- Вышла версия 7.1 пакетного менеджера Pacman, используемого в Arch Linux.
- Включена обязательная проверка цифровой подписи пакетов и базы данных по умолчанию.
- Усилена sandbox-изоляция загрузчика, добавлены новые параметры конфигурации и улучшена поддержка сборок.
1 ноября 2025 года состоялся релиз версии 7.1 популярного открытого пакетного менеджера Pacman, применяемого в дистрибутиве Arch Linux. Предыдущая значимая версия 7.0 была выпущена в июле 2024 года. Новая версия включает ряд важных улучшений, направленных на повышение безопасности и удобства использования.
Одним из ключевых изменений стала по умолчанию включённая обязательная проверка цифровой подписи как для пакетов, так и для файлов базы данных репозиториев. Настройка SigLevel теперь выставлена в значение «Required», что означает, что при отсутствии подписи или её некорректности процесс завершится с сообщением об ошибке. Это обеспечивает дополнительный уровень защиты от подделки и компрометации пакетов.
В версии 7.1 также значительно улучшена sandbox-изоляция обработчика, загружающего данные по сети. Применено ограничение числа допустимых системных вызовов, активирован флаг NO_NEW_PRIVS, предотвращающий эскалацию привилегий, а также усилена огранизация с помощью механизма Landlock. Для администраторов добавлены новые параметры в конфигурационный файл pacman.conf и в утилиту командной строки, позволяющие гибко управлять поведением изоляции. Среди них опции «DisableSandboxFilesystem», «DisableSandboxSyscalls» и «DisableSandbox».
Кроме того, при наличии просроченных ключей система теперь запрашивает повторный импорт с учётом обновлённых версий на сервере ключей, что упрощает управление ключами безопасности.
Дополнительно в утилиту makepkg введён параметр NPROC, который регулирует количество одновременно выполняемых операций, включая распараллеливание задач очистки файлов. Файлы PKGBUILD получили поддержку новых полей «xdata» и «options_$arch». Для настройки Git теперь используется отдельный файл /etc/makepkg.d/gitconfig, а системные настройки при этом игнорируются. Улучшена также поддержка воспроизводимых сборок, что важно для стабильности и предсказуемости пакетов.
В утилиту repo-add добавлены опции, упрощающие работу с блокировками базы данных и обработку устаревших файлов пакетов: «—wait-for-lock» позволяет повторно попытаться установить блокировку, а «—remove» — удалять старые файлы пакетов.
Все перечисленные изменения свидетельствуют о постоянном развитии и улучшении Pacman, направленном на повышение безопасности, производительности и удобства эксплуатации в среде Arch Linux.
