. Наприклад, yay відображає вікові маркери, такі як години або дні з моменту останнього оновлення PKGBUILD, при пошуку або оновленні пакетів AUR.

Нова функціональність для безпечного використання

Ще однією важливою зміною в yay 13.0 є підтримка конфігурації Lua. Тепер Yay може завантажувати файл init.lua з $XDG_CONFIG_HOME/yay/init.lua, зазвичай ~/.config/yay/init.lua. Існуючі файли config.json залишаються підтримуваними, але конфігурація Lua може перекривати ці налаштування. Командні прапори продовжують мати перевагу.

Крім того, з’явилася нова функція UpgradeSelect, яка допомагає під час виконання yay -Syu після підрахунку оновлень і перед появою меню виключення пакетів. Це дозволяє автоматично виключати певні пакети з оновлень, такі як пакети AUR з нещодавно модифікованими PKGBUILD.

Додаткові зміни та інформація

Yay 13.0 також вводить нові хуки AURPreInstall та AURPostDownload. AURPreInstall виконується після отримання репозиторіїв PKGBUILD, але перед очищенням, диференціюванням, редагуванням або будівництвом, що робить його корисним для перевірок на основі вмісту PKGBUILD. AURPostDownload виконується після запуску makepkg --verifysource, що дозволяє хукам отримати доступ як до репозиторію PKGBUILD, так і до завантажених вихідних файлів перед продовженням установки.

Випуск також відкриває додаткову інформацію про пакети для хуків, включаючи дані про утримувачів пакетів AUR, а також додає підтримку фільтрів пошуку та хуків після установки. Ці функції дозволяють користувачам створювати власні перевірки для нещодавно змінених пакетів, змін утримувачів, нових надходжень, URL-адрес джерел або іншої метадані.

Утримувач Yay зазначив, що мета полягає в уникненні “середньої безпеки”, підкреслюючи, що автоматизовані перевірки корисні, але не повинні замінювати людський огляд файлів збірки.

Yay 13.0 тепер доступна в AUR для користувачів Arch. Для отримання додаткових деталей можна переглянути зміни чи оголошення про випуск.