coffee-break: add 20241103

coffee-break/20241103/20240927-cups-vulnerability.zh_CN.md

@@ -0,0 +1,20 @@
+CUPS 及相关软件包推送安全更新，修复已公开可利用的高危漏洞
+===
+
+
+九月底，安全研究员 [evilsocket](https://www.evilsocket.net/2024/09/26/Attacking-UNIX-systems-via-CUPS-Part-I/) 披露了与 CUPS 等软件包相关的四个安全漏洞，CVSS 3.1 评分最高达到 [9.1](https://www.cve.org/CVERecord?id=CVE-2024-47177)。
+
+目前，安同 OS 相关修复已经推送至稳定源，建议用户尽快更新，相关软件包及其修复版本见下：
+
+- `cups` (2.4.10-2)
+- `cups-browsed` (2.0.0-1)
+- `libcupsfilters` (2.0.0-1)
+- `libppd` (2.0.0-1)
+
+升级完成后，如 `cups.service` 服务正在运行，推荐用户重启服务，方式见下（重启系统也能达成同样的效果）：
+
+```bash
+sudo systemctl try-restart cups
+```
+
+另：由于 `cups-browsed` 软件包在实践中用途有限，并且无法彻底修复与之相关的安全漏洞，软件包 `cups-filters` 版本 `2.0.0-2` 已不再推荐安装 `cups-browsed`，推荐无需相关功能的用户主动卸载 `cups-browsed` 软件包。

coffee-break/20241103/20240928-input-method-profile.zh_CN.md

@@ -0,0 +1,30 @@
+近期安装的安同 OS 可能无法在部分程序中使用输入法
+===
+
+在九月发布的安装盘中，默认系统配置中设置了错误的输入法模块，导致一部分闭源软件（已知微信及 Steam 受此问题波及）无法正常使用输入法。
+
+由于这一部分默认配置属于用户配置，我们无法通过系统更新修复该问题；如果您遇到此问题，请打开终端模拟器，使用如下命令打开当前用户的 `.xprofile` 配置文件：
+
+```bash
+nano ~/.xprofile
+```
+
+将文件开头四行的 fcitx5 字样逐一改为 fcitx，按 Ctrl-S、Ctrl-X 组合键保存退出；即从原文件中的：
+
+```bash
+export GTK_IM_MODULE=fcitx5
+export QT_IM_MODULE=fcitx5
+export QT5_IM_MODULE=fcitx5
+export XMODIFIERS=@im=fcitx5
+```
+
+改为：
+
+```bash
+export GTK_IM_MODULE=fcitx
+export QT_IM_MODULE=fcitx
+export QT5_IM_MODULE=fcitx
+export XMODIFIERS=@im=fcitx
+```
+
+完成后重新登录即可。

coffee-break/20241103/20241006-new-oma-repo-key.zh_CN.md

@@ -0,0 +1,27 @@
+小熊猫包管理 (oma) 安装源签名刷新公告
+===
+
+Ubuntu 24.10 更新了 APT [加密签名算法要求](https://discourse.ubuntu.com/t/new-requirements-for-apt-repository-signing-in-24-04/42854)，而我社先前使用的软件源 GPG 公钥算法 (nistp521) 不符合其要求的：
+
+- 2048 位以上的 RSA
+- Ed25519
+- Ed448
+
+因此，Ubuntu 24.10、deepin V23 及开放麒麟 (openKylin) 2.0 等使用 APT >= 2.8 版本的发行版无法正常使用我社官方源安装 oma。
+
+为解决该问题，我们已于 UTC+8 时间 2024 年 10 月 6 日生成算法为 Ed25519 的新软件源签名密钥：
+
+```
+pub   ed25519 2024-10-06 [SC]
+      F54DE04F93DFEDBA123FC2933AE2C2BE062E9F06
+uid   AOSC OS Maintainers <[email protected]>
+sub   cv25519 2024-10-06 [E]
+```
+
+我们计划于 UTC+8 时间 10 月 7 日零时切换该源的签名密钥，如果您先前已配置 oma 安装源，您需要重新执行 oma 安装程序：
+
+```bash 
+curl -sSf https://repo.aosc.io/get-oma.sh | sudo sh
+```
+
+切换签名密钥后，Ubuntu 24.10、deepin V23 及开放麒麟 (openKylin) 2.0 等发行版将可以正常使用上述命令安装 oma。

coffee-break/20241103/20241008-nvidia-ls7a-simpledrm-performance-notes.zh_CN.md

@@ -0,0 +1,48 @@
+NVIDIA 显卡及部分龙架构用户在近期内核更新后可能无法正常启动系统
+===
+
+自 6.10.12（稳定主线/mainline）及 6.6.53（长期支持/longterm) 内核更新以来，我们收到多名用户反馈称其在更新内核后，使用 NVIDIA、龙芯 7A 显卡无法正常启动系统，具体症状为：系统画面卡滞在 GRUB 启动内核的画面，系统实际成功启动（可通过 SSH 访问）后画面亦无变化。
+
+排查结果
+---
+
+经查，我们发现近期内核有一个潜在缺陷：NVIDIA 等默认不启用内核态显示模式切换 (kernel modesetting) 的驱动在无 SimpleFB 及 SimpleDRM 驱动的情况下，可能无法正确交接显示画面。
+
+但是，启用 SimpleFB 及 SimpleDRM 后，在部分龙架构配置下会出现一个分辨率为 800x600 或 1024x768 的“幽灵屏幕”（实际上是未正确关闭的 EFI 帧缓冲），此时桌面性能会大幅下降（根据游戏测试，至原来的 1/5 甚至 1/8）。
+
+目前我们发现出现此问题的配置及设备有：
+
+- 使用 AMD Radeon RX 5000/6000/7000 系列（RDNA 1.0/2.0/3.0 核心）等无龙芯原生固件支持的显卡，且同时使用主板视频输出显示固件及引导器的台式机
+- 清华同方超锐 L860-T2（卓怡恒通 L71）
+
+因此，我们对 NVIDIA 及龙架构用户提出如下不同的更新建议。
+
+NVIDIA 及在龙架构设备上使用 AMD RDNA 显卡的机器的用户
+---
+
+6.10.13（稳定主线/mainline）及 6.6.54（长期支持/longterm) 将修复该问题
+
+上述更新版本将于今日（UTC+8 时间 2024 年 10 月 8 日）推送，在此之前请使用 6.10.11 或 6.6.52 内核。
+
+龙芯 7A 显卡用户
+---
+
+当前内核可能存在问题，无法正确在无显卡驱动的设备上启用 EFI 帧缓冲。
+
+考虑到龙芯 7A 不在安同 OS 的支持范围内，为保障使用体验，我们强烈建议台式机用户添置基于 AMD GCN 1.0/2.0/3.0/4.0 或 RDNA 1.0/2.0/3.0 的显卡。
+
+如您的设备无法安装额外显卡（如 NUC 小主机或笔记本），请暂时使用 6.10.11 或 6.6.52 内核规避该问题；如必须使用最新内核，您可以考虑添加内核模块载入配置（使用 6.10.11 或 6.6.52 内核启动系统，打开终端复制如下命令）：
+
+```bash 
+cat > /etc/modules-load.d/simpledrm.conf << EOF
+simpledrm
+EOF
+```
+
+而后重新生成初始化内存盘 (initramfs)：
+
+```
+sudo update-initramfs
+```
+
+重启电脑即可启动最新内核；请注意，在龙芯 7A 显卡驱动可用后，您可能需要删除该配置文件，否则可能遇到上述性能问题！

coffee-break/20241103/20241031-oma-1.12-relnote.zh_CN.md

@@ -0,0 +1,87 @@
+小熊猫包管理（oma）v1.12.0 更新日志
+===
+
+历经一个月的设计、开发与测试，oma 1.12.0 终于与大家见面了！
+
+本次更新包含超过 10 个新特性，让 oma 更好用、更符合安同 OS 用户的需要。其中，我们大幅度增强了软件包与系统特性保护功能、为操作内容阅读器新增了搜索功能、翻修了软件源镜像管理器的界面，还对无用软件包清理、非交互模式界面和诸多 oma 子命令进行了增强和优化。
+
+让我们一起了解本次 oma 特性更新带来的各种新功能和修复吧！
+
+新特性
+---
+
+### 关键系统特性与必备包保护功能
+
+长久以来，Linux 系统中桌面等关键组件被“卸穿”的事故频频发生，也成为影响用户安全感的主要因素之一。为了解决这一问题，我们设计了[《系统特性标记规范》](https://wiki.aosc.io/zh/developer/packaging/feature-marking-guidelines/)并对一部分系统组件进行了标记 (`X-AOSC-Feature`)，让用户更清晰地了解系统软件包与具体系统特性的关系、区分应用程序和系统组件。
+
+我们在 oma 1.12 中新增了读取这一数据的支持，在探测到用户操作导致关键系统组件被卸载时将默认中止操作，并提示用户操作可能影响到的具体系统特性：
+
+![](/coffee-break/20241103/imgs/oma-1.12-features-protected.png)
+
+当然，如果您确实需要对这些系统组件进行增减、自定义操作，您可以关闭 oma 的保护机制（`protect_essentials` 设置为 `false`）并重试上述操作：
+
+![](/coffee-break/20241103/imgs/oma-1.12-features-non-protected.png)
+
+此外，我们还更新了关闭保护机制后删除必备 (Essential) 组件时的警告与确认界面：
+
+![](/coffee-break/20241103/imgs/oma-1.12-essential-non-protected.png)
+
+### 内容阅读器：搜索功能
+
+先前，我们将 oma 的阅读器 (pager) 功能改为内部实现，但此前 `less` 提供的搜索功能便丢失了。为解决这一问题，oma 1.12 为内容阅读器 (pager) 新增了字符搜索功能（感谢 @wxwind 的贡献！）:
+
+![](/coffee-break/20241103/imgs/oma-1.12-pager-search.png)
+
+### 软件包清理提示
+
+在更新系统、卸载软件的过程中，难免会产生一系列不再需要的软件包。实际上，oma 如同 APT 一般，都有通过 `autoremove` 删除多余软件包的功能，但这一信息一直对用户的可见度都不高。
+
+因此，oma 1.12 新增了在 `oma install/remove/upgrade ...` 操作完成后的不必要软件包的卸载提示：
+
+![](/coffee-break/20241103/imgs/oma-1.12-autoremove-notification.png)
+
+### 软件源镜像管理器
+
+作为一个先前鲜有用户使用的功能，[mirrormgr](https://github.com/AOSC-Dev/mirrormgr) 软件源镜像管理器一直是作为外部插件接入 oma 供用户们使用的，界面也少有打磨。
+
+作为 oma 1.12 开发目标的一部分，我们将这一功能直接集成到了 oma 中，以期增强体验一致性（本地化、补全等特性均直接复用 oma 的开发设施）。此外，我们还为 `oma mirrors` 引入了两个新功能：
+
+`oma mirrors` 交互界面会将已启用的源放到最上面，更方便用户了解当前配置：
+
+![](/coffee-break/20241103/imgs/oma-1.12-mirrors-prompt.png)
+
+我们还对软件源测速功能进行了翻修，并清理测试与结果界面：
+
+![](/coffee-break/20241103/imgs/oma-1.12-mirrors-benchmark.png)
+
+在测速后，还会对每个软件源镜像的测速结果进行排序，呈现给用户作为参考：
+
+![](/coffee-break/20241103/imgs/oma-1.12-mirrors-benchmark-results.png)
+
+### 非交互模式：下载速率显示
+
+在 oma 逐渐在社区各类自动化设施中取代 APT 后，oma 非交互模式的一些体验问题也逐步显现了出来。其中最突出的便是网速较慢时，oma 下载过程中不显示瞬时下载速率，让不少社区维护者都以为误以为 oma “卡死”了。
+
+为解决这一问题，我们为 oma 的非交互模式下的下载界面中新增了下载进度显示（每隔三秒钟打印一次传输进度）：
+
+![](/coffee-break/20241103/imgs/oma-1.12-download-no-progress.png)
+
+### 其他特性
+
+- `oma install/remove/upgrade` 命令新增 `--force-unsafe-io` 参数：指定该参数时将禁用 `dpkg` 文件操作时的同步、备份等保障措施；该参数旨在大幅度提高某些使用场景下软件包安装的速度，节省如 Ciel 等容器环境下重建环境的耗时，但在意外断电、系统崩溃等情况下将无法保障软件包数据写入完整，请谨慎启用
+- `oma list` 命令新增 `--autoremovable` 参数，可列出系统中可清理的软件包
+- `oma show/depends/rdepends/list/search` 命令新增 `--json` 参数，可输出程序可读的解析结果（JSON 格式）
+- 新增全局选项 `--apt-options (-o)` ，使用该选项后传入任意 APT 选项即可修改 oma 的包管理行为
+- 为“软件包提示（您可能在找）”界面添加等待状态提示，改善 Ubuntu/Debian 及衍生发行版中等待时间较长时界面行为不清晰的问题
+
+
+问题修复
+---
+
+- 修复 DEB822 软件源配置格式文件中 `Signed-By` 项未正确识别的问题，Ubuntu 下 PPA 源无法使用的问题也随之得到解决（感谢 @tomyushiyan 的问题报告！）
+- 修复 APT 配置文件指定类型源为不刷新（`DefaultEnabled` 设置为 `false`）时，oma 仍执行刷新的问题
+- 修复在 `sudo` 环境下 SSH 环境检测失效，导致 oma 意外输出 OSC11 字符的问题
+- 修复 APT 软件源元数据文件名未正确将字符 `-` 转义为 `%40` 的问题
+- 修复在 `tmux/screen` 等多人协作环境中，oma 操作时意外输出 OSC11 字符的问题
+- 修复在 TUI 界面中使用空格 (Space) 键选中已安装的包后取消选中时，oma 无故崩溃的问题（感谢 QQ 群好友 @寻觅 的问题报告）
+- 修复 `oma undo/history` 界面中因为终端高度不够显示所选项缺失的问题（感谢 @GGN_2015 的问题报告）