Компания Microsoft представила проект Hyperlight, развивающий гипервизор, предназначенный для встраивания в приложения с целью изолированного выполнения кода, не заслуживающего доверия или требующего особой защиты. Гипервизор оформлен в виде разделяемой библиотеки, обеспечивающей выполнение отдельных функций в легковесных виртуальных машинах (micro-VM) и организующей обмен данными с этими функциями. Код проекта написан на языке Rust и распространяется под лицензией Apache 2.0...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=62226
А что за месячник такой неслыханной щедрости?
vmWare, MS HL...
Подгорает, сэр. Конкуренция не дремлет, клиентов надо удерживать.
Где посмотреть на ваши проекты для батиных инженеров?
Замглавы департамента информационных технологий, связи и защиты информации МВД Игорь Кашпур заявил, что серверы, оснащенные российскими микропроцессорами «Эльбрус», слишком быстро выходят из строя и при этом их нельзя оперативно заменить. Об этом пишет газета «Ведомости». - https://www.gazeta.ru/tech/news/2024/11/13/24376387.shtml ?
Отсюда вывод - не заказывайте чипы на Тайване.
Но если их заказывать на Микроне, то они будут "нетормозить" лучше Питона.
Будут делать на 90 нм, потом перейдут на 65 нм.
Также как делали Pentium D с микроархитектурой NetBurst (внутренний VLIW).
Нужна перепроектировка, со временем будут поставки.
Тогда придется резать либо ядра ,либо частоты, чтобы уложится в тепловой пакет.
К электрической сети сегодня много вопросов. Надо защищать электрическую сеть: https://www.opennet.dev/openforum/vsluhforumID13/1034.html#21
А чего же неотечественные материнки не выходят из строя по причине качества питающей сети? Даже будучи подключенными к куда более ужасного качества электросети, чем у МВД?
Может проблемы, поточу что сэкономиили на качественных БП?
> А что за месячник такой неслыханной щедрости?Экономику поджимает -> оптимизация костов.
Возможно открытие таких кодовых баз требуется для обучения ИИ. Накопленный корпорациями код не представляет такой большой ценности в мире, где ИИ через несколько лет напишет лучше и на порядки быстрее.
> Возможно открытие таких кодовых баз требуется для обучения ИИ. Накопленный корпорациями
> код не представляет такой большой ценности в мире, где ИИ через
> несколько лет напишет лучше и на порядки быстрее.Спорное утверждение...
В словосочетании "искусственный интеллект" ведущее слово - "искусственный", то есть "подражающий"
Как это дело не называй, но код оно пишет уже намного лучше недоучек, неспособных ясно мыслить. Коих в отрасли большинство.
Компиляторы тоже ругали в 90х. Ну и как, на ассемблере много кто сейчас пишет?
1. Основной поток запускает защищённую обёрточную функцию обработки в micro-VM основного потока...
2. Обёрточная функция вызывает другую функцию файла (в отдельной или в этой же micro-VM?)...
3. ...которая вызывает функцию из внешнего по отношению к программе заголовочного файла (в чисто отдельной третьей micro-VM?)...
4. ...которая дёргает динамический dll'ный библиотечный код либы lib_a1.dll (тут уже точно в отдельной micro-VM?)...
5. ...которая дёргает динамический dll'ный библиотечный код либы lib_b2.dll (тут уже точно в отдельной micro-VM или либы будут бандлится в один образ VM?)...
6. ...которая по RPC (хотя бы тот же СОМ+) дёргает вообще другое ПО и получает какие-то данные (проприентарный патентованный сервер СОМ+ изначально требует защиты и запускается в расшифровываемой-на-лету micro-VM?), затем маршаллит результат (надеюсь не в micro-VM?) и передаёт обратно.Вопросы:
1) Я правильно понял, что именно так можно будет выглядеть дерево вызовов внутри одного процесса?
2) Какой адок начнётся в многопроцессной работе? Micro-VM же насколько понял stateless? А параллельно будет запускаться одна micro-VM или целый пул из таких виртуалок?
3) Какие накладные расходы на это гуано будут не в бенчамарках, а при реальной работе? А для функций из 80% отношения Парето?
4) Нахуа, а главное зачем?
Отвечу на 4-й вопрос. Чтобы показать, что на Rust таки пишут, а не только переписывают.
Видимо у них поинт в том, что они хотят именно в VM их гонять. Простой контейнер их не устраивает по каким-то причинам. Ну собственно, пусть допиливают: посмотрим, выстрелит ли.
Что это вообще такое и зачем?
Это желание привнести безопасность в контейнеризацию, которой там нет, вопреки заверениям адептам культа карго.Допустим, есть какие-то микросервисные проекты, расположенный в каком-то облаке. Разные проекты у разных клиентов. Как их заизолировать друг от друга? Как ограничить ресурсы, как вообще делать это всё?
Правильно! Виртуалками. То есть строим инфраструктуру виртуализации, поднимаем виртуалки для клиентов. Вот в них свои контейнеры и вращайте.Этот проект - попытка стандартизировать дополнительные к WASM средства жесткой изоляции внутри контейнерных платформ. Причем это делается строго для микросервисных задач и оптимизируется для функций, которые часто вызываются и быстро отрабатывают.
Короче говоря, это unikernel такой для запуска контейнеров с WASM, который изолирует их сверху еще и гипервизором. Ну и да, оно не только WASM поддерживает теперь, собственно ради этого и несут в CNCF поближе к кубику.
Для легкого чтения:
https://arschles.com/blog/hyperlight-overview-1/
https://arschles.com/blog/hyperlight-overview-2/
> Это желание привнести безопасность в контейнеризацию, которой там нет, вопреки заверениям адептам культа карго.Безопасность контейнеризации существует только в воображении борцов с воображаемыми адептами культа. Парад соломенных чучел в комментариях поражает. Припекает у местных — моё почтение. Тут тебе и Раст, и Майкрософт, и опенсорс, и стирание границ между виртуалками и контейнерами. Огнеопасная новость как ни крути. Продолжайте паясничать. Не хватает только комментариев от поха.
Лично я не программирую на Rust и не разделяю ажиотажа вокруг него. Мне всё равно, что используется именно этот язык.Однако, это не отменяет факта, что в ванильном Kubernetes безопасности и изоляции действительно нет и быть не может. Каждое облачное развертывание Kubernetes-as-a-Service изобретает собственные средства межпроектной/клиентской изоляции.
Обычно для этого используется виртуализация. Red Hat придумал OpenShift с его специфическими ограничениями выполнения кода через SELinux и отжим root.
Ну вот придумали пихать виртуализацию в микросервисы и предоставлять "Function-as-a-Service". Вас-то отчего попрыщило? Аллергия на то, что среди прочих участников разработки есть MS? То есть если бы всё это сделал Google или Amazon, то было бы супер?
Судя по описанию с гитхаба это микровиртуалки на обычном KVM и т.д., но без ядра/оси, то есть код запускается на голом виртуализированном железе. А всё взаимодействие происходит через Hyperlight Guest library на хосте и в виртуалке.Зачем? Упрощение, ускорение и т.д.
А вообще гоу на гитхаб, там всё написано.
На что только люди не идут лишь бы дырявый код не переписывать...
Если бы можно было просто взять дырявый код и переписать в недырявый, все бы так и делали. Помимо принципиальной невозможности уменьшить дырявость, при переписывании без актуализации требований к продукту мутирует бизнес логика (даже если в команде только сильные программеры). По большому счету это равносильно созданию новой версии продукта с нуля. У этих мероприятий есть вполне конкретная стоимость.
С точки зрения самоуверенных неопытных программистов, которые считают себя гениями, способными из большой кучи г сделать кондитерскую, все надо переписывать. На практике это страдания на годы, обычно заканчивающиеся закрытием проектов (и началом новых с возросшим энтузиазмом). При том, что даже проблемное легаси вполне можно привести в более или менее поддерживаемое состояние, намного быстрее и куда меньшими ресурсами.
Но сабж вообще не об этом. Он про изоляцию кода, который поддерживаете не вы. Вам предписано его только использовать. Не вам решать, переписывать или нет.
Обычно переписанное молодыми гениями становится еще большей кучей говна.)
От кода зависит.
Если проблема только в отсутствии проверок или плохих структурах - то можно и переписать.
А если там еще кривая архитектура.. то иногда проще выкинуть и написать заново.В итоге все равно будет экономия на ТЗ, тестпланах и прочих сопутсвующих вещах.
Кек, будто они с коммитов его побегут перезаписывать
Твой недырявый код, размером побольше, чем хэловрот мы, конечно же, не увидим?
Как всегда: ни в MS, ни в Google, ни среди коммитеров в линукс ядро нет умеющих писать недырявый код, а есть такие мастера только в комментариях на опеннете.
Мы даже знаем почему именно у таких вас код недярвый - потому, что если код не писать, то и ошибок в нём не сделать. Великие мастера бесконтактного боя прошедшие этап культивации и уже достигшие этапа возвышения, проводящие всё время в медитациях, а не боях.
А где взять недырявые процессоры ?!))) Тут никакая виртуализация не поможет)))
Даёшь каждому процессу по собственному компьютеру! Так точно будет безопасТно.
Это уже было в девяностые. Это у нас сервер бд, это веб-сервер, а это — ФТП-сервер для важных файлов. И бэкапы админ делает каждую пятницу с записью в Журнал Учёта Резервных Копий под подпись и с заверением главного.
История идёт по спирали. Только ещё нужно назначить по выделенному админу на каждый сервер, это решит проблему безработицы.
И эти компьютеры должны быть изолированными, отключены от всяких сетей.
Невооружённым взглядом видна только тенденция - как минимум МС новые проекты, которые раньше писались бы на Си, частенько выкатывает на Rust.
Всегда были мертворождённые поделки, тут ничего удивительного. На си МС не пишет уже лет 20, раньше такое на бейсике или на жс писалось.
MS совершенно не всё делает хорошо. Смотри историю мессенджеров, например. Смотри юзабилити их веб интерфейсов. Смотри их неспособность сделать одинаковый функционал Офиса на разных платформах.Среди хорошо сделанного есть большое множество плохих реализаций.
> гипервизор, предназначенный для встраивания в приложения с целью изолированного выполнения кода, не заслуживающего доверия или требующего особой защитыОК. Но кто сказал, что гипервизор заслуживает доверия?
Ну, открытые двери для ЦРУ и АНБ. Которым можно доверять))). Сарказм.
> встраивания в приложения с целью изолированного выполнения кода, не заслуживающего доверияСерьезно? Встраивать в приложение код, не заслуживающий доверия?
Любое приложение при запуске подтягивает общие библиотеки, написанные на языке, не заслуживающем доверия. И работает в операционной системе, написанной на языке, не заслуживающем доверия. И никого это не напрягает. А тут просто придумали костыль, как сделать что-то небезопасное чуть безопаснее.
а теперь поясни, как ты заставишь очередных вирусописателей использовать эту библиотеку.
Вы не различаете концепции "встраивать код в приложение" и "подтягивать библиотеки при запуске"? Под словом "код", тем более - встриваемым, очевидно, понимают исходные коды на языке программирования того или иного уровня, но не скопмилированные модули (библиотеки или исполняемые модули). При наличии исходных кодов необходимо контролировать его безопасность и нет необходимости в особых мерах изоляции.
> Встраивать в приложение код, не заслуживающий доверия?Два современных источника подозрительного кода:
- ИИ,
- вебня.В обоих случаях код прилетает откуда-то из вселенной, где никто ничего не обещает.
И это выбор образа жизни хомячков - целевая аудитория MS.
Вроде как ты прав, а потом я вспоминаю историю с ХЗ библиотекой, где источник кода был самый-самый заслуживающий доверия и все равно бекдор внедрили.
Причем как раз из самой опенсорсной вселенной опенсорса.. где тоже никто ничего не обещает)> И это выбор образа жизни хомячков - целевая аудитория MS.
Хахаха, а линуксятники наверное каждую строку кода проверяют.
То-то в ядре АНБшный бекдор жил 10 лет.
Это вы про SELinux? Так он до сих пор живёт, только название немного поменяли.
> Это вы про SELinux? Так он до сих пор живёт, только название немного поменяли.Ладно, два бекдора))
Я писал про Bvp47, но уверен что их там гораздо больше.
Привет, "нечитатель, а писатель".
Читать предложения полностью, а не кусками, которые умещаются в твою маленькую "оперативную память", не пробовал?Не
> встраивания в приложения с целью изолированного выполнения кода, не заслуживающего доверияа
> гипервизор, предназначенный для встраивания в приложенияВ приложение встраивается не недоверенный код, а гипервизор.
Да сразу функцию Main нужно запускать из под этого гипервизора.)))
Вижу пользу такую:
Например, используешь купленную DLL для манипуляции PDF-файлами.
И есть подозрение, что в DLL есть баги выхода за границы буфера и следовательно портится память в вызывающем коде. Теперь, видимо, можно DLL как то изолировать будет
термин untrusted CPU еще не хайповый? Есть же red–black architecture или это не для смертных?
Это не защитит от проблем с несанкционированным доступом к чужой памяти
а ну да, я же забыл, что у нас все яйца в одной корзине :)
Что мелочиться то ? Да сразу функцию Main нужно запускать из под этого гипервизора.)))
предвижу запуск отдельных функций в сендбокс эмуляторах иных архитектур, куда "безопасТней" будет.
Это уже паравиртуализация или ещё нет?
Этот Hyperlight, по своему описанию, очень похож на такую штуку как экзоядро.
Для каких-то ответственных сервисов вполне может взлететь.
Это напоминает firecracker-vm, тоже для реализации FaaS (function as a service).
Но, порожденное Амазонон, МС использовать не может, нужно свое.
Вполне могу согласиться.
Тут скорее вопрос классификации - все эти гипорсветы, огнеколки и прочие униядра занимаются тем, что по месту забирают у подлежащей под ними ОС часть её основных функций.А это было проработано в начале 90-х в академических экзоядерных прототипах. Просто тогда это оказалось коммерчески невостребовано. В отличие от нынешних облачных дней.
> В Hyperlight задержки при создании виртуальных машин составляют 1-2 миллисекунды
> запуск изолированного sandbox-окружения для выполнения WebAssembly-кода [..] занимает 0.03 миллисекунды.Ну и смысл тогда в чём? Ихняя виртуальная машина будет быстрее, только если код в ней выполняется однократно или небольшое число раз. Если же гонять его надо сотни раз, то накладные расходы на jit поделятся на 100, и... А если код выполняется однократно, то так ли ему нужна скорость выполнения? При этом, wasm это настоящая виртуалка, а не дырявый процессор пытающийся изолировать выполнение кода.
Посоны, не забывайте, что любая виртуализация от Microsoft делается с прицелом на SEV-виртуалки, которые являются вещью что-то вроде SGX-анклавов, но круче. Если в анклавах запускается только ring-3 код, то в SEV-виртуалках можно запустить целую ОС при желании. Но иногда ОС не нужна, а нужен аналог SGX. Вот указанная штука - это и есть аналог SGX с такой же моделью использования, чтобы код, который для SGX портировать под SEV с минимальными издержками.
P.S. AMD SEV работает на основе Microsoft Pluton.
м-м-м, а кто-то уже завернул это в питоновый патоз? вон азуре упомянуто же уже!
Как по мне, это очередная инициатива сделать веб более закрытым. Сегодня я в любом браузере могу нажать Ctrl+Shift+I и наглядно увидеть, что происходит в кишках сайта. Могу написать UserJS скрипт для изменения контента на странице, изменения стиля, заблокировать рекламу и т.п.Но WebAssembly это шаг к тому, чтобы мы это не смогли, если код выполняется к скомпилированном .wasm файле без дебага, а Hyperlight тут будет дополнительным барьером.
И хоть этот проект и не связан с Silverlight, на который они вместе с отменой Flash забили. Но идея такая же - превратить веб-браузеры в исполнялки закрытого кода, любой веб сайт будет "котом в мешке" и сможет делать не пойми какую хрень, блокировщики рекламы и подобные инструменты станут бесполезны.
Такой веб нас ждет в ~2030 году?
> Но идея такая же - превратить веб-браузеры в исполнялки закрытого кодаКто тебе мешает написать собственный браузер?
А что помешало мацкрософту написать свой движок газель? Случайно не w3c и его прихвостни?
В котором будет открываться только OpenNet - проверку DRM не проходит, разрабы рожей не вышли.
TEE DRM + Private Access Tokens (Web Environment Integrity от Apple, поддерживаемое везде, включая Хром, именно поэтому Googlag отступился от WEI - есть стандарт, дающий то же самое, но который в добавок есть и у эппла (которым нафиг не упёрлось продвигать гугловские стандарты, как крупный и более влиятельный вендор устройств, чем Googlag, Apple имело влиязние чтобы навязать свой стандарт) )
> Как по мне, это очередная инициатива сделать веб более закрытым.Это даже не про веб история. Да, выглядит как перекрытие доступа к источникам высокого уровня жизни для большинства. Примерно 10тыс.лет так и мыслили, закрывая другим источники печенек и ништяков - еда, золото, камушки. Те, кому не пришлось преодолеть это стали странами третьего мира. Или исчезли как страна (см. как развалились Венеция, Рим и у Майя). Венеция и Рим - пример, как относительно недавно сами себя порешили без чужой помощи.
Но, скорее, что истина посередине. Много инноваций не состоится: из-за ограничения доступа к коду меньше людей сможет применить себя, развитие затормозится. Однако, эта изоляция - способ не отбрасывать другой код и использовать. Что даст рост как минимум какое-то время. Но в итоге, может быть, помешает вырости больше, чем это возможно.
> Венеция и Рим - пример, как относительно недавно сами себя порешили без чужой помощи.Рим, в некотором смысле сам себя порешил, но "сам себя" ведь подразумевает сознательное действие, или хотя бы отсутствие сознательного действия которое бы предотвратило "порешение", так? Но Рим чётко понимал, что он катится в финансовую яму, и сделать с этим ничего не мог. В Древнем Риме экономика была выстроена на золоте, золото было валютой, но золотые рудники иссякли, а вот китайские шелка римляне продолжали экспортировать. Китай же, в своих извечных традициях, был готов продавать ништяки за драгметаллы, но покупать что-либо отказывался. Таким образом римское золотишко-то утекало в Китай, и утекало, и утекало... До тех пор, пока дефицит валюты не запустил дефляцию, а дефляция включает цикл с обратной связью: если ценность валюты растёт со временем, то выгоднее накапливать валюту под матрасом, чем тратить её. Соответственно те, кто может себе такое позволить, начинают копить валюту, их накопления исключаются из движущейся массы валюты, и как бы не существуют, то есть активной валюты становится ещё меньше, что ускоряет дефляцию, что добавляет мотивации не тратить денег, а подождать когда те ещё подорожают. И экономика Древнего Рима коллапсировала, а без экономики они не могли ни легиона собрать, ни хлеба и зрелищ обеспечить, ничего. Древний Рим видел, куда всё катится, но сделать он ничего не мог. И поэтому, я б не говорил, что он сам себя порешил.
Вот в отношении Венеции, наверное, можно сказать, что она сама себя. Она почивала на лаврах, вместо того, чтобы гнаться за технологическим прогрессом. Она очень долго болт забивала на Оттоманскую Империю, считая что та ей в подмётки не годится и не стоит её внимания. А когда Венеция обратила внимания на турок, было уже поздно. То есть, теоретически говоря, Венеция могла бы работать над тем, чтобы свой гребной флот ставить под парус, и в целом работать над тем, чтобы её флот оставался бы наилучшим флотом на Земле. Но я не настолько знаю, как Венеция была устроена, и насколько централизованное принятие решений могло повлиять на расклад. И как бы там не было, Венеция совершенно не подозревала, что вдруг начнётся эпоха Великих Открытий, и кто-то найдёт обходной путь в Индию, который Венеция никак не сможет контролировать без океанского флота. С этой точки зрения, Венеция вовсе не сознательно себя убивала, и не сознательно не пыталась себя спасти. Она не осознавала куда катится мир, и поэтому не могла адекватно подготовится к этому.
Ведь так же чисто теоретически, Древний Рим мог бы изобрести fiat money, избавиться от зависимости от золота, и получить возможность рулить торговым балансом с Китаем. Но я б такой фейл модернизации экономики не записывал бы в сознательное действие, и как следствие не называл бы "порешал сам себя".
> Майя
А что Майя? Насколько я знаю, наука не смогла придти к единому мнению, с чего вдруг цивилизация Майя развалилась. Есть масса гипотез, вплоть до экологических проблем от перенаселения, но что именно произошло неясно. Возможно в ближайшие десятилетия мы узнаем, потому что сейчас люди чуть ли не в гугломапсах находят неизвестные ранее города Майя, и археологи не знают даже с чего начать раскопки. Но пока археологи не определились с приоритетами городов, пока они не раскопали десяток городов, мы вряд ли узнаем определённо, чего это вдруг Майя загнулись.
> Много инноваций не состоится: из-за ограничения доступа к коду меньше людей сможет применить себя, развитие затормозится
На календарь давно глядел? Сегодня не 80-е годы прошлого века. Сегодня машинный код/байткод не такое уж и препятствие. Люди умудряются отревёрсить GTA, чтобы та скомпилировалась и запустилась. Люди ревёрсят в своём подвале 80386, не то что GTA. И возможности реверса продолжают развиваться. Так что я б не полагался на то, что "много инноваций не состоится", может ровно наоборот, много состоится, потому что будет некоторый барьер, который надо будет преодолеть, прежде чем инновировать: надо будет научиться в реверс. Не будет очередного бума доткомов, когда совсем уж бездарности открывали фирмы и клепали в FrontPage Express сайтики на продажу. Отсутствие необходимости конкуренции с такими, может, наоборот, пойти на пользу процессу.
Проблема с ревёрсингом сайтов вовсе не в том, что они там обфусцированы или в байткод скомпилированы, а в том, что сайт в любой момент может поменять свой код, и все твои тулзы основанные на реверсе сайта станут бесполезными. Требуются постоянные усилия, чтобы отлавливать такие моменты и снова ревёрсить API сайта.
Сколько наблюдаю MS все какие-то среды изолирования, песочницы лепят. Но ни разу не видел что-бы что-то из этого сработало так как задумывалось.
Да сразу функцию Main нужно запускать из под этого гипервизора.) Чтоб не сомневаться)