La newsletter della comunità |
|
Questo è il numero 37 del 2025, riferito alla settimana che va da lunedì 17 novembre a domenica 24 novembre. Per qualsiasi commento, critica o lode, contattaci attraverso la mailing list del gruppo promozione.
Notizie da Ubuntu
Ubuntu spinge Flutter su RISC-V
Canonical ha lanciato una sfida ambiziosa, portare Flutter, il toolkit UI di Google, su Ubuntu RISC-V. Stando alle prime indiscrezione riportate sulla testata Phoronix, gli ingegneri di Canonical, e in particolare Valentin Haudiquet, hanno proposto due pull request al repository upstream di Flutter, la prima per rendere il toolkit compatibile con RISC-V, mentre la seconda per abilitare la cross-compilazione di un motore Flutter per Linux su RISC-V partendo da host x86_64. Queste patch permettono a componenti essenziali di Ubuntu, come il Security Center e l’ App Center, di girare su desktop RISC-V. Inoltre, il fatto che Flutter non supportasse RISC-V fino a oggi era un limite non da poco, visto che Ubuntu fa largo uso di Flutter per le sue applicazioni principali. Tuttavia, il percorso non è ancora in salita e lo stesso Haudiquet riconosce che “a seconda dell’esito” delle revisioni upstream, Ubuntu potrebbe dover continuare a costruire e distribuire il motore Flutter per RISC-V in modo autonomo. Il fatto che Canonical stia affrontando questa sfida è un modo significativo di dire a tutti quanti, compresi i competitor, che l'azienda di Mark Shuttleworth è presente nell'offrire un'esperienza desktop matura su RISC-V, un ambito che storicamente ha faticato a raggiungere la parità con ARM o x86. Nonostante questo, c'è ancora tanto lavoro da fare e, se il supporto Flutter per RISC-V verrà accettato upstream e consolidato, Ubuntu potrà offrire un’esperienza utente più ricca su hardware completamente open. È una mossa coraggiosa e lungimirante da parte di Canonical, ma il suo successo dipenderà da quanto gli sviluppatori riusciranno a stabilizzare e ottimizzare il tutto e da quanto rapidamente l’hardware compatibile potrà diventare accessibile a un pubblico più ampio.
Fonte: phoronix.com
Fonte: phoronix.com
Fonte: omgubuntu.co.uk
Notizie dalla comunità internazionale
Xubuntu rivela come è stato violato il suo sito web
Come ben ricorderete, la comunità di Xubuntu recentemente ha dovuto fare i conti con un grave problema, ovvero il suo sito ufficiale è stato compromesso da attaccanti che hanno manipolato la sezione download per sostituire il file .torrent con un archivio .zip malevolo. Il file rinominato Xubuntu-Safe-Download.zip al suo interno conteneva un'eseguibile .exe malevolo per i sistemi operativi Windows e non un'immagine ISO per Linux ed era accompagnato da un sospetto file tos.txt con copyright fasullo. Secondo il report ufficiale del team Xubuntu, il vettore d’attacco è stato un componente vulnerabile della suite WordPress, in cui, con un semplice attacco brute force, l’attaccante ha ottenuto l’accesso, ha inserito codice malevolo e ha modificato i link torrent con l’archivio infetto. L’esposizione del file malevolo è durata circa 24-48 ore e, una volta scoperto il problema, il team ha disabilitato la pagina download, rimosso il codice dannoso, ripristinato uno stato sicuro del sito e rafforzato la sicurezza di WordPress.
Dal punto di vista della sicurezza, alcuni ricercatori hanno analizzato il file infetto e il risultato, come alcuni utenti nei forum e su Reddit avevano ipotizzato, non è altro che un crypto-clipper, ovvero un malware che intercetta gli indirizzi di portafogli di criptovaluta copiati negli appunti per sostituirli con quello degli aggressori. Fortunatamente, il team Xubuntu rassicura nuovamente che nessun altro componente all'interno del sito ha subito alcun tipo di attacco. Il team Xubuntu intende evitare che un episodio simile si ripeta e ha annunciato ufficialmente la migrazione del sito da WordPress a Hugo, un generatore di siti statici, in modo da ridurre i potenziali vettori di attacco. Il team non nasconde l’amarezza per la violazione e definisce questo evento come una “grave perdita di fiducia”, assicurando che l’episodio è stato preso molto sul serio, con un impegno concreto a migliorare le pratiche di sicurezza.
Gli esperti raccomandano a chi ha scaricato quel file zip di cancellarlo immediatamente e di eseguire una scansione completa con un antivirus affidabile e verificare sempre le checksum ufficiali prima di installare sistemi operativi. Detto questo, l'incidente mette in risalto una verità scomoda per i progetti open source, cioè che non sono immuni da attacchi, soprattutto se la loro infrastruttura web non è adeguatamente protetta, specialmente quando gestita con tecnologie vulnerabili o non aggiornate.
Fonte: omgubuntu.co.uk
Mozilla scommette sulle API di TABS e apre la strada ai web-agent AI
Mozilla, inaspettatamente, compie un altro passo audace verso un futuro in cui il browser non è solo uno strumento di navigazione, ma una vera e propria piattaforma incentrata sull’automazione intelligente. Ma andiamo con ordine: in queste l'azienda americana ha introdotto nel proprio browser le API, TABS, un potente toolkit per l'estrazione e la trasformazione di contenuti web (facendo clic, scorrendo pagine, cercando e inviando moduli, il tutto con feedback in tempo reale) progettato specificamente per gli sviluppatori che desiderano creare dei veri e propri Agent AI. Secondo Mozilla, questa API è pensata per chi sviluppa agenti autonomi, infatti, il TABS non fornisce l’intelligenza (non è legato a un LLM di Mozilla), ma gestisce la parte operativa, ovvero l’automazione delle interazioni con il browser, lasciando allo sviluppatore la libertà di collegare il suo modello di AI. Lato privacy, Mozilla punta tutto su una minimizzazione dei dati, in cui le informazioni estratte dalle pagine vengono trattate come effimere, cioè non vengono conservate (“scraped data treated ephemerally”) e questo approccio vorrebbe distinguersi da altre aziende che usufruiscono dei dati dell'utente.
Al momento della stesura di questo articolo, Mozilla stima un costo di circa 5 dollari per mille richieste nel piano a pagamento, che offrirà anche latenza ridotta e persino capacità di risolvere CAPTCHA, per permettere agli agenti di interagire anche con pagine protette. Un elemento interessante è che Mozilla incorpora già modelli di intelligenza artificiale “leggeri” anche nel browser stesso, come abbiamo già raccontato nei numeri della newsletter precedenti. Quindi non dovrebbe sorprendere nessun utente se l'azienda californiana stia puntando ulteriormente su questa tecnologia. Al d ilà di questo, non mancano i punti critici di questa tecnologia: secondo alcuni ricercatori, gli agenti web (dotati di grande potere, come la navigazione multi-tab) possono creare superfici ad alto rischio, soprattutto se mal progettati, perché un agente può essere guidato da pagine ostili che sfruttano la sua capacità di interagire con il DOM (che significa usare linguaggi come JavaScript per manipolare dinamicamente il contenuto, la struttura e lo stile di una pagina web) o con moduli web. Inoltre, un web progettato per agenti AI dovrebbe offrire API dichiarative, per rendere più sicure e affidabili le azioni automatiche, suggerendo un futuro in cui i siti saranno “agent-readable” per design. Il progetto TABS di Mozilla appare dunque come una scommessa significativa e non un semplice gadget AI, per questo se ben usata, come tutti gli strumenti informatici, potrebbe accelerare l’adozione di questa tecnologia.
Fonte: omgubuntu.co.uk
Notizie dal Mondo
I bug di sudo-rs mettono in secondo piano la “sicurezza perfetta” del sistema operativo
Una verità importante, dato che stiamo parlando sempre di sistemi informatici, riguarda il fatto che, anche se il linguaggio di programmazione Rust offre vantaggi enormi in ambito di sicurezza della memoria, ciò non significa, o per lo meno non esclude, che un progetto riscritto in Rust diventi automaticamente immune da vulnerabilità. I recenti bug scovati in sudo-rs}} (tanto per capirci, l’implementazione del comando {{{sudo scritta in Rust usata da Ubuntu 25.10), ne sono la prova lampante. Nulla di che, visto che le relative vulnerabilità sono state etichettate con gravità moderata, ma ciò alimenta il dibattito all'interno della comunità, in quanto la maggior parte delle persone aveva visto nella riscrittura in Rust una terra promessa priva di pericoli. E l'idea che Rust possa "risolvere tutti i problemi di sicurezza" è solamente un’illusione. L’esperienza invece insegna che anche un linguaggio più sicuro non elimina gli errori di logica o di design e che la sicurezza assoluta è un obiettivo più teorico che reale. In definitiva, sudo-rs resta una scelta ambiziosa e potenzialmente valida per Ubuntu 25.10, però questi bug sono un campanello d’allarme sul fatto che serve altrettanta cura nel design, nella revisione del codice e nei test.
Fonte: phoronix.com
Fonte: phoronix.com
Raspberry Pi Imager 2.0: una ventata di freschezza per preparare le tue schede SD
Con il rilascio della versione 2.0 di Raspberry Pi Imager, l'azienda britannica dà il via a una trasformazione profonda dell’app. Un design nuovo di zecca, usabilità migliorata e funzionalità intelligenti costruite appositamente per rendere più semplice, sicuro e accessibile il processo di flashing. La novità più evidente è la nuova interfaccia guidata, dove ogni fase dalla selezione del dispositivo, scelta del sistema operativo, destinazione di memoria e configurazioni, è presentata a schermo intero con spiegazioni chiare, controlli di convalida e link utili, offrendo un’esperienza meno sovraccarica ma più guidata. Anche il nuovo schema di colori è ispirato ai toni ufficiali del brand Raspberry Pi, e l’uso di spazi bianchi aiuta a focalizzarsi di più sulle opzioni importanti senza distrazioni. Anche le opzioni di personalizzazione sono ora ben visibili quando si flasha un’immagine compatibile, permettendo di configurare timezone, password Wi-Fi o di preconfigurare del Raspberry Pi Connect, così che il collegamento remoto sia già attivo al primo avvio. Prima di iniziare la scrittura, l’app mostra un riassunto delle modifiche per evitare errori (a costo di un click extra). Sul lato tecnico, il rilascio introduce anche un pacchetto CLI, pensato per utenti avanzati che vogliono integrare il flashing in script o automatizzare processi, ad esempio usando cloud-init. Questo rende lo strumento più potente, pur mantenendo la sua vocazione a essere semplice e inclusivo. In più, l’engine di scrittura e download è stato rifattorizzato, migliorando stabilità e performance. Non meno importante, ora il supporto per Raspberry Pi Connect è integrato direttamente durante il flash e, se lo si abilita, il sistema alla prima accensione si registra automaticamente, abilitando l’accesso remoto senza ulteriori configurazioni post-installazione. Raspberry Pi Imager 2.0 è open source e multipiattaforma ed è disponibile al download. Quindi che aspetti nel provarlo?
Fonte: omgubuntu.co.uk
Fonte: 9to5linux.com
Fonte: phoronix.com
Aggiornamenti e statistiche
Aggiornamenti di sicurezza
Gli annunci di sicurezza sono consultabili nell'apposita sezione del forum.
Bug riportati
Aperti: 143946, +71 rispetto alla scorsa settimana.
Critici: 314, +1 rispetto alla scorsa settimana.
Nuovi: 73865, +40 rispetto alla scorsa settimana.
È possibile aiutare a migliorare Ubuntu, riportando problemi o malfunzionamenti. Se si desidera collaborare ulteriormente, la Bug Squad ha sempre bisogno di una mano.
Commenti e informazioni
"Noi siamo ciò che siamo per merito di ciò che siamo tutti"
La tua newsletter preferita è scritta grazie al contributo libero e volontario della comunità ubuntu-it. Per metterti in contatto con il Gruppo Social Media o se vuoi contribuire alla redazione di articoli per la Newsletter, puoi scrivere alla mailing list del gruppo promozione.
In questo numero ha partecipato alla redazione degli articoli:
Ha inoltre collaborato all'edizione:
Licenza adottata
La newsletter italiana di Ubuntu è pubblicata sotto la licenza Creative Commons Attribution-ShareAlike 4.0.
Uscite settimanali
Per ricevere la newsletter direttamente nella tua casella di posta, cambiare le impostazioni di ricezione o annullare la tua iscrizione alla newsletter, consulta questa pagina.
Per tutti i numeri usciti della newsletter, consulta la nostra edicola.
Scrivi per la newsletter
La Newsletter Ubuntu-it ha lo scopo di tenere aggiornati tutti gli utenti Ubuntu e, più in generale, le persone appassionate del mondo open-source. Viene resa disponibile gratuitamente con cadenza settimanale ogni lunedì ed è aperta al contributo di tutti gli utenti che vogliono partecipare con un proprio articolo. L’autore dell’articolo troverà tutte le raccomandazioni e istruzioni dettagliate all’interno della pagina Linee Guida, dove inoltre sono messi a disposizione per tutti gli utenti una serie di indirizzi web che offrono notizie riguardanti le principali novità su Ubuntu e sulla comunità internazionale, tutte le informazioni sulle attività della comunità italiana, le notizie sul software libero dall’Italia e dal mondo. Chiunque fosse interessato a collaborare con la newsletter Ubuntu-it, a titolo di redattore o grafico, può scrivere alla mailing list del gruppo promozione oppure sul canale IRC: ubuntu-it-promo. Fornire il tuo contributo a questa iniziativa come membro, e non solo come semplice utente, è un presupposto fondamentale per aiutare la diffusione di Ubuntu anche nel nostro Paese. Per rimanere in contatto con noi, puoi seguirci su:
