Разработка новых операционных систем и ядер всегда привлекала внимание как исследователей, так и практиков, стремящихся обеспечить безопасность, надежность и высокую производительность современных вычислительных систем. В этом контексте проект Asterinas является одним из самых перспективных и необычных начинаний последних лет. Этот Linux-совместимый проект ядра написан на языке программирования Rust и основывается на новой концепции архитектуры, которую авторы называют «framekernel». Познакомимся с подробностями, возможностями и вызовами этого проекта. Asterinas представляет собой новое Linux-совместимое ядро, которое стремится максимально повысить безопасность операционной системы, не жертвуя при этом эффективностью.
Для этого проект использует инновационный подход к организации пространства ядра — концепцию framekernel, призванную объединить лучшие свойства как монолитных, так и микроядерных архитектур. Традиционно монолитные ядра объединяют весь код операционной системы в одном пространстве ядра, что обеспечивает высокую производительность, но нередко ведет к сложностям с безопасностью из-за широкого доступа компонентов внутри ядра друг к другу. Микроядра же, напротив, минимизируют доверенную базу, вынося большинство сервисов в пользовательское пространство и используя межпроцессное взаимодействие (IPC) для общения между компонентами. Это повышает безопасность и изоляцию, но зачастую «съедает» производительность. Framekernel в Asterinas предлагает компромиссный путь.
Основная идея заключается в инкапсуляции кода, требующего небезопасных операций Rust (unsafe), внутрь специально выделенной библиотеки, тогда как остальной код ядра — сервисы — создаётся с использованием безопасных абстракций Rust. Все сервисы работают в одном адресном пространстве ядра, но имеет ограниченный доступ к ресурсам, предоставляемым «ядру ядра» (core library). Такой подход сохраняет преимущества общей памяти и высокой производительности монолитных ядер, но при этом значительно повышает безопасность за счёт строгой разграниченности ответственности и использования возможностей языка Rust, включающего проверку владения и заимствований, что снижает вероятность ошибок с памятью. Rust как основной язык Asterinas — не случайность. Язык всё более завоёвывает внимание системных разработчиков благодаря уникальному сочетанию высокой безопасности памяти и низкоуровневого контроля, который необходим для ядра операционной системы.
Кроме управления безопасностью памяти, Rust обеспечивает высокую гарантию «звуковости» кода (soundness), что при формальной верификации кода является большим преимуществом. Но использование Rust также снижает вероятность уязвимостей, которые традиционно встречаются при работе с указателями и управлением памятью в C, широко использующемся в ядрах Linux и многих других ОС. Одним из важных аспектов развития Asterinas является план по формальной верификации ядра. Уменьшение доверенной базы кода (trusted computing base — TCB) в ядре до минимума позволяет разработчикам сосредоточиться на формальной проверке именно этой компоненты, что существенно поднимает уровень доверия к безопасности всей системы. На данный момент наиболее известным примером формально верифицированного ядра является seL4 — микроядро, которое, однако, является достаточно специализированным и не имеет цели совместимости с Linux.
Asterinas стремится к тому, чтобы обеспечить полный набор функциональности UNIX-подобных систем при сохранении малой и безопасной TCB. Проект активно работает над реализацией концепции сотрудничества с CertiK — компанией по аудиту безопасности, использующей для формальной проверки язык Verus. Результатом такого взаимодействия стали отчёты по аудиту ядра, из которых можно увидеть сильные стороны проекта и те точки, требующие усиленного внимания. Это демонстрирует серьёзный научный и практический подход к обеспечению безопасности. Кроме самого ядра, проект включает в себя два важных компонента: OSTD и OSDK.
OSTD — это фреймворк на Rust для упрощения разработки операционных систем и инноваций в этой области, предоставляющий богатый набор безопасных абстракций для низкоуровневых операций вроде управления аппаратными ресурсами, памяти, задачами и пр. OSDK представляет собой расширение для Cargo — менеджера пакетов Rust, которое облегчает сборку, тестирование и разработку ОС на базе OSTD. Такое деление призвано снизить барьер вхождения для новых разработчиков и создать экосистему для быстрого прототипирования и тестирования новых идей. Необходимо отметить, что ядра, создаваемые с помощью OSTD, не обязательно должны быть Linux-совместимыми или напоминать Unix. API-фреймворк достаточно универсален и предназначен для широкого круга задач в области разработки системного программного обеспечения.
Проект Asterinas уже поддерживает архитектуры x86 и RISC-V, а функциональность со временем расширяется. На сегодняшний день реализовано около 206 системных вызовов Linux на архитектуре x86, что уже даёт возможность запускать значительную часть пользовательского ПО, хотя до полного покрытия — 368 вызовов Linux — ещё далеко. Впрочем, для большинства приложений достаточно подмножества системных вызовов. Активная разработка ведётся, но проект по-прежнему находится в ранней стадии: пока нет официальных релизов, полноценного дистрибутива или широкого сообщества пользователей. Особый акцент делается на облачные применения, в частности, на поддержку облачного хостинга контейнеров и виртуальных машин с жёсткими требованиями к безопасности.
Среди спонсоров проекта числится корпорация Intel, что не удивительно учитывая интерес к технологиям Trust Domain Extensions (TDX) для аппаратной изоляции и шифрования памяти. Это подчеркивает ориентацию Asterinas на использование передовых возможностей аппаратуры для повышения безопасности ОС. Стоит сравнить Asterinas с похожими проектами на Rust. Например, проект Rust for Linux, который внедряет безопасный Rust-код непосредственно в ядро Linux, но ограничивается преимущественно подсистемой драйверов, оставляя основное ядро неизменным. В отличие от него, Asterinas стремится создать ядро с нуля, максимально ограничивая количество небезопасного кода и упрощая его для последующей формальной верификации.
Также примечателен опыт RedLeaf — микрокернела, написанного на Rust, ориентированного на отказ от использования аппаратной изоляции, что резко отличается от подхода Asterinas, активно использующего технику разделения прав с аппаратной поддержкой. Embedded-проект Tock разделяет с Asterinas идею минимального ядра и разделения на модули, но сфокусирован на микроконтроллерах с ограниченными аппаратными средствами защиты. Таким образом, Asterinas можно рассматривать как инновационный проект, создающий «лучшее из двух миров»: с одной стороны — высокую производительность и простоту монолитных ядер, а с другой — безопасность и разделение ответственности характерные для микроядерных систем. При этом используемый Rust позволяет снизить риски, связанные с памятью, и облегчить формальную проверку. Ведущая команда разработки состоит преимущественно из исследователей и аспирантов ведущих китайских университетов и компаний, что отражает серьёзный научно-исследовательский подход и стремление сделать операционную систему масштабируемой, безопасной и применимой в современных стратегических сферах, прежде всего в облачных и контейнерных технологиях.
Несмотря на ранний этап и все еще далекую от практического применения стадию, Asterinas заслуживает пристального внимания специалистов и энтузиастов. Проект способен изменить представление об архитектуре ОС и внести заметный вклад в развитие безопасности вычислений. Естественно, его дальновидная архитектура и высокие цели делают развитие долгим и сложным, но при успешной реализации мы можем получить основу для сверхбезопасных и эффективных систем следующего поколения. Следует отметить, что в контексте мировых политических и технологических трендов, таких как стремление к технологической независимости и усиление требований к безопасности, китайские инициативы по созданию альтернатив Linux приобретают стратегическую важность. Asterinas отражает эти процессы, сочетая инновации и академическую строгость, и может стать значимой альтернативой в масштабе международного рынка ПО и ОС.
В заключение, Asterinas — это больше, чем просто эксперимент с Rust. Это амбициозный проект, который ставит перед собой цель создать максимально безопасное, производительное и гибкое ядро, способное поддерживать современный уровень совместимости с Linux и работать в условиях современной аппаратной безопасности. Следящие за развитием системного программного обеспечения и операционных систем найдут в Asterinas источник свежих идей и перспектив для будущих инноваций.
![Toxic CEO: Replacing Everyone with AI [video]](/images/DDF76FBC-5CE5-4D2B-890E-A7996927E6D8)
