オペレーティング システムに固有のすべての低レベル機能は、アプリケーションに付属するライブラリの形式で実装されます。 アプリケーションは任意の OS で開発でき、その後、専用のカーネル (概念) にコンパイルされます。
生成された環境には余分なものが含まれておらず、ドライバーやシステム層を使用せずにハイパーバイザーと直接対話するため、オーバーヘッド コストが大幅に削減され、セキュリティが向上します。 MirageOS の操作は XNUMX つの段階に分かれます: 環境で使用されている構成を特定して構成を準備する
アプリケーションとライブラリが高レベルの OCaml 言語で作成されているにもかかわらず、結果として得られる環境は、かなり優れたパフォーマンスと最小限のサイズ (たとえば、DNS サーバーが占有するのはわずか 200 KB) を示します。 プログラムの更新や設定変更が必要な場合には、新たに環境を作成して起動するだけで済むため、環境のメンテナンスも簡素化されます。 サポートされています
新しいリリースの主な変更点は、ツールキットで提供される新機能のサポートの提供に関連しています。
- 分離された環境でユニカーネル MirageOS を実行する機能を追加しました
spt (「サンドボックス プロセス テンダー」) ツールキットによって提供されるSolo5 。 spt バックエンドを使用する場合、MirageOS カーネルは、seccomp-BPF に基づいて最小限の分離が適用される Linux ユーザー プロセスで実行されます。 - サポートの実施
アプリケーションマニフェスト Solo5 プロジェクトから。これにより、hvt、spt、および muen バックエンドに基づいて、ユニカーネルに接続された複数のネットワーク アダプターとストレージ デバイスを個別に定義できます (genode および virtio バックエンドでの使用は現在 XNUMX つのデバイスに限定されています)。 - SSP (Stack Smashing Protection) モードでの構築が提供されるなど、Solo5 (hvt、spt) に基づくバックエンドの保護が強化されています。
出所: オープンネット.ru