IT之家 6 月 23 日消息,Canonical 公司今日宣布,其零停机内核热补丁 Canonical Livepatch 现已支持 Arm64 架构。这意味着运行在 Arm64 处理器上的 Ubuntu 系统,将首次能够在不中断服务、无需重启的情况下应用关键内核安全更新。
Livepatch 技术允许系统管理员在系统保持运行的状态下,为 Linux 内核加载特定的安全补丁。这对于服务器、云实例、工业系统以及远程边缘设备等无法频繁接受停机维护的关键生产环境而言,能显著提升安全响应效率并降低运维风险。
根据 Canonical 介绍,该功能已随 Ubuntu Core 26 在 Arm64 平台上提供;在 x86 架构方面,则支持从 Ubuntu Core 20 起的 AMD64 设备。此外,运行 Ubuntu 26.04 LTS 的 Arm64 设备同样可以启用此服务。
将 Livepatch 支持拓展至 Arm64 架构并非易事。Canonical 在 2023 年底进行差距分析时发现,上游 Arm64 内核缺乏可靠的内核栈追踪实现,且 GCC、objdump、Kpatch 等工具链对 Arm64 的支持也尚不成熟。此后,经过主流操作系统厂商、大型云服务商、芯片供应商及开源社区的协同努力,相关技术障碍才被逐一克服。Canonical 的工程师团队为此扩展了编译构建集群,增加了专用的 Arm64 实例以处理原生编译带来的巨大计算负载。
Canonical Livepatch 主要针对 CVSS 中被评为“关键”和“高”等级、且具有权限提升或远程代码执行等安全影响的内核漏洞。需要指出的是,该服务并不取代常规的系统更新。用户空间组件(IT之家注:如 OpenSSL、glibc 等)仍需通过标准机制更新。同时,Livepatch 也不能完全替代重启,它主要减少计划维护窗口之外的紧急重启,但完全采用新内核版本仍需定期重启。
该服务主要面向在 Arm64 服务器、云虚拟机及远程设备上运行 Ubuntu 的组织机构,并非为普通桌面用户设计。Canonical Livepatch 包含在 Ubuntu Pro 订阅中,提供长达 10 年的 Livepatch 覆盖,另可通过 Ubuntu Pro Legacy 附加组件再获得 5 年支持。个人用户或用于评估目的,最多可在 5 台机器上免费使用。该服务还能帮助企业在实践中更好地满足《网络韧性法案》(Cyber Resilience Act,CRA)等合规要求。
本文为本站原创内容,如需转载请注明出处。
本文永久地址:https://mip.ace6237.store/article/43748.html
文章观点仅供学习交流参考。
