Urtebeteko garapenaren ondoren, doako hipervisor Xen 4.17 kaleratu da. Amazon, Arm, Bitdefender, Citrix, EPAM Systems eta Xilinx (AMD) enpresek parte hartu dute bertsio berriaren garapenean. Xen 4.17 adarraren eguneraketak sortzea 12ko ekainaren 2024ra arte iraungo du, eta ahultasunen konponketak argitaratzea 12eko abenduaren 2025ra arte.
Xen 4.17-n funtsezko aldaketak:
- C lengoaian programa seguru eta fidagarriak garatzeko eskakizunak betetzen dira partzialki, misio kritikoko sistemak sortzeko erabiltzen diren MISRA-C zehaztapenetan formulatuta. Xen-ek 4 zuzentarau eta 24 MISRA-C arau inplementatzen ditu ofizialki (143 arau eta 16 zuzentarauetatik), eta MISRA-C analizatzaile estatikoa muntaketa prozesuetan ere integratzen du, zehaztapen-eskakizunak betetzen direla egiaztatzen duena.
- ARM sistemetarako Xen konfigurazio estatiko bat definitzeko gaitasuna eskaintzen du, gonbidatuak aldez aurretik abiarazteko behar diren baliabide guztiak gogor kodetzen dituena. Baliabide guztiak, hala nola memoria partekatua, gertaeren jakinarazpen-kanalak eta hipervisorearen pila-espazioa, hipervisorearen abiaraztean aurrez esleitzen dira dinamikoki esleitu beharrean, funtzionamenduan baliabide eskasiaren ondorioz izan daitezkeen hutsegiteak ezabatuz.
- ARM arkitekturan oinarritutako sistema txertatuetarako, VirtIO protokoloak erabiliz I/O birtualizaziorako euskarri esperimentala ezarri da. VirtIO-mmio garraioa I/O gailu birtual batekin datuak trukatzeko erabiltzen da, VirtIO gailu sorta zabal batekin bateragarritasuna bermatzen duena. Linux frontend, toolkit (libxl/xl), dom0less modua eta erabiltzailearen espazioan exekutatzen diren backendetarako euskarria ezarri da (virtio-disk, virtio-net, i2c eta gpio backend-ak probatu dira).
- Dom0less modurako euskarria hobetu da, eta horrek dom0 ingurunea inplementatzea saihesteko aukera ematen du makina birtualak zerbitzariaren hasierako fasean abiaraztean. Posible da CPU multzoak (CPUPOOL) definitzea abiarazteko fasean (gailuen zuhaitzaren bidez), eta horrek dom0 gabeko konfigurazioetan igerilekuak erabiltzeko aukera ematen du, adibidez, big.LITTLE oinarritutako ARM sistemetan CPU nukleo mota desberdinak lotzeko. arkitektura, nukleo indartsuak, baina energia kontsumitzaileak, eta ekoizpen gutxiago baina energia eraginkorragoak diren nukleoak konbinatuz. Horrez gain, dom0less-ek parabirtualizazio frontend/backend sistema gonbidatuei lotzeko gaitasuna eskaintzen du, eta horri esker, sistema gonbidatuak behar diren gailu parabirtualizatuekin abiarazteko aukera ematen du.
- ARM sistemetan, memoria birtualizazio-egiturak (P2M, Physical to Machine) domeinua sortzean sortutako memoria multzotik esleitzen dira orain, eta horrek gonbidatuen arteko isolamendu hobea ahalbidetzen du memoriari lotutako hutsegiteak gertatzen direnean.
- ARM sistemetarako, Spectre-BHB ahultasunaren aurkako babesa gehitu da prozesadorearen mikroarkitektura-egituretan.
- ARM sistemetan, Zephyr sistema eragilea Dom0 root ingurunean exekutatu daiteke.
- Aparteko (zuhaitzetik kanpo) hipervisoren muntaketa bat egiteko aukera eskaintzen da.
- x86 sistemetan, IOMMU orrialde handiak (superpage) sistema gonbidatu mota guztietarako onartzen dira, eta horrek PCI gailuak birbidaltzerakoan karga handitzea ahalbidetzen du. Gehitu da 12 TB RAM gehienez hornitutako ostalarientzako laguntza. Kargatze fasean, dom0-rako cpuid parametroak ezartzeko gaitasuna ezarri da. Sistema gonbidatuetan PUZaren aurkako erasoen aurka hipervisore mailan ezarritako babes-neurriak kontrolatzeko, VIRT_SSBD eta MSR_SPEC_CTRL parametroak proposatzen dira.
- VirtIO-Grant garraioa bereizita garatzen ari da, VirtIO-MMIOren aldean segurtasun maila handiagoagatik eta gidarientzako domeinu isolatu batean kudeatzaileak exekutatzeko gaitasunagatik. VirtIO-Grant-ek, memoria zuzeneko mapearen ordez, gonbidatu sistemaren helbide fisikoen itzulpena beka esteketan erabiltzen du, eta horri esker, aurrez hitzartutako memoria partekatuko eremuak erabil daitezke gonbidatu sistemaren eta VirtIO backend-aren artean datuak trukatzeko, eman gabe. memoria mapak egiteko backend eskubideak. VirtIO-Grant laguntza Linux nukleoan dagoeneko inplementatuta dago, baina oraindik ez dago QEMU backendetan, virtio-vhost-en eta tresna-kit-an (libxl/xl).
- Hyperlaunch ekimenak garatzen jarraitzen du, sistema abiaraztean makina birtualen abiaraztearen konfiguraziorako tresna malguak eskaintzera zuzenduta. Gaur egun, lehen adabaki multzoa prestatu da, PV domeinuak detektatzeko eta haien irudiak kargatzean hipervisorera transferitzeko aukera ematen duena. Domeinu parabirtualizatuak exekutatzeko beharrezkoa dena ere inplementatu da, Xenstore osagaiak barne PV gidarientzat. Adabakiak onartu ondoren, PVH eta HVM gailuetarako euskarria gaitzeko lanak hasiko dira, baita domB domeinu bereizi bat ezartzeko ere (eraikitzailearen domeinua), neurtutako abioa antolatzeko egokia, kargatutako osagai guztien baliozkotasuna berresten duena.
- RISC-V arkitekturarako Xen ataka bat sortzeko lanean jarraitzen dute.
Iturria: opennet.ru