引言
“我认为,在每种发展模式中,安全始终是一项挑战。”
-----VMware 的副总裁兼首席开源官 Dirk Hohndel
一提到哪种系统更安全这个问题时,大家首先就会说开源的系统更安全,为什么呢?这是因为它不仅具有着广泛的参与性,而且还具有很好的共享性,达到了人人参与,人人受益的目的;所以,这类系统受到恶意攻击的次数远远低于其他商业类软件系统,是更加安全的一类系统。其中的佼佼者,就是 Linux 系统和以 Linux 内核作为核心的开源操作系统。
本次 Open Source Summit 会有哪些相关精彩内容呢?我们来给大家剧透一下...
分论坛主题介绍
Linux 系统
那么 Linux 内核系统具有哪些优势呢?让我们来大概的了解一下:
1、模块化程度高:Linux 的内核设计非常精巧,分成进程调度、内存管理、进程间通信、虚拟文件系统和网络接口五大部分;其独特的模块机制可根据用户的需要,实时地将某些模块插入或从内核中移走,使得 Linux 系统内核可以裁剪得非常小巧,很适合于嵌入式系统的需要。
2、源码公开:由于 Linux 系统的开发从一开始就与 GNU 项目紧密地结合起来,所以它的大多数组成部分都直接来自 GNU 项目。任何人、任何组织只要遵守 GPL 条款,就可以自由使用 Linux 源代码,为用户提供了最大限度的自由。这一点也正投嵌入式系统所好,因为嵌入式系统应用千差万别,设计者往往需要针对具体的应用对源码进行修改和优化,所以是否能获得源代码对于嵌入式系统的开发是至关重要的。加之 Linux 的软件资源十分丰富,每种通用程序在 Linux 上几乎都可以找到,并且数量还在不断增加。这一切令设计者在其基础之上进行二次开发变得非常容易。另外,由于 Linux 源代码公开,用户不用担心有“后闸”等安全隐患。同时,源码的开放给各教育机构提供了极大的方便,促进了 Linux 的学习、推广和应用。
3、广泛的硬件支持:Linux 支持 x86、ARM、MIPS、ALPHA 和 PowerPC 等多种体系结构的微处理器。目前已成功地移植到数十种硬件平台,几乎能运行在所有流行的处理器上。由于世界范围内有众多开发者在为 Linux 的扩充贡献力量,所以 Linux 有着异常丰富的驱动程序资源,支持各种主流硬件设备和最新的硬件技术,甚至可在没有存储管理单元 MMU 的处理器上运行,这些都进一步促进了 Linux 在嵌入式系统中的应用。
4、内核安全、高效、稳定与易用性更好: Linux 内核的高效和稳定已在各个领域内得到了大量事实的验证。Linux 中大量网络管理、网络服务等方面的功能,可使用户很方便地建立高效稳定的防火墙、路由器、工作站、服务器等。为提高安全性,它还提供了大量的网络管理软件、网络分析软件和网络安全软件等。
5、具有优秀的开发工具:开发嵌入式系统的关键是需要有一套完善的开发和调试工具。传统的嵌入式开发调试工具是在线仿真器(In Circuit Emulator,ICE),它通过取代目标板的微处理器,给目标程序提供一个完整的仿真环境,从而使开发者能非常清楚地了解到程序在目标板上的工作状态,便于监视和调试程序。在线仿真器的价格非常高,而且只适合做非常底层的调试。如果使用嵌人式 Linux,一旦软硬件能支持正常的串口功能,即使不用在线仿真器,也可以很好地进行开发和调试工作,从而节省了一笔不小的开发费用。嵌入式 Linux 为开发者提供了一套完整的工具链(Tool Chain),能够很方便地实现从操作系统到应用软件各个级别的调试。
6、有很好的网络支持和文件系统支持: Linux 从诞生之日起就与 Internet 密不可分,支持各种标准的 Internet 网络协议,并且很容易移植到嵌入式系统当中。目前,Linux 几乎支持所有主流的网络硬件、网络协议和文件系统,因此它是 NFS 的一个很好的平台。另一方面,由于 Linux 有很好的文件系统支持 (例如,它支持 Ext2、FAT32、romfs 等文件系统),是数据备份、同步和复制的良好平台,这些都为开发嵌入式系统应用打下了坚实的基础。
正是 Linux 系统具有如上的诸多优秀特质,成就了它成为了各大厂商的大咖们钟爱的使用工具。那么,究竟有哪些大咖来分享这些成功应用呢?请看:
来自华为的 Boqun Feng 将带来:递归读写死锁与何处可发现此类死锁。
Lockdep(Linux 内核中的死锁检测器)是一个用来检测死锁的强有力工具,且内核开发人员已使用了很长一段时间。但是,当涉及到读写/写锁死锁检测时,Lockdep 仅能够提供有限的支持。同时,一些主要架构(x86 与 arm64)已经或正试图将其 rwlock 实现转变为队列 rwlock,从而使得这一支持变得更加有限。例如,我们发现了一些发生在内核中的死锁案例,无法使用 Lockdep 对其进行检测。为了改善这一情况,ikml 发布了一个补丁集以支持在 Lockdep 内进行读写/写入死锁检测,并已更新到了第 6 版。 本演讲将简要介绍 rwlock 相关死锁(递归读写死锁),以及我们如何对 Lockdep 进行微调以进行检测。其将着重于检测算法以及准确性和一些实现细节。
同样,来自华为的 Xiang Gao 将带来:EROFS 简介与我们的智能手机实践。
EROFS 文件系统是一个 Linux 只读文件系统,用以节省额外的存储空间,并保证嵌入式设备,尤其是安卓设备的端到端性能。与其他通用文件系统相比,这一系统旨在减少元数据的数量,并为目标文件系统用户提供透明的压缩支持。在过去的 2018 年里,EROFS 已完成开发,合并入 Linux 的状态树,并安装入多种智能手机中。请注意,其目前仍在积极开发中。在之后,将会增加更多有用的功能。本演讲将展示与在消费者的嵌入式设备内进行实时解压相关的问题以及我们的实践、EROFS 的详细设计、基准评测、与当前的 squashfs 的对比、被压缩的 btrfs 以及 EROFS 的未来蓝图。
来自腾讯的 Xiaoming Gao 将带来:设计新的调度算法以提升 CPU 的利用率。
许多大型互联网公司常常会面临 CPU 利用率低的问题。这一问题可通过在单一节点上部署离线 CPU 限制型负载与线上服务进行解决。但其缺点是无法保证线上服务的质量。就这一问题,腾讯团队已经进行了一些工作,并在 Linux 内核的基础上引入了新的离线调度类。
另外一位来自腾讯的 Dongdong Chen 则会带来:内核中的 Buffer Write io 与网络 RX 控制的新 Cgroup 子系统。Linux 机上的资源可通过 Cgroup 子系统进行控制,例如内存与 CPU 。然而,在内核 4.x 之前,我们无法控制 Buffer Write io 与网络 RX。为此,腾讯团队在内核中加入两个新的 Cgroup 子系统,以控制 Buffer Write io 与网络 RX。这使得用户能够为 QOS 向不同工作分配不同的资源值。
来自 Intel 的 Lu Baolu 将会带来:防止 Thunderbolt 设备发起的 DMA 攻击。MacOS 与 Windows 平台上的 Thunderbolt 允许外围设备直接通过 PCIe 总线与计算机进行连接。尽管芯片供应商拥有 DMA 重映射技术以防止 DMA 攻击,但是系统仍然十分容易受到通过 Thunderbolt 端口连接的恶意外围设备的 DMA 攻击。本演讲将展示Intel已与 Linux 确认的安全问题,以及所编制的解决方案。
另外一位同样来自 Intel 的 Ziye Yang 则会带来:基于 SPDK 的用户空间 NVMe Over TCP 传输解决方案。最近,NVM express 就 NVMe over fabrics 发布了新的 TCP 传输 (TP8000) 规范。在本演讲中,Ziye 将介绍 SPDK 内 NVMe-oF 的 TCP 传输的设计、实现与开发计划。目前,SPDK 可在主机端与目标端进行 TCP 传输,并已经与 Linux 内核解决方案进行了测试,表现出了良好的互操作性。此外,也将提供一些实验结构以证实 SPDK 的 NVMe-oF TCP 传输实现的性能与可拓展性。同时,Ziye还将介绍一些技术以进一步改善 SPDK 解决方案的性能,例如:(1) 利用用户空间 TCP 堆栈(例如,VPP + DPDK)以替代内核 TCP 堆栈;(2) 利用硬件的一些功能,例如英特尔的 E810 NIC 上的 ADQ。
笨叔叔 - 奔跑吧,Linux 内核社区
来自奔跑吧 Linux 内核社区的笨叔叔将带来2个议题:
1、使用 kdump + crash 工具实战产品研发和云服务器里的死机难题:随着中国互联网的快速发展,越来越多的服务器与云服务器采用 Linux 系统,例如阿里巴巴、腾讯等。此外,随着物联网以及工业 4.0 的发展,越来越多的产品开发选择 Linux 系统作为基础平台。虽然 Linux 内核足够稳固,但是也常常会发生系统崩溃的情况。本演讲将介绍在生产开发与部署过程中,使用 kdump + cras 处理 Linux 崩溃问题积累的经验,分为六个部分:
实验室 1:简单的控制表引起的严重错误;
实验室 2:访问已经删除的表头与链表;
实验室 3:设备驱动程序的崩溃问题;
实验室 4:如何通过调用追踪与堆栈发现功能的局部变量与参数值;
实验室 5:逐步分析复杂的死锁崩溃问题;
实验室 6:手动恢复功能调用堆栈。
2、向 Linux 新手介绍内核以及虚拟化架构基础知识:虚拟化是云端的基础设施,Linux 内核在众多企业中得到应用,可见它们是如此的重要。但是,它们也变得越来越复杂,使得初学者无法轻易掌握其中的门道以进入这些领域。Linux 内核被广泛部署于许多领域,如移动手机、嵌入式系统、云服务器、IoT 等等。Linux 内核由社区在短时间内开发而成,代码长度超过 2 千万行。系统管理员以及初学者要想学习 Linux 内核,十分困难。小喵喵和笨叔叔都是在开源社区工作5 年以上,并且富有 Qemu/KVM/Kernel 相关经验的开发人员。他们将分享经验,以帮助初学者快速掌握虚拟化/内核的整体框架,进入开源社区。
那么,Open Source Summit 的 Linux 系统论坛都有哪些精彩演讲呢?
内容更新请参阅 https://kccncosschn19chi.sched.com 选择: OSS - Linux 系统。
开源安全性
近几年开源代码热度持续上升,各类公司都纷纷采用开源组件构建自己的系统和平台。除了市场上常见的开源操作系统,开源的生产力软件、管理员/开发者工具和各种代码库也是企业用户用于打造自有软件的一大助力。现在,甚至商业软件也越来越多地建立在开源代码的基础之上,企业中开源软件的采用越来越广泛。随着企业转向敏捷方法,开源变得更加有价值,也有更多工具可以利用。
开发人员重度依赖开源软件,公司企业也惯于依靠有大型团队维护的主流开源项目。且在安全上一直都有“众人之眼”的说法——越多人盯着就越安全。除了廉价,“众人之眼”带来的安全性可能就是使用开源软件的最大好处了。当然,这一理论也许对小型开源项目或代码库不适用。毕竟,有些软件是没有开发者社区的。
开源代码的另一个安全优势是,如果出现了问题,可以得到立即曝光和修复。而如果是专利代码,通常就只有等待供应商的响应了。
Kate Stewart – Linux 基金会 战略计划高级主管
来自 Linux 基金会的 Kate Stewart 会带来:为安全和安全性开发开源。当开源项目能够接受伟大的想法,并且开发人员能够扩展代码以“解决其问题”时,它们就会蓬勃发展。另一方面,开发安全关键的应用程序需要严格的过程,以确保它们不会在关键时刻出错,因此应用程序被接受有更高的门槛。Linux 和 Zephyr 都致力于通过不同的方法获得安全认证。Zephyr 是专为因 Linux 太大而无法安装或需要较长电池寿命的设备设计的。本次演讲将总结 Zephyr 的现状,以及项目的规划,即在 2019 年通过功能安全认证,通过继续处理可能存在的安全问题。与此相比,Elisa 项目以及 Elisa 团队正致力于开发新的流程和工具,以帮助 Linux 获得功能安全应用程序的认证。
Christina Quast – 嵌入式系统工程师
Christina 刚刚在柏林大学完成了电气工程硕士学位,她参加过许多 IT 安全会议,并担任 IT 安全 CTF 多年,目前担任嵌入式系统工程师,努力使嵌入式系统和IT安全的世界更加紧密。Christina 将带来:利用 RISC-V 上的缓冲区溢出。大约 10 年前,RISC-V ISA 规范的制定工作开始。大约一年前,我们看到第一个硬件的出现,从今年开始,该硬件的价格变得更加便宜。伴随着这一发展,第一批产品和第一个漏洞也在出现。本次演讲将简要介绍英特尔在 ARM 平台上的开发,之后介绍在 RISC-V 平台上开发的架构差别,以及展示已经采用 RISC-V 支持、由此可用于创建和调试这些代码或漏洞的工具。
来自汇丰银行的 Weiqiang Yang 和 Jihai Zhou 将带来:大银行实施 DevSecOps 所面临的挑战和解决方案。作为世界上最大的银行之一,他们在汇丰技术部门运行了几年DevOps 计划,以在团队之间建立 DevOps 文化和思维。自 2018 年起,开始实施 DevSecOps 计划,将网络安全融入 DevOps 文化。汇丰银行的目标是通过推广 DevSecOps 工具并结合相关培训,转变开发团队的网络安全思维。在本演讲中,Weiqiang和 Jihai将分享如何将 DevSecOps 工具(如 CheckMarx、Contrast 和 Sonatype Iq)集成到开发 CICD 管道中,以生成漏洞仪表板。此外,他们还将演示三种提供网络安全培训的不同方法,帮助开发团队逐渐增长知识,从而修复 DevSecOps 工具报告的漏洞,并随着时间的推移建立全新的思维。
Will Martin – Pivotal 软件工程师
Ed King – Pivotal 软件工程师
来自 Pivotal 的 Will Martin 和 Ed King 将带来:大逃亡。CVE-2019-5736 于最近宣布退出,其中包括一个容器终端,这会对 runc (对 lxc 有类似影响)带来影响。由于许多平台使用 runc 为关键工作负载提供容器,因此在一段时间内,大量相关的补丁被发布并应用。虽然保持更新十分重要,但是我们也应反思容器平台中的合理默认值,以规避此类 CVE 和更多类似的补丁。我们都需要简单!在本技术演讲中,William 与 Ed 将通过展示多个真实的 CVE,说明良好配置的容器安全层(命名空间、cgroups、apparmor、selinux、seccomp 等)如何能够保护您的工作负载,从而避免这些 CVE。
那么,Open Source Summit 的开源安全性论坛都有哪些精彩演讲呢?
内容更新请参阅 https://kccncosschn19chi.sched.com 选择: OSS – 开源安全性。
总结
300+ 的演讲者分享,任谁也无法照顾到所有,我们会尽最大努力帮助你梳理,根据你的兴趣来找到对应的分享嘉宾,让你有所成长、有所收获。
不出意料,本次大会的售票异常火爆,出于会场的安全考虑,参加大会的人数是被严格限制的,会务组将根据注册的人数提前关闭超过限额的售票通道,所以千万不要等到通道被关闭后再追悔莫及,现在的票价还有优惠。
标准票价优惠只到6月6日,欲购从速:
标准注册:2000人民币(晚注册2400,即时可省400!)
贵宾注册:5000人民币(晚注册6000,即时可省1000!)
个人或学术注册: 500人民币(需要发送电子邮件至 events@cncf.io 申请批准。晚注册600,即时可省100!)
请!注!意!6月7日本周五就要实行晚注册票价了,切勿犹豫不决,抓住最后标准票的机会。
2019年 6月24日~26日,请大家抓住机会,我们在上海世博中心不见不散!
会议更多信息及注册请点击文末【阅读原文】了解。
感谢活动赞助商
战略赞助商
华为云
双钻石赞助商
Tencent Cloud
钻石赞助商
Alibaba Cloud
Intel
铂金赞助商
Rancher
SUSE
黄金赞助商
AWS
Baidu AI Cloud
Cloudbees
Google Cloud
JD Cloud
LF Training
Oracle
QingCloud
Red Hat
VMWare
白银赞助商
Arm
博云 BoCloud
Ubuntu
Cloud Foundry
Elastic
F5
GitLab
JFrog 杰蛙
Kong
MESOSPHERE
Pivotal
Portworx
UCLOUD
Yahoo!Japan
初创企业赞助商
Ankr
CloudToGo
EMQ
Giant Swarm
Hyperledger
KONTENA
LF Deep Learning
OpenEBS
PlanetScale
Reduxio
Upbound
睿云智合
焱融云
合作伙伴
中国开源云联盟
中国开源软件推进联盟
异步社区
掘金
开源社
Katacoda
Linux 中国
Linux Story
开源工场
云计算开源产业联盟
Women Who Code
关于LF Asia, LLC
LF Asia, LLC 致力于为亚洲的开源技术和开源项目提供会议活动服务。通过这些会议服务,从而为开发者、技术专家、运营人员和管理者,搭建更好的开源技术交流和学习平台。更多详情,请访问 www.lfasiallc.com。
Open Source Summit是 Linux 基金会的商标,并由 Linux 基金会授权使用。请访问 The Linux Foundation 的网站以获取更多商标使用信息:https://www.linuxfoundation.org/trademark-usage。
Linux 是 Linus Torvalds 的注册商标。
