Состоялся релиз гипервизора Xen 4.20 с улучшенной безопасностью и производительностью

Команда Xen Project, занимающаяся разработкой гипервизора с открытым исходным кодом при поддержке Linux Foundation, объявила о выпуске Xen 4.20. Новая версия предлагает улучшенную безопасность, оптимизацию производительности и расширенную поддержку архитектур x86, ARM, а также начальную стадию поддержки RISC-V и PPC. Это важный шаг для укрепления позиций Xen как ведущего open-source гипервизора для облачных вычислений, встроенных систем и корпоративных приложений.  

«Безопасность и производительность остаются ключевым элементом в рамках разработки Xen», — заявила Келли Чой, менеджер сообщества проекта Xen. — «Xen 4.20 представляет собой важный этап в развитии технологий виртуализации, предоставляя предприятиям, облачным провайдерам и производителям оборудования высокомощные решения, отвечающие требованиям современной корпоративной инфраструктуры».  

Ключевые возможности и улучшения в Xen 4.20  

Xen 4.20 включает улучшенные механизмы безопасности, расширенную поддержку процессоров и важные доработки гипервизора, делающие виртуализацию более надежной и эффективной. По сравнению с предыдущей версией, Xen 4.20 демонстрирует повышенную производительность инструментов интроспекции, улучшенные возможности сквозной передачи устройств (passthrough) и механизм сегментирования кэша (т.н. раскраска кэша, cache coloring). Новая версия также расширяет поддержку современных корпоративных архитектур, включая оптимизации для процессоров Zen 5. С акцентом на удобство использования и производительность Xen 4.20 упрощает управление виртуальными машинами, одновременно повышая уровень безопасности системы за счет комплексных мер по устранению уязвимостей. Далее, мы приведем все детали, касающиеся улучшений, как они представлены на сайте самого проекта:

Улучшения безопасности и качества кода

• Расширенное соответствие стандарту MISRA C: интеграция сканера ECLAIR MISRA C в GitLab CI с соблюдением 90 правил и нулевым количеством необоснованных нарушений.  

• Включение UBSAN (Undefined Behaviour Sanitiser) по умолчанию для x86, Arm64, RISC-V и PowerPC в GitLab CI.  

• Интеграция двух существующих фаззинговых тестов в OSSFuzz.  

Улучшения ядра гипервизора

• Исправления в спецификации протокола blkif для секторов размером не 512 байт.  

• Улучшения безопасности и производительности: сборщик доменов в libxenguest больше не распаковывает вторичные модули (оставляя эту задачу ядру гостевой системы).  

• Продолжение работ по разделению общего и архитектурно-зависимого кода, включая улучшенные вспомогательные функции для работы с битами (поиск битов и вычисление веса Хэмминга).

Обновления для конкретных архитектур  

Улучшения для x86 

• Поддержка функции Paging-Write на процессорах Intel: обеспечивает более эффективный мониторинг обновлений таблиц страниц гостевых систем, снижая накладные расходы при нарушениях EPT.  

• Поддержка процессоров AMD Zen 5, включая защиту от спекулятивной уязвимости SRSO.  

• Перевод драйвера xAPIC flat в режим физического назначения (physical destination mode) для внешних прерываний вместо логического режима (logical destination mode).  

• Улучшение загрузки Xen (и перезагрузки) в стандартной конфигурации на проблемных EFI-прошивках. Это достигнуто за счет отказа от использования методов `GetTime()` и `ResetSystem()`, которые могут работать некорректно в некоторых реализациях EFI.   

Кроме того, была значительно переработана система обработки загрузочных модулей (часть продолжающейся работы над Hyperlaunch) и кардинально изменен процесс сборки и компоновки 32-битного кода ранней загрузки (часть подготовки к поддержке UEFI SecureBoot).  

Улучшения для ARM  

• Поддержка раскраски кэша последнего уровня (LLC coloring) для оптимизации производительности.  

• Экспериментальная поддержка архитектуры Armv8-R.  

• Поддержка семейства процессоров NXP S32G3 и драйвера UART LINFlexD.  

• Улучшения в FF-A (Firmware Framework for Arm): добавлена поддержка косвенных сообщений, улучшена передача буферов RXTX в SPMC, исправлены процессы согласования версий и получения информации о разделах.  

• Обработка запросов SCMI: базовая поддержка обработки запросов SCMI через SMC с использованием разделяемой памяти, включая перенаправление вызовов в прошивку EL3 при их поступлении из аппаратного домена.  

• Подготовка к сертификации безопасности: добавлено 43 требования, структурированных по категориям (рынок, продукт, дизайн). Для связывания требований используется инструмент OpenFastTrace.  

Прогресс в поддержке RISC-V и PowerPC

• RISC-V: улучшения в отображении дерева устройств (device tree) и инициализации подсистемы управления памятью.  

• PowerPC: улучшения в механизмах выделения памяти на ранних этапах загрузки.

Источник