8 июня 2026 года разработчики Flatpak выпустили новую стабильную версию 1.18. Главное нововведение — доступ к вычислительным возможностям видеокарт AMD внутри изолированных приложений. Это упростит запуск научных расчётов, машинного обучения и игр с графикой AMD без снижения безопасности.
AMD ROCm и доступ к GPU — открытый путь для вычислений внутри песочницы
Флагманское изменение релиза — добавление поддержки устройства /dev/kfd (Kernel Fusion Driver) через существующую систему DRI-разрешений. Ранее разработчикам приходилось выдавать приложению доступ ко всем устройствам, чтобы задействовать вычислительные мощности графического процессора AMD. Теперь можно запросить доступ точечно, без снижения уровня изоляции.
Это нововведение особенно важно для:
- Научных расчётов и обработки данных — программы с поддержкой ROCm получают доступ к видеокарте, оставаясь в песочнице.
- Машинного обучения — запуск моделей через OpenCL внутри Flatpak-приложений становится безопаснее.
- Игр под Wine — ускорение через GPU теперь доступно с меньшими рисками.
Запрос на добавление /dev/kfd в Flatpak появился ещё в 2023 году, и спустя почти полтора года разработка новой стабильной ветки завершилась.
Условные разрешения — приложения получают доступ только к тому, что действительно нужно
В Flatpak 1.18 появилась механика «условных полномочий» (conditional permissions). Это технический термин, но суть проста: приложение может запросить доступ к чему-либо не безусловно, а только если в системе уже есть определённые возможности.
Пример из документации: вместо глобального разрешения --device=all (доступ ко всем устройствам) разработчик приложения может запросить --device-if=all:!has-input-device --device=input. Если в системе есть устройства ввода, приложение получит доступ только к ним — без избыточных прав.
Аналогичные условия введены и для USB-устройств: новые предикаты has-usb-device и has-usb-portal позволяют отказаться от устаревших --device=all и --device=usb.
Для пользователя это означает меньше «агрессивных» запросов доступа при установке приложений. Программы перестанут требовать лишнего, потому что смогут получать доступ к нужным аппаратным возможностям более аккуратно.
NTSync и другие улучшения для геймеров и разработчиков
Релиз включает несколько важных для игрового сообщества изменений. Во-первых, добавлен безусловный доступ к устройству /dev/ntsync — это модуль ядра Linux, который реализует механизмы синхронизации из ядра Windows NT. Практический эффект: заметный рост производительности Windows-игр, запускаемых через Wine внутри Flatpak.
Во-вторых, для видеокарт Intel Xe включена поддержка VA-API — технологии аппаратного ускорения кодирования и декодирования видео. Это напрямую улучшит работу видеоплееров, браузеров и любых других приложений, работающих с видео.
Разработчики также улучшили вывод ошибок в командах flatpak-coredumpctl и flatpak update, ускорили запуск при оболочке Fish и добавили опцию --clear-env для команды flatpak run, которая очищает переменные окружения хост-системы перед запуском приложения.
Прямая установка из OCI-образов — новый способ распространения приложений.
Flatpak 1.18 теперь поддерживает установку напрямую из OCI-образов (Open Container Initiative) — формата, который широко используется в мире контейнеров Docker и Podman.
Это означает, что разработчики смогут распространять приложения не только через стандартные Flatpak-репозитории, но и через любые OCI-совместимые хранилища. Для пользователя это даёт больше гибкости: приложения можно устанавливать из локальных архивов или альтернативных источников.
Команда flatpak install --from теперь поддерживает URI с протоколом flatpak+https://, а разработчики добавили поддержку сжатых слоёв zstd внутри OCI-бандлов.
Каталог предустановок и усиленная изоляция сборок
Для разработчиков операционных систем и сборщиков дистрибутивов важна поддержка каталога preinstall.d. Он определяет список Flatpak-приложений, которые должны быть предустановлены прямо в составе ОС. Это упрощает создание «чистых» образов систем с заранее отобранными приложениями.
Кроме того, команда flatpak build теперь по умолчанию не предоставляет доступ к хост-системе. Сборочное окружение стало более изолированным, что снижает риск случайного влияния на основную систему при сборке пакетов.
