Выпуск гипервизора Xen 4.15

После восьми месяцев разработки опубликован релиз свободного гипервизора Xen 4.15. В разработке нового выпуска приняли участие такие компании, как Amazon, Arm, Bitdefender, Citrix и EPAM Systems. Выпуск обновлений для ветки Xen 4.15 продлится до 8 октября 2022 года, а публикация исправлений уязвимостей до 8 апреля 2024 года.

Ключевые изменения в Xen 4.15:

  • Для платформы ARM реализована экспериментальная возможности выполнения моделей устройств на стороне хост-системы dom0, что позволяет эмулировать произвольные аппаратные устройства для гостевых систем на базе архитектуры ARM. Для ARM также реализована поддержка SMMUv3 (System Memory Management Unit), позволяющая повысить безопасность и надёжность проброса устройств на ARM-системах.
  • Добавлена возможность использования механизма аппаратной трассировки IPT (Intel Processor Trace), появившемся начиная с CPU Intel Broadwell, для экспорта данных из гостевых систем в отладочные утилиты, запущенные на стороне хост-системы. Например, можно использовать VMI Kernel Fuzzer или DRAKVUF Sandbox.
  • Добавлена поддержка окружений Viridian (Hyper-V) для запуска гостевых систем с Windows, использующих более чем 64 VCPU.
  • В процессах Xenstored и oxenstored реализована экспериментальная поддержка live-обновлений, позволяющих доставлять и применять исправления уязвимостей без перезапуска хост-окружения.
  • Модернизирована прослойка PV Shim, применяемая для запуска немодифицированных паравиртуализированных гостевых систем (PV) в окружениях PVH и HVM, позволяя обеспечить работу старых гостевых систем в более безопасных окружениях, предоставляющих более строгую изоляцию. В новой версии улучшена поддержка запуска гостевых систем PV в окружениях, поддерживающих только режим HVM. Уменьшен размер прослойки, благодаря сокращению специфичного для HVM кода.
  • Добавлена поддержка унифицированных загрузочных образов, дающих возможность создавать системные образы, включающие и компоненты Xen. Подобные образы оформлены в виде одного бинарного файла для EFI, который можно использовать для загрузки работающей Xen-системы напрямую из загрузочного менеджера EFI без промежуточных загрузчиков, таких как GRUB. В образ включаются такие компоненты Xen, как гипервизор, ядро для хост-окружения (dom0), initrd, Xen KConfig, настройки XSM и Device Tree.
  • Расширены возможности драйверов VirtIO на системах ARM. Для систем ARM предложена реализация сервера IOREQ, который в дальнейшем планируется использовать для усиления виртуализации ввода/вывода c использованием протоколов VirtIO. Добавлена эталонная реализация блочного устройства VirtIO для ARM и предоставлена возможность передачи блочных устройств VirtIO в гостевые системы на базе архитектуры ARM. Началось включение поддержи виртуализации PCIe.
  • Продолжается работа по реализации порта Xen для процессоров RISC-V. В настоящее время ведётся разработка кода для управления виртуальной памятью на стороне хоста и гостевых систем, а также создание специфичного для архитектуры RISC-V кода.
  • Совместно с проектом Zephyr на основе стандарта hMISRA_C развивается набор требований и руководств по оформлению кода, снижающих риски появления проблем с безопасностью. Для выявления расхождений с создаваемыми правилами применяются статические анализаторы.
  • Представлена инициатива Hyperlaunch, нацеленная на предоставления гибких инструментов для настройки запуска статического набора виртуальных машин во время загрузки системы. Инициативой предложена концепция domB (boot domain, dom0less), позволяющая обойтись без развёртывания окружения dom0 при запуске виртуальных машин на ранней стадии загрузки сервера.
  • В системе непрерывной интеграции обеспечено тестирование Xen в Alpine Linux и Ubuntu 20.04. Прекращена проверка CentOS 6. В окружение непрерывной интеграции для ARM добавлены тесты dom0 / domU на базе QEMU.
Release. Ссылка here.