Исходное сообщение
"Отчёт о развитии FreeBSD за третий квартал 2016 года" Отправлено opennews, 16-Ноя-16 12:35
Опубликован (https://www.freebsd.org/news/status/report-2016-07-2016-09.html) отчёт о развитии проекта FreeBSD с июля по сентябрь 2016 года. Основные достижения: -   Система -  Продолжается работа по обеспечению использования (https://wiki.freebsd.org/LLD)  компоновщика lld, развиваемого проектом LLVM, для динамического связывания объектных файлов FreeBSD. В дополнение к ранее реализованной возможности сборки базовой системы  FreeBSD/amd64 с применением lld вместо GNU BFD ld, добавлена поддержка сборки ядра FreeBSD. Из пока нерешённых задач упоминаются проблемы со сборкой загрузчика и набора rescue. Из расширенных возможностей lld, отсутствующих в GNU ld 2.17.50, отмечается поддержка архитектуры  AArch64 (arm64), возможность применения оптимизаций во время компоновки (Link Time Optimization, LTO), поддержка нового ABI, дополнительные оптимизации и существенное ускорение связывания; -  Переработана система блокировок в компонентах ядра, связанных с обработкой точного времени, в том числе внесены изменения в обработчик прерываний от таймера системные вызовы sys_ntp_adjtime(2)  и settimeofday(2) и код синхронизации PPS (pulse-per-second). Улучшена реализация функции gettimeofday(2) на уровне пользователя, в которой сокращено число обращений к системным вызовам на оборудовании с таймерами HPET (High Precision Event Timer); -   Изолированные окружения, эмуляторы, безопасность и ограничения ресурсов -  Продолжена работа по изоляции системных приложений при помощи фреймворка Capsicum (http://www.cl.cam.ac.uk/research/security/capsicum/), предоставляющего (https://www.opennet.ru/opennews/art.shtml?num=40110) механизмы  ограничения использования приложениями определённых системных функций. Основной целью работы является повышения защиты утилит, вызываемых из приложений, важных для обеспечения системной безопасности, таких как freebsd-update и portsnap. За отчётный период обеспечена sandbox-изоляция  для утилит     bspatch, cmp, ident, primes, tee, tr и write. Ожидают принятия дополнительные ограничения для утилит: b64decode, b64encode, uudecode, uuencode, brandelf, dma-mbox-create, elf2aout, file, head, hexdump, iconv, ident, jot, ktrdump, lam, last, ministat, praudit и     strings. В режиме capability разрешено использование системного вызова getdtablesize и sysctls kern.proc.nfds, kern.hostname и т.п. Переданные права теперь распространяются и на дочерние файловые дескрипторы, полученные через вызов accept(2). Capsicum активирован в прослойке для обеспечения совместимости с  32-разрядными системными вызовами; -  Представлен новый специализированны дистрибутив ClonOS (http://clonos.tekroutine.com), ориентированный для развёртывания систем виртулизации на основе FreeBSD, похожих по своей функциональности на OpenStack, OpenNebula и Amazon AWS. Окружения строятся с использованием гипервизоров Bhyve и Xen или контейнеров Jail. Управление построено на основе инструментария CBSD (https://www.bsdstore.ru/ru/about.html) и системы Puppet. Из особенностей проекта отмечается  организация сетевого взаимодействия через vale (https://man.freebsd.org/vale/4) (Virtual Ethernet Switch), поддержка ZFS, функции клонирования, экспорта и импорта виртуальных машин, легковесные контейнеры на базе Jail, шаблоны контейнеров и виртуальных машин, VNC-терминал; -  Ведётся работа по портированию приложений для runtime-окружения CloudABI (https://github.com/NuxiNL/cloudlibc), базирующегося (https://nuxi.nl/) на применении механизма управления доступом Capsicum и предоставляющего средства для разработки приложений, защищённых от типовых уязвимостей и переносимых между разными системами. CloudABI также может применяться для безопасного для системы запуска не заслуживающих доверия программ, без применения окружений виртуализации и jail. Для пользователей развивается отдельная  коллекция портов (https://github.com/NuxiNL/cloudabi-ports), в которую включены (https://github.com/NuxiNL/cloudabi-ports/tree/master/packages) варианты типовых утилит и библиотек, кросс-компилируемых для  CloudABI. В последние месяцы для CloudABI портирован Python 3.6, что позволяет запускать python-скрипты в режиме изоляции. Кроме amd64 и arm64 обеспечена поддержка  платформ i686 и armv6; -  Подготовлена (https://github.com/lwhsu/FreeBSD-vboxfs) начальная реализация драйвера для организации совместного доступа к выборочным каталогам хост-системы из гостевых систем, работающих под управлением VirtualBox. В текущем состоянии драйвер уже позволяет монтировать каталоги хост-системы в режиме только для чтения и, с некоторыми ограничениями, в режиме чтения-записи; -  Продолжается развитие набора драйверов (https://wiki.freebsd.org/HyperV) для работы в гостевых системах под управлением гипервизора Hyper-V и облачной платформы Azure. За отчётный период значительно улучшен драйвер для систем хранения, производительность которого возросла в 1.2-2 раза, благодаря задействованию  BUS_DMA и UNMAP_IO. В драйвере VMBus расширена поддержка горячего извлечения и добавления устройств. В сетевом драйвере появилась поддержка настройки RSS и динамического изменения MTU. Обновлены сборки FreeBSD для Azure. Подготовлены патчи для поддержки прямого проброса в гостевую систему устройств PCIe; -  Подготовлен инструментарий для преобразования файлов аудита в  форматах, используемых в Linux и Windows, в формат логов системного аудита BSM (Basic Security Module), применяемый во FreeBSD. В auditdistd добавлена возможность приёма по сети логов аудита в различных форматах с сохранением на диск в формате BSM; -   Системы хранения и файловые системы -  Реализация файловой системы ZFS синхронизирована с кодовой базой проектов OpenZFS и Illumos. В кэше ARC (Adaptive Replacement Cache) обеспечено сохранение данных в сжатом виде с распаковкой на лету. В кэше второго уровня (L2ARC) обеспечивает сохранение тех же сжатых данных как и в ARC без применения переупаковки, что заметно снижает потребление ОЗУ. С 16 до 128 Кб увеличен максимальный размер блока косвенной адресации (indirect block), добавлена поддержка упреждающей загрузки косвенных блоков. Улучшена работа операций упорядочивания распределения дискового пространства. Добавлена поддержка алгоритмов хэширования SHA-512t256 и Skein; -   Сетевая подсистема -  Во FreeBSD head, stable/11 и stable/10 принята улучшенная реализация подсистемы непрозрачных мостов PCIe (PCI-Express Non-Transparent Bridge (https://www.kernel.org/doc/Documentation/ntb.txt)), предоставляющей средства для объединения двух компьютеров по шине PCIe с организацией общих окон доступа к памяти. Новая реализация основана на применении интерфейсов NewBus и разделена на модули, что упрощает добавление поддержки дополнительных типов оборудования, требующих разных драйверов, а также позволяет запускать несколько экземпляров NTB в одной системе. Добавлена возможность разделения ресурсов NTB между двумя приложениями, которые могут получить прямой доступ к разным областям памяти внешнего хоста. Существенно расширены возможности драйвера виртуального сетевого интерфейса NTB. Увеличена производительность и масштабируемость; -  Добавлен новый драйвер if_ptnet с реализацией паравиртуализированного сетевого адаптера, соответствующего модели устройства ptnet для гипервизора bhyve. Драйвер  может работать как в нормальном режиме, так и в режиме netmap, и обеспечивает достойную производительность при обеспечении связи между виртуальными машинами. Например, если ранее предлагаемый драйвер мог передавать данные в рамках одного TCP-соединения на скорости около 2 Gbps, то новый драйвер позволяет достигнуть скоростей уровня 20 Gbps; -   Поддержка оборудования -  В рамках работы по улучшению поддержки сенсорных экранов во FreeBSD обеспечена поддержка API evdev, предоставляющего интерфейс /dev/input/eventX, совместимый с Linux. Evdev может применяться для обработки событ... URL: https://www.freebsd.org/news/status/report-2016-07-2016-09.html Новость: https://www.opennet.ru/opennews/art.shtml?num=45489