Выпуск LEDE 17.01, форка дистрибутива OpenWrt

22 февраля 2017 года

Представлен первый выпуск дистрибутива LEDE 17.01 (Архивная копия от 9 октября 2017 на Wayback Machine) (Linux Embedded Development Environment), основанного в мае прошлого года как форк проекта OpenWrt и также ориентированного на создание точек доступа и беспроводных маршрутизаторов. Сборки подготовлены (Архивная копия от 30 июня 2018 на Wayback Machine) для 32 целевых платформ, из которых 7 ранее не поддерживались в OpenWrt.

Форк был создан группой активных разработчиков OpenWrt, желающих поднять стабильность дистрибутива на новый уровень и избавиться от организационных проблем. В LEDE попытались реализовать предсказуемый цикл разработки, более либеральные правила приёма изменений и прозрачный процесс принятия решений с привлечением сообщества и проведением публичных обсуждений. В декабре в списках рассылки была предпринята попытка объединения OpenWrt и LEDE, но она пока не привела к конкретным действиям.

Ключевые новшества (Архивная копия от 20 октября 2017 на Wayback Machine), реализованные после отделения от OpenWrt:

• Добавлена поддержка большой порции новых плат, точек доступа и беспроводных маршрутизаторов;
• Добавлена поддержка новых целевых платформ:
• apm821xx (AppliedMicro APM821xx)
• arc770 (Synopsys DesignWare ARC 770D)
• archs38 (Synopsys DesignWare ARC HS38)
• armvirt (QEMU ARM Virtual Machine)
• ipq806x (Qualcomm Atheros IPQ806X
• layerscape (NXP Layerscape)
• zynq (Xilinx Zynq 7000 SoCs)
• Реорганизована платформа Xen DomU, которая объединена с платформой x86/generic;
• Удалены платформы: realview (на смену пришла платформа armvirt),

ppc44x (не работоспособна) и netlogic (отсутствует оборудование);

• Ядро Linux обновлено до версии 4.4.50 (в актуальном выпуске OpenWrt используется ядро 3.18);
• Обновлены версии dnsmasq (c 2.73 до 2.76), busybox (с 1.23.2 до 1.25.1), mbedtls (c 1.3.14 до 2.4.0), openssl 1.0.2k, musl 1.1.16, gcc 5.4.0, binutils 2.25.1;
• Для контроля целостности пакетов вместо MD5 задействован алгоритм хэширования SHA256;
• Отключены небезопасные компоненты шифрования в mbedtls и OpenSSL (SSLv3, сжатие, NPN, Whirlpool и J-PAKE);
• Включены опции для повышения защиты от уязвимостей и атак: в

GCC активированы режимы "-Wformat -Wformat-security", добавлена защита от переполнения стека в пространстве пользователя и на уровне ядра, включён режим определения переполнения буферов (FORTIFY_SOURCE) и добавлена защита RELRO (RElocation Read-Only);

• Улучшены сетевые возможности:
• Поддержка SQM (Smart Queue Management) для минимализации негативного влияния промежуточной буферизации пакетов (Bufferbloat). Связанные с противодействием Bufferbloat изменения также реализованы для драйверов ath9k, mt76 и ath10k;
• Для драйвера ath9k задействован планировщик Airtime, устраняющий аномалии на медленных системах;
• Внесена большая порция исправлений, направленных на повышение стабильности работы беспроводного стека и драйвера ath9k;
• В качестве опции добавлен альтернативный драйвер ath10k-ct от Candela-Tech;
• Проведена работа по усилению защищённости IPv6;
• Изменения в системе сборки:
• Выполнено разделение базовой системы и поддерживаемых сообществом пакетов, что упростило распространение бинарных обновлений;
• Решены проблемы с обработкой зависимостей пакетов, улучшена поддержка виртуальных пакетов;
• Формирование отдельных образов rootfs для каждого устройства дало возможность индивидуально выбирать пакеты для профилей устройств;
• Новый код сборки образов позволил сократить время компиляции и упростить определение профилей устройств;
• В Makefile добавлены новые команды для запуска стандартных диагностических наборов;
• Добавлена возможность загрузки исходных текстов при помощи Curl;
• В коде сборки образов переработана сборка библиотек для улучшения переносимости между разными дистрибутивами Linux;
• Добавлена поддержка сборки модулей ядра, используя SDK.