Intel engineer Pawan Gupta has landed two patches in Linux Git that harden the kernel's BPF JIT allocator against JIT spraying attacks. The first introduces a new static key and static call mechanism (bpf_arch_pred_flush) to flush indirect branch predictors before reusing JIT memory, preventing branch prediction reuse from previously loaded programs. The second patch enables Indirect Branch Predictor Barrier (IBPB) flushes on BPF JIT memory reuse when Spectre-v2 mitigations are active, skipping the flush if the BPF dispatcher already uses a retpoline sequence. These changes are now merged and will ship in Linux 7.2-rc2.
Nguồn: https://www.phoronix.com/news/Linux-7.2-rc3-BPF-Hardening. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.
Hệ điều hành Linux bất biến (Immutable Linux) phân phối OS dưới dạng image phiên bản có lớp cơ sở chỉ đọc, bảo vệ hệ thống khỏi bị can thiệp trong khi vẫn cho phép tùy chỉnh thư mục home, cấu hình và ứng dụng. Các bản cập nhật được áp dụng nguyên tử, hỗ trợ rollback đơn giản qua khởi động lại, với các phương pháp triển khai khác nhau như Btrfs snapshots, layered packages hay Flatpak. Lợi ích bảo mật nổi bật là tự động khôi phục trạng thái an toàn sau khi bị xâm nhập, mặc dù hệ sinh thái này vẫn đang phát triển.
Lập trình viên nên đọc để khám phá cách Immutable Linux bảo vệ hệ thống khỏi lỗi cấu hình, tấn công hoặc lỗi update bằng cách giữ hệ thống nguyên trạng trong khi cho phép tùy chỉnh cá nhân mà không lo mất dữ liệu.
Valve Steam Machine sẽ gặp hạn chế về thư viện game do phần mềm chống gian lận …

Một nhà phát triển chia sẻ quá trình thay thế Vagrant bằng KVM, libvirt và virsh trên Linux để quản lý máy ảo hiệu quả hơn. Bài viết đề cập đến động lực loại bỏ Vagrant (do tạo lớp trừu tượng không cần thiết), hướng dẫn thiết lập KVM/libvirt/virsh, khắc phục sự cố console nối tiếp sau khi nâng cấp Debian, sử dụng file preseed để cài đặt VM tự động, kiểm tra kết nối mạng qua bridge ảo và TAP device, chia sẻ thư mục qua giao thức 9P, cùng khả năng forward SSH agent vào VM.
Lập trình viên nên đọc bài này để khám phá cách tối ưu hóa quản lý máy ảo bằng các công cụ native Linux—KVM, libvirt—thay vì phụ thuộc vào Vagrant, giúp tiết kiệm tài nguyên và tăng hiệu suất khi phát triển, test hoặc triển khai ứng dụng.
Microsoft đã phát hành tính năng WSL containers dưới dạng preview công khai, cho phép chạy container Linux trực tiếp trên Windows Subsystem for Linux (WSL) mà không cần công cụ bên thứ ba như Docker. Tính năng mới này bổ sung lệnh wslc.exe và API container dựa trên NuGet hỗ trợ C, C++, C#, tích hợp MSBuild và CMake, giúp các ứng dụng Windows tương tác với container trong quá trình build và triển khai. Bản preview có sẵn trên trang GitHub của WSL, dự kiến container sẽ trở thành tính năng cốt lõi của WSL trong tương lai.
Lập trình viên phát triển ứng dụng C/C++ hoặc C# sẽ tìm hiểu WSL containers để tiết kiệm thời gian và chi phí, tránh phụ thuộc vào các công cụ bên ngoài như Docker, đồng thời tích hợp phát triển Linux vào môi trường Windows một cách tự nhiên và hiệu quả.
Brave Origin là phiên bản tối giản của trình duyệt Brave, loại bỏ các tính năng AI, ví crypto, phần thưởng, VPN và giữ lại chặn quảng cáo/người theo dõi. Phiên bản này có giá 59,99 USD cho Windows, Android, macOS và iOS, nhưng hoàn toàn miễn phí trên Linux mà không cần tài khoản. Origin dùng chung codebase với Brave-core, có thể cài đặt song song và chuyển đổi dễ dàng qua flag.
Lập trình viên nên đọc bài này vì Origin của Brave không chỉ là phiên bản tối giản mà còn là cơ sở mã nguồn sạch cho phát triển các ứng dụng web riêng lẻ, tối ưu hóa hiệu năng và bảo mật cho các dự án Linux.
Tigera giới thiệu Lynx, một control plane native Kubernetes nhằm quản lý các AI agent ở quy mô lớn. Lynx giám sát mọi tương tác giữa agent-tool và agent-LLM, xác thực danh tính qua Entra ID, Okta hoặc SPIFFE/SPIRE, đồng thời áp dụng chính sách chi tiết bằng ngôn ngữ Cedar. Nó sử dụng eBPF và LSM để theo dõi syscall, network call và truy cập file ở cấp kernel, phát hiện bất thường như đánh cắp credential hay di chuyển ngang.
Lập trình viên cần đọc bài này để hiểu cách xây dựng hệ thống bảo mật Kubernetes-native cho các ứng dụng AI tự động hóa, từ cơ chế xác thực đa cấp đến giám sát hành vi hệ thống bằng eBPF, giúp bảo vệ ứng dụng trước các mối đe dọa mới từ các agent AI tự chủ.
Niri là một compositor Wayland chạy trên Rust, sắp xếp cửa sổ theo kiểu cuộn ngang vô hạn thay vì lưới cố định như i3 hay Sway, giúp tránh tình trạng cửa sổ bị thay đổi kích thước khi mở mới. Để sử dụng đầy đủ, người dùng cần cài đặt thêm các công cụ bên thứ ba cho thanh tác vụ, trình khởi chạy và thông báo. DankMaterialShell (DMS) cung cấp giao diện Material You hoàn chỉnh, tích hợp sẵn trình khởi chạy, bảng điều khiển, giám sát hệ thống và màn hình đăng nhập. Niri phù hợp với người dùng Linux có kinh nghiệm, nhưng quá trình cài đặt khá phức tạp đối với người mới.
Những người yêu thích Wayland và tiling window manager sẽ tìm hiểu cách Niri mang lại trải nghiệm gọn gàng, không cần thay đổi kích thước cửa sổ khi mở mới, chỉ bằng cách cuộn bên phải—là giải pháp mới mẻ phù hợp với những người đã quen với i3/Sway nhưng muốn trải nghiệm khác biệt.
Bộ điều khiển Steam 2026 được đánh giá là lựa chọn nổi bật cho thiết lập PC gaming trên ghế sofa chạy Linux Bazzite nhờ các tính năng như trackpad kép haptic, gyro 6 trục với Grip Sense, bốn nút sau có thể gán lại chức năng, HD haptics và bộ thu Puck 2.4GHz tích hợp sạc từ tính. Trackpad hoạt động xuất sắc như thay thế chuột trong các game PC, nhưng nhược điểm là ergonomics kém với bàn tay nhỏ và chỉ bán thông qua Steam.
Nếu bạn là lập trình viên phát triển game hoặc thiết kế UI/UX cho hệ điều hành Linux, bài này sẽ giúp bạn hiểu rõ cách tối ưu hóa giao diện người dùng và cảm giác haptic trong các ứng dụng game trên PC, từ đó nâng cao trải nghiệm người dùng cho các dự án tương tác.