泰晓资讯·09月 / 第三期 / 2019

“泰晓资讯”，广泛报道 “Linux/开源” 业界资讯。欢迎广大读者投递相关资讯来源和素材，本站将进一步收集整理后发布给大家。

Linux Kernel 5.3正式发布

This release includes support for AMD Navi GPUs; support for the umwait x86 instructions that let processes wait for short amounts of time without spinning loops; a ‘utilization clamping’ mechanism that is used to boost interactivity in the power-asymmetric CPUs used in phones; a new pidfd_open(2) system call that completes the work done to let users deal with the PID reuse problem; 16 millions of new IPv4 addresses in the 0.0.0.0/8 range are made available; support for Zhaoxin x86 CPUs; support Intel Speed Select for easier power selection in Xeon servers; and support for the lightweight hypervisor ACRN, built for embedded IoT devices. As always, there are many other new drivers and improvements.

Linus Torvalds 于15 Sep 2019 宣布了 Linux 5.3 内核版本。本次重大版本更新引入了几项新的功能，数十项改进并对驱动进行了优化升级。Linux 5.3 内核开发工作历时两个多月，先后经历了 8 个候选版本，改善硬件支持，提高了整体性能。

Linux 5.3 版本的新增支持包括：对 AMD Navi GPU 的支持；支持 umwait x86 指令，让进程无需自旋即可实现等待很短的时间；引入 “utilization clamping” 机制，用于提高使用非对称电源特性 CPU 的移动终端上的交互性能；新增一个系统调用 pidfd_open()，可用于解决 PID 重用问题；支持使用 0.0.0.0/8 范围内 1600 万个新 IPv4 地址；支持 Zhaoxin x86 CPU；支持 Intel Speed Select，以便在 Xeon 服务器中更轻松地对电源进行选择；支持专为嵌入式物联网设备而构建的轻量级管理程序 ACRN。 除了上面列举的较大特性外，与往期版本一样，还包括了许多其他新的驱动。

关键词: Linux，v5.3

内核代码提交流程的安全问题咨待改进

A typical kernel development cycle involves pulling patches from over 100 repositories into the mainline. Any of those pulls could conceivably bring with it malicious code, leaving the kernel (and its users) open to compromise. The kernel’s web of trust helps maintainers to ensure that pull requests are legitimate, but that web has become difficult to maintain in the wake of the recent attacks on key servers and other problems. So now the kernel community is taking management of its web of trust into its own hands.

典型的内核开发流程中涉及将来自 100 多个 repositories 的补丁合并入主线。 任何这些合并操作都可能引入恶意代码，给内核（及其用户）带来潜在的风险。

就在 2011 年时，还没有什么成熟的机制来帮助内核维护者验证他们收到的 pull request 请求来源的合法性问题。 如果发送请求的电子邮件 “看起来” 合法，并且建议的代码更改也 “看起来” 有意义，则合并操作就会执行。这导致潜在的冒名提交以及篡改提交等等恶意的合并请求发生。最近发生的对密钥服务器的攻击以及其他的问题，这个问题变得愈发严重起来。内核社区正在努力，争取在合作与信任上建立一套完善的机制，而不是像现在这样基于简单原始的邮件签名。

关键词: Linux

内核有待引入运行时安全检测机制

Finding ways to make it easier and faster to mitigate an ongoing attack against a Linux system at runtime is part of the motivation behind the kernel runtime security instrumentation (KRSI) project. Its developer, KP Singh, gave a presentation about the project at the 2019 Linux Security Summit North America (LSS-NA), which was held in late August in San Diego. A prototype of KRSI is implemented as a Linux security module (LSM) that allows eBPF programs to be attached to the kernel’s security hooks.

KRSI 项目全称 Kernel Runtime Security Instrumentation，这个项目的主要目的是希望能够更加方便地降低 Linux 在运行过程中遭受攻击所带来的风险。项目的开发者 KP Singh 在圣地亚哥八月下旬举行的2019 Linux Security Summit North America (LSS-NA)上介绍了这个项目。KRSI 的原型已经通过 LSM (Linux security module) 的形式实现出来，可以将 eBPF program 挂载到 kernel 的 security hook 上。

在谈到研发 KRSI 的动机时，Singh 认为系统的安全管理工作主要包括两方面，一方面是对系统异常活动的检测（这称之为 signals）；另一方面是在检测到异常行为之后所采取的补救措施（称之为 mitigations）。而目前的内核缺乏一套统一的方案能够将两者紧密地联系起来。而这就是 KRSI 所需要提供的能力了。

关键词: Linux，Security

内核提交补丁流程讨论

For all its faults, email has long proved to be an effective communication mechanism for kernel development. Similarly, Git is an effective tool for source-code management. But there is no real connection between the two, meaning that there is no straightforward way to connect a Git commit with the email discussions that led to its acceptance. Once a patch enters a repository, it transitions into a new form of existence and leaves its past life behind. Doug Anderson recently went to the ksummit-discuss list with a proposal to add Gerrit-style change IDs as a way of connecting the two lives of a kernel patch; the end result may not be quite what he was asking for.

长久以来 email 一直是 linux kernel 开发过程中的主要交流方式，尽管它还有这样那样的问题。同样的，Git 则是代码管理方面所使用的主要工具。不过这两者之间其实毫无关联，也就是说，没有什么直接的方法能把 Git commit 和相应的 email 讨论给关联起来。patch 合入 repository 时并不会带上和该 patch 相关的邮件讨论信息。Doug Anderson 近来在 ksummit-discuss list 上提了个建议，希望能采用像 Gerrit 类似的 change ID 方案，从而把 kernel patch 的这两段完全不同的 “人生经历” 给关联起来。社区提出了很多的意见，但显然并没有达成什么一致，因为这实在是一个与个人体验相关的东西，对于这类话题，或许 “just show me the code” 才是最好的回答。

关键词: Linux

Java 编程语言最新版本 JDK 13 发布 — 龙芯中科贡献度居全球前 5

2019 年 9 月 17 日，国际知名的 OpenJDK 开源社区发布了 Java 编程语言环境的最新版本 OpenJDK13。与此同时，龙芯中科也同步发布基于 OpenJDK 13 的龙芯平台 Java 环境。

在过去两年中，龙芯中科 Java 团队深度参与了 OpenJDK 开源社区的最新版本研发工作，作出了大量创新性贡献。根据 JDK 13 发布新闻中的统计报告，龙芯中科对 JDK 13 的研发贡献度排在 Oracle、Red Hat、SAP 和 Google 之后，居全球第 5 位。

Java 是全球最流行的编程语言之一。自 2017 年发布的 Java 9 开始，Java 平台从基于特性的发布模式变为基于时间的发布模式。每年 3 月和 9 月，即每隔 6 个月的时间，会有一个新版本的 Java 发布，这使得开发者持续使用新特性成为了可预期的事情。2019 年 9 月 17 日，Java 13 如期而至。

关键词: Java，龙芯中科

联系我们

资讯内容部分来自 “LWN.net“。如果您对某些 LWN 文章感兴趣（譬如希望获得全文翻译的）请扫描二维码加微信联系我们：