2024 Весняний випуск

5 місяці назад.

Ласкаво просимо до весняного випуску 2024 року інформаційного бюлетеня FreeSewing.

Ось що ми маємо для вас сьогодні, і це не жарт:

  • FreeSewing 3.2 приносить Tristan, Lumina, Lumira та багато іншого (3-хвилинне читання від joost)
  • Електронна пошта знову стала складнішою (1 хвилина читання від joost)
  • 🕸️ Побудова мережі довіри до FreeSewing після спроби бекдору XZ (5 хвилин на joost)
  • Як змінилися виклики FreeSewing з плином часу (2-хвилинне читання від joost)

Почнемо?

 

 

FreeSewing 3.2 приносить Tristan, Lumina, Lumira та багато іншого

Ми випустили FreeSewing v3.2 раніше в першому кварталі 2024 року, і він включає в себе 3 нових дизайни , а також ряд виправлень і поліпшень.

Давайте подивимося на основні моменти:

The Tristan Top

По-перше, це [Tristan Top] (https://freesewing.org/designs/tristan). Трістан - топ зі швами “принцеса” та (за бажанням) шнурівкою спереду та/або ззаду. Історія його виникнення - це потреба в костюмі для фестивалю Ренесансу, тож це, мабуть, хороший показник того, чого очікувати.

Трістан був розроблений Наталією, яка також [написала пост про новий дизайн Трістана] (https://freesewing.org/blog/our-newest-design-is-the-tristan-top), тож це чудове місце, де можна дізнатися всі подробиці про цей новий дизайн.

The Lumina and Lumira Leggings

Я дам вам секунду, щоб відсканувати цю назву ще раз, але так, є дві різні моделі легінсів зі схожими назвами: [the Lumira Leggings] (https://freesewing.org/designs/lumira) та [Lumina Leggings] (https://freesewing.org/designs/lumina).

Обидві моделі народилися з бажання Воутера створити хороше велосипедне спорядження, і я пропоную вам ознайомитися з дизайнерськими нотатками для [Lumina] (https://freesewing.org/designs/lumina#notes) та [Lumira] (https://freesewing.org/designs/lumira#notes), щоб повністю оцінити різницю між цими моделями, чому вони відрізняються, і яка з них підійде вам найкраще.

Bug fixes and improvements

Постійні читачі бюлетеня знають, що ми постійно впроваджуємо покращення на FreeSewing.org, і що вони не пов’язані з новим випуском, але це гарна можливість перерахувати їх, тому ось деякі основні моменти виправлення помилок і покращень, які увійшли до випуску 3.2:

  • Сенді має нові панелі опції, які були додані Паулою. Ви завжди можете створити свою спідницю-коло з кількох схожих викрійок, виконавши підбір самостійно, але тепер викрійка подбає про це за вас.
  • Те, що почалося як [звіт про баг для біцепса на Jaeger] (https://github.com/freesewing/freesewing/issues/5999), закінчилося зміною способу розрахунку обхвату плеча на Брайані, зокрема глибини пройми. Враховуючи, що Брайан є нашим найбільш фундаментальним блоком, це матиме вплив на багато інших конструкцій, ви можете очікувати, що поза коробкою обхвату буде трохи нижчим.
  • В Carlton - і, відповідно, в Carlita - ми виправили і випустили , де припуск на шов на комірі був неправильно накреслений.
  • У моделі Charlie для шва задньої кишені (4) і лицьової частини передньої кишені (8) у списку розкрою помилково вказано 2 замість 4 . This too is resolved.
  • У Hugo ми виправили баг, який призводив до помилок у дизайні при вимкненому повному налаштуванні, а також вирішили проблему , коли отвір передньої кишені ставав дедалі вужчим зі збільшенням обхвату стегон .
  • Ми додали новий метод Path.combine() до нашого основного API. Вона виникла з обговорення у випуску #5976, яке було спочатку подано як звіт про ваду про те, як Path.join() з’єднує пропуски у об’єднаних шляхах - спричинені або операціями move, або різницею між кінцевою та початковою точками об’єднаних шляхів - і заповнює їх відрізком лінії . Така поведінка є очікуваною/передбачуваною, але ми додали Path.combine(), щоб полегшити іншу поведінку: Об’єднання різних контурів в один об’єкт Path без зміни операцій малювання.
  • Макрос title макрос тепер можна налаштувати за допомогою параметрів notes та classes.notes у його конфігурації, що дозволить дизайнерам додавати примітки до частини шаблону (заголовка).
  • Наш плагін i18n тепер підтримує тепер підтримує переклад вкладених масивів рядків, що надає дизайнерам більше гнучкості для конкатенації перекладених частин рядків.

Всі деталі можна знайти у блозі [Анонс FreeSewing 3.2] (https://freesewing.org/blog/v3-2-0).

 

 

Електронна пошта знову стала складнішою

Якщо ви читаєте цей лист у своїй поштовій скриньці, а не архівну копію на FreeSewing.org, значить ми змогли доставити його вам, що є гарною новиною.

Можливо, ви не усвідомлюєте, що це не зовсім тривіально, і не було роками. Але останнім часом все стало ще складніше. Gmail (Google) та Yahoo, наприклад, [запровадили нові обмеження в першому кварталі 2024 року] (https://www.xomedia.io/blog/a-deep-dive-into-email-deliverability/), що вимагає додаткової роботи з нашого боку, щоб максимізувати шанси на те, що цей лист дійсно потрапить до вашої поштової скриньки.

Крім того, так звані масові відправники підлягають найсуворішим перевіркам . Якщо ви надсилаєте 5000 повідомлень на день, ви вважаєтесь масовим відправником, і підлягає додатковій перевірці. Оскільки цей бюлетень має близько 14 тис. підписників , ми дотримуємося найвищих стандартів.

Очевидно, що ніхто не любить спам, і я не виступаю проти цих правил. Просто кількість часу та зусиль, необхідних для того, щоб зробити щось , здавалося б, тривіальне, як розсилка електронних листів, працює в масштабах, постійно зростає, оскільки Інтернет має тенденцію до де-факто моделі “плати за послугу” (pay-to-play).

Наразі я все ще докладаю цих зусиль, і сподіваюся, що вони виявилися достатніми , щоб отримати цей лист до вашої поштової скриньки. Але, можливо, нам доведеться повернутися до цього питання пізніше , якщо це стане все більшим навантаженням на наш обмежений час і ресурси.

 

 

🕸️ Побудова мережі довіри до FreeSewing після спроби бекдору XZ (5 хвилин на joost)

Залежно від того, звідки ви отримуєте новини, ви могли чути або читати про спроба бекдору в утиліті для стиснення xz .

У двох словах, зловмисник намагався впровадити бекдор в утиліту , що в кінцевому підсумку було спробою контрабанди закритого RCE-експлоіта в SSHd.

Або, кажучи мовою ELI5: Хтось додав код до невеликої бібліотеки з недобрими намірами. Це було зроблено підступно і кінцевою метою була не сама бібліотека, а інший програмний проект, який використовує цю бібліотеку: Secure Shell Deamon. Демон - це просто крутіше слово для позначення сервісу на комп’ютері, бо чому б не зробити речі крутішими. Цей конкретний демон або служба, демон secure shell, відповідає за обробку з’єднань по захищеній оболонці (SSH). Це золотий стандарт для віддаленого керування системами Linux (і Unix).

Код проникає через закритий бекдор RCE. RCE розшифровується як віддалене виконання коду, що означає, що він дозволяє вам робити щось віддалено без необхідності автентифікації або чогось подібного. Або, інакше кажучи, він дозволяє контролювати віддалену комп’ютерну систему, до якої зазвичай не мають доступу. Той факт, що він закритий, означає, що автор шкідливого коду вжив заходів для того, щоб тільки він міг використовувати шкідливий код. Як чорний хід з ключем.

Важко переоцінити серйозність цієї спроби бекдору фактично кожну систему Linux на планеті. Це не лише найпоширеніша у світі операційна система , але й переважна більшість серверних операційних систем. Або, як я часто кажу: Все, що має значення, працює на Linux.

Ця історія триває, і я, зі свого боку, сподіваюся, що з неї зроблять міні-серіал на Netflix з Девідом Кроссом у ролі [Андреса Фройнда] (https://github.com/anarazel), але я відволікаюся. Це інформаційний бюлетень FreeSewing , тому я хотів би витягнути з цієї історії дещо, що, на мою думку, має відношення до FreeSewing, або взагалі до будь-якого проекту з відкритим вихідним кодом.

Вигоряння мапінтейнера та довгий шлях до довіри

Одним із цікавих елементів цієї історії є те, хто вніс зміни, і чому вони були прийняті без достатньої перевірки, щоб виявити зловмисні наміри цього внеску.

Тому що користувач, який їх створив, робив внесок для years проекту і в світлі цієї роботи піднявся в статусі до рівня, коли було багато неявної довіри, заснованої на його роботі, незважаючи на те, що він майже нічого не знав про , хто або що ховається за ім’ям користувача JiaT75 (в даному випадку). Така довга афера вимагає значних витрат часу та зусиль, тому наразі припущення , що це був актор національної держави (згадайте АНБ або еквівалент іншої країни). Важливо також зазначити, що супровідник xy мав труднощі з довгим хвостом обов’язків з підтримки програмного забезпечення і активно шукав допомоги, щоб запобігти вигоранню. Це сценарій, який шокуюче поширений у проектах з відкритим вихідним кодом і створює ситуацію, коли зловмисники можуть дуже легко скористатися виснаженими супровідниками, які відчайдушно намагаються розвантажити частину роботи.

Створення мережі довіри

Проблема “кому можна довіряти”, звичайно, не нова. Одним із способів протистояти цьому є створення “павутини довіри”. Саме так це робиться у великих проектах програмного забезпечення з відкритим кодом, до яких залучено багато волонтерів, таких як проект Debian .

На практиці така мережа довіри будується на відносинах між людьми, які знають і перевірили справжню особистість один одного. Наприклад, у спільноті FreeSewing є багато людей, з якими я зустрічалася в реальному житті. Ми не просто зустрічалися віч-на-віч, а проводили час разом, ми знаємо , де живемо, ми знаємо партнерів або сім’ю один одного, або маємо інший відчутний спосіб, який забезпечує високий рівень впевненості в тому, що ця людина дійсно є , за кого вона себе видає.

Ці люди, в свою чергу, можуть мати подібні зв’язки з іншими людьми, яких вони знають, зустрічали, і довіряти їм на рівні, що виходить далеко за межі онлайн-світу. Цей створює мережу довіри, де ви можете довіряти своїм друзям, а друзі своїм друзям і так далі.

У світлі поточних подій та на знак визнання швидкого прискорення того, що можливо за допомогою генеративного штучного інтелекту, FreeSewing відтепер обмежуватиме всі права на запис або підвищені привілеї для членів спільноти , які є частиною мережі довіри FreeSewing.

Звичайно, ми продовжимо приймати - чи радше переглядати - внески від від усіх охочих. Але дозволи, які відкривають потенціал заподіяння шкоди, будуть обмежені людьми, яким встановлено довіру AFK (подалі від клавіатури).

Щоб полегшити побудову такої павутини довіри, ми почнемо документувати ці зв’язки між людьми. Це дозволить людям, які хочуть взяти на себе більше відповідальності у Вільному Шитті, подивитися на мережу довіри і побачити, хто живе поруч з ними, щоб вони могли приєднатися до нашої мережі довіри через цієї людини.

Я розумію, що FreeSewing вкрай малоймовірно, що FreeSewing стане мішенню для спроби чорного ходу з боку національної держави, але переймати найкращі практики та бути прозорими щодо того, як ми працюємо, - це хороша ідея, незважаючи ні на що.

Отже, я почну будувати і документувати цю павутину довіри протягом наступних кількох тижнів, а також перегляну весь контроль доступу і дозволи, щоб переконатися, що ми робимо все можливе, щоб навіть найвідданіші актори не змогли отруїти колодязь.

 

 

🤔 Як змінилися виклики FreeSewing з плином часу

Чи знали ви, що [FreeSewing v1 було випущено 7 років і 7 днів тому] (https://freesewing.org/blog/announcing-freesewing)? З того часу ми багато великих і малих змін, а наша основна бібліотека і система плагінів перетворилися на надійний - і, безумовно, самодостатній - спосіб проектування параметричних викрійок одягу.

Найцікавіші з технічної точки зору виклики були більш-менш вирішені. Залишається тільки сторона, звернена до користувача, або користувацький досвід (UX), як ми любимо його називати.

FreeSewing може багато чого, тож як зробити всю цю функціональність доступною для користувачів , не перевантажуючи їх? Чи можливо це взагалі на мобільному телефоні, який є домінуючим способом, за допомогою якого люди зараз виходять в Інтернет. Як зробити його інтуїтивно зрозумілим, або направити того, хто потрапляє на FreeSewing.org після пошуку в Google до розуміння того, що таке FreeSewing і чим він займається, за кілька секунд, які люди, швидше за все, дадуть йому шанс, перш ніж перейти до наступного посилання в результатах пошуку.

Скажу відверто: я не знаю відповіді на ці питання. Але це все частіше те, на що ми витрачаємо свій час. Відсоток людей, які використовують наше програмне забезпечення безпосередньо, є незначним порівняно з кількістю людей, які (лише) споживають наше програмне забезпечення через наш веб-сайт. Для більшості відвідувачів FreeSewing is - це веб-сайт, а якщо це щось інше, то, ймовірно, незрозуміле для них, або навіть неактуальне.

Очевидно, що є місце для вдосконалення, але часто не існує єдиного очевидного шляху вперед. Можливо - або я б сказав майже напевно - це та сфера, де мені бракує таланту або навичок, щоб розробити якусь грандіозну всеохоплюючу стратегію. Але я переосмислюю багато своїх власних ідей чи імпульсів у цій сфері.

Тож я подумав, що ми могли б провести невеличкий експеримент. Експеримент, в якому я задам тобі, мій дорогий читачу, просте запитання. Чи готові ви до цього? Ось тут є питання:

Що таке FreeSewing?

Я хотів би почути вашу відповідь. Ви можете просто натиснути кнопку “Відповісти”, щоб повідомити мені про це.

PS: Я поховав це питання в кінці, тому що відчуваю, що якщо ви прочитаєте все , що було до цього, я, мабуть, захочу почути ваші думки..

Claim this post

This post has not (yet) been associated with a FreeSewing account. Please help us assign proper credit:

2024 Зимове видання2024 Літній випуск