| 本文作者張賀飛,系福布斯中國撰稿人,表達觀點僅代表個人。
開發者圈子里流行著一個有意思的觀點:操作系統每過20年左右,就會出現一次跨越式發展機遇。
上世紀六十年代開始的大型機,到上世紀八十年代的個人計算機,再到本世紀初互聯網的崛起,無不和上述觀點相吻合:操作系統作為連接軟件和硬件的橋梁,不斷催生新應用,創造新藍海。
而正在進行中的數字化、智能化浪潮,應用場景早已呈現出指數級增長的態勢,操作系統的“20年周期律”再一次被印證。
和以往有所不同的是,數智化常常被加上“產業”的前綴,承載著生產力躍遷升級、產業深度轉型的使命。操作系統作為產業數智化的“底座”,既要有繁榮的生態,更要在安全上交出一份高分答卷。
01 “得安全者得天下”
時間回到1991年,21歲的Linus Torvalds編寫出了擁有10000行代碼的內核,選擇遵循GPL協議和GNU宗旨,將其命名為“GNU/Linux”。
接下來的幾年時間里,來自全世界的開發者,對Linus編寫的內核代碼進行了大量修改和補充,加入了GUI(圖形界面)、應用等缺失部分,逐漸形成了一個完善的操作系統,也就是外界所熟知的Linux。
可能對不少消費者而言,對Linux的熟悉度遠不如Windows、Android、iOS,但在服務器和數據中心領域,Linux卻有著90%以上的市場份額,即使是在 Microsoft Azure上,也有一半以上的安裝了Linux虛擬機。
不夸張地說,幾乎整個數字世界都運行在Linux上。
為什么對安全最為看重的服務器市場,偏偏鐘愛開源的Linux呢?查閱了大量資料后,我們找到了兩個答案。
第一個是開放性。
因為Linux是開源的,任何人都可以自由地查看、修改和重新分發其源代碼,賦予了Linux高度的靈活性和可定制性,衍生出了基于Linux的發行版操作系統,比如Ubuntu、RedHat、Debian、Centos;國內基于Linux內核的開源操作系統openEuler,以及基于openEuler的商業發行版操作系統銀河麒麟、統信UOS、麒麟信安等。
第二個是安全性。
借用《大教堂與集市》作者Eric的說法,“只要眼睛多,bug容易捉”。開源軟件匯集了不同領域的開發者,他們帶著熱情鉆研代碼,讓漏洞更容易被發現。谷歌曾在2022年公布一份調查報告:Linux上的漏洞平均只需25天即可修復,蘋果平均用了69天、Google為44天、微軟則要三個月左右。
但安全是相對而言的,哪怕開源有著很高的透明度,過去幾年時間里,和Linux相關的安全事件仍屢見不鮮。
2017年曝出了名為“Phoenix Talon”的一系列遠程執行漏洞,其中一個漏洞為嚴重級別、三個為高危級別,可導致DOS攻擊和遠程代碼執行;以及2021年轟動一時的紅杉漏洞,攻擊者可以通過漏洞,在默認安裝的Ubuntu、Debian、Fedora、CentOS等主機將權限提升到root權限。
時間來到2024年,操作系統進一步和AI接軌,其中openEuler開源操作系統提出了“OS for AI,AI for OS”的理念,并全面增強了AI能力。
譬如顛覆了傳統的命令行交互方式,基于大模型訓練出了 EulerCopilot,初步實現代碼輔助生成、問題智能分析、輔助運維等功能;通過異構資源統一管理與調度,實現CPU和XPU的深度融合,有效提升AI訓練和推理性能。
當操作系統加速向AI演進,怎么消除潛在的安全威脅呢?
02 “從古代戰艦到航母”
很長一段時間里,操作系統的安全策略都是“被動防御”。
就像Linux社區里曾普遍認為:“Security bugs are just bugs”,以至于安全防護長期依賴于bug修補。
問題在于,1991年的Linux內核僅有1萬行代碼,到了6.6版本的內核,代碼量早已超過3000萬行。巨大的代碼量,加上模塊之間的復雜交互關系,導致內核的安全漏洞頻出,僅2023年就爆出了710個安全漏洞。
即使開源在漏洞發現到修復的效率上有優勢,但漏洞產生到漏洞發現平均需要60天時間,漏洞發現到修補又需要20多天的時間,而且52%的補丁并沒有真正把漏洞修復。在這樣的背景下,主動防御策略逐漸成為開源社區的共識。
一個典型的例子,就是中關村實驗室聯手openEuler打造的HAOC復式內核,選擇在系統的設計中構建安全體系。
由于Linux的宏內核架構是扁平化的,所有模塊集中在同一個地址空間,相互之間沒有任何隔離,一旦某個模塊存在漏洞,可能導致整個內核被攻陷,無疑增加了構建主動防御策略的難度。
中關村實驗室提出了復式內核的設計思想,嘗試建立系統性的主動防護:
首先,重構了內核的結構。將內核劃分為中樞核心層、普通模塊層和高風險模塊層。
原先的內核被劃分到了普通模塊層,通過持續隨機化進行保護,提升漏洞供給的門檻;最關鍵的數據移入中樞核心層,比如業表、權限憑證、系統密鑰、防控制策略、敏感指令等;將內核擴展、設備驅動劃分到高風險模塊,并對每個模塊進行單獨隔離,避免風險擴散;同時對利用硬件實現層與層之間的隔離。
然后,進行關鍵數據擬態。通過地址布局的持續隨機化,阻止攻擊者找到關鍵數據。
復式內核解決了漏洞威脅的橫向移動,卻也面臨著一個棘手挑戰:內核中代碼交互十分頻繁,對開銷要求要足夠小。中關村實驗室梳理了處理器在內存訪問、代碼調試等硬件特性,巧用這些硬件實現了層級內的開銷隔離。最終實現了層次內的低開銷隔離,相較于傳統開銷方案,有著兩個數據級的性能優勢。
中關村實驗室研究員、中國科學院計算技術研究所研究員武成崗,在操作系統大會2024上的主題演講中打了一個形象比喻:“扁平化的宏內核架構像古代的戰艦一樣,攻擊者很容易完成攻擊,而復式內核更像現在的航母,里面有很多艙,有了艙以后,想實施攻擊就變得很難。”
正如現代化航母的戰斗力,HAOC內核提供了中樞核心、隔離執行保護、系統密鑰保護、策略保護、頁表保護、憑證保護、內核擴展隔離和驅動隔離在內的安全選項,并且得到了Linux eBPF基金會的高度認可。
03 開源的“中國范式”
2024年6月初,首個AI原生開源操作系統——openEuler 24.03 LTS正式發布,除了智能解決方案的升級,還集成了HAOC內核1.0。
經歷了近半年時間的市場檢驗后,架構式創新帶來的新機會和新應用正逐步顯現:
比如代碼的形式化驗證,Linux內核擁有3000萬行代碼,理論上很難進行形式化驗證,復式結構對內核進行劃分后,給形式化驗證提供了可行性;
再比如復式內核兼具宏內核的性能優勢和微內核的安全性,在智能網聯車、低空經濟、商業航天等領域有著誘人的應用前景。
就在操作系統大會2024上,HAOC內核2.0正式發布,相比HAOC內核1.0實現了多項能力的升級:
1、同時具備X86和ARM兩個主流架構的內核攻擊防護能力;
2、對頁表結構、權限憑證、訪問控制策略和密鑰進行安全防護,能夠阻斷常見的內核提權攻擊;
3、對高風險驅動進行隔離管控,阻止安全風險擴散到核心內核;
4、相比HAOC內核1.0,HAOC內核2.0性能提升了20%。
對于HAOC內核的未來發展,武成崗給出了一份清晰的路線圖:進一步探索復式內核架構的層內安全增強技術、繼續探索軟硬件協同隔離技術、驗證探索高等級的形式化,以及分期分批地推進復式內核成熟技術進入社區,包括復式隔離框架進入openEuler社區、層內增強進入openEuler社區,最終進入主線Linux。
個中原因并不難理解。
內核作為操作系統安全的基礎,如果內核被攻破,攻擊者可能獲得最高級的系統控制權限。積極參與操作系統的開源建設,和全世界的開發者一起推進復式內核的創新和應用,可以說是構筑數智化“安全底座”的不二法門。
幾乎是在同一時間,openEuler社區中來自華為的核心貢獻者正式成為Linux內核社區的CVE檢視成員,直接參與Linux社區CVE檢視,將從源頭上提高CVE識別質量,隨時感知CVE信息,進一步提升 openEuler社區在高危漏洞上的響應能力。
無論是復式內核的架構創新,還是深度參與Linux內核漏洞檢視,無不向外界釋放了這樣一個信號——中國開源力量的崛起。
在openEuler社區上,像中關村實驗室這樣的開發者和組織還有2萬多個,他們組成了109個技術興趣小組、進行了2446次技術決策、194678次代碼合入、參與了588個創新項目,極大地促進全球開源社區的繁榮與進步。
全球著名市場調研機構IDC的報告也印證了這一點:2024年中國新增服務器操作系統領域,openEuler的市場份額將達50%。開源五年來,openEuler系累計裝機量突破1000萬套,單2024年,openEuler的新增裝機量將達到500萬套。
同時也意味著,中國開發者和組織正在從開源社區的參與者,一步步成為建設者乃至主導者,不斷提升在操作系統領域的話語權。
04 寫在最后
30多年前,幾千名散布在世界各地的開發者,通過在社區中的溝通和協作,鬼斧神工般地造就了一個世界級的操作系統。
30多年后,當世界進入到數智化時代,迫切需要一個“安全底座”的時候,同樣有一群開發者默默貢獻著自己的力量。不同的是,這一次有了更多的中國面孔,特別是在內核這個核心環節,讓世界看到了更多的中國創新和智慧。
本文為福布斯中文網版權所有,未經允許不得轉載。如需轉載請聯系wechat@forbeschina.com