The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Microsoft открыл Hyperlight, гипервизор для изоляции отдельных функций в приложениях"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Microsoft открыл Hyperlight, гипервизор для изоляции отдельных функций в приложениях"  +/
Сообщение от opennews (??), 13-Ноя-24, 10:26 
Компания Microsoft представила проект Hyperlight, развивающий гипервизор, предназначенный для встраивания в приложения с целью изолированного выполнения кода, не заслуживающего доверия или требующего особой защиты. Гипервизор оформлен в виде разделяемой библиотеки, обеспечивающей выполнение отдельных функций в легковесных виртуальных машинах (micro-VM) и организующей обмен данными с этими функциями. Код проекта написан на языке Rust и распространяется под лицензией Apache 2.0...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=62226

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


3. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."  +3 +/
Сообщение от iCat (ok), 13-Ноя-24, 10:34 
А что за месячник такой неслыханной щедрости?
vmWare, MS HL...
Ответить | Правка | Наверх | Cообщить модератору

5. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."  +3 +/
Сообщение от Аноним (5), 13-Ноя-24, 10:37 
Подгорает, сэр. Конкуренция не дремлет, клиентов надо удерживать.
Ответить | Правка | Наверх | Cообщить модератору

32. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."  –1 +/
Сообщение от Аноним (32), 13-Ноя-24, 14:12 
Где посмотреть на ваши проекты для батиных инженеров?
Ответить | Правка | Наверх | Cообщить модератору

56. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."  +/
Сообщение от Аноним (56), 13-Ноя-24, 17:02 
Замглавы департамента информационных технологий, связи и защиты информации МВД Игорь Кашпур заявил, что серверы, оснащенные российскими микропроцессорами «Эльбрус», слишком быстро выходят из строя и при этом их нельзя оперативно заменить. Об этом пишет газета «Ведомости». - https://www.gazeta.ru/tech/news/2024/11/13/24376387.shtml ?
Ответить | Правка | Наверх | Cообщить модератору

63. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."  +3 +/
Сообщение от YetAnotherOnanym (ok), 13-Ноя-24, 18:22 
Отсюда вывод - не заказывайте чипы на Тайване.
Ответить | Правка | Наверх | Cообщить модератору

86. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."  +/
Сообщение от Аноним (86), 14-Ноя-24, 08:00 
К электрической сети сегодня много вопросов. Надо защищать электрическую сеть: https://www.opennet.me/openforum/vsluhforumID13/1034.html#21
Ответить | Правка | К родителю #56 | Наверх | Cообщить модератору

29. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."  +2 +/
Сообщение от Аноним (29), 13-Ноя-24, 13:25 
> А что за месячник такой неслыханной щедрости?

Экономику поджимает -> оптимизация костов.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

44. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."  –3 +/
Сообщение от Аноним (44), 13-Ноя-24, 15:05 
Возможно открытие таких кодовых баз требуется для обучения ИИ. Накопленный корпорациями код не представляет такой большой ценности в мире, где ИИ через несколько лет напишет лучше и на порядки быстрее.
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

81. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."  +/
Сообщение от iCat (ok), 14-Ноя-24, 04:17 
> Возможно открытие таких кодовых баз требуется для обучения ИИ. Накопленный корпорациями
> код не представляет такой большой ценности в мире, где ИИ через
> несколько лет напишет лучше и на порядки быстрее.

Спорное утверждение...
В словосочетании "искусственный интеллект" ведущее слово - "искусственный", то есть "подражающий"

Ответить | Правка | Наверх | Cообщить модератору

8. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."  +3 +/
Сообщение от Жироватт (ok), 13-Ноя-24, 11:13 
1. Основной поток запускает защищённую обёрточную функцию обработки в micro-VM основного потока...
2. Обёрточная функция вызывает другую функцию файла (в отдельной или в этой же micro-VM?)...
3. ...которая вызывает функцию из внешнего по отношению к программе заголовочного файла (в чисто отдельной третьей micro-VM?)...
4. ...которая дёргает динамический dll'ный библиотечный код либы lib_a1.dll (тут уже точно в отдельной micro-VM?)...
5. ...которая дёргает динамический dll'ный библиотечный код либы lib_b2.dll (тут уже точно в отдельной micro-VM или либы будут бандлится в один образ VM?)...
6. ...которая по RPC (хотя бы тот же СОМ+) дёргает вообще другое ПО и получает какие-то данные (проприентарный патентованный сервер СОМ+ изначально требует защиты и запускается в расшифровываемой-на-лету micro-VM?), затем маршаллит результат (надеюсь не в micro-VM?) и передаёт обратно.

Вопросы:
1) Я правильно понял, что именно так можно будет выглядеть дерево вызовов внутри одного процесса?
2) Какой адок начнётся в многопроцессной работе? Micro-VM же насколько понял stateless? А параллельно будет запускаться одна micro-VM или целый пул из таких виртуалок?
3) Какие накладные расходы на это гуано будут не в бенчамарках, а при реальной работе? А для функций из 80% отношения Парето?
4) Нахуа, а главное зачем?

Ответить | Правка | Наверх | Cообщить модератору

18. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."  –3 +/
Сообщение от Аноним (18), 13-Ноя-24, 12:06 
Отвечу на 4-й вопрос. Чтобы показать, что на Rust таки пишут, а не только переписывают.
Ответить | Правка | Наверх | Cообщить модератору

38. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."  +/
Сообщение от freehck (ok), 13-Ноя-24, 14:24 
Видимо у них поинт в том, что они хотят именно в VM их гонять. Простой контейнер их не устраивает по каким-то причинам. Ну собственно, пусть допиливают: посмотрим, выстрелит ли.
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

11. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."  +2 +/
Сообщение от Аноним (11), 13-Ноя-24, 11:16 
Что это вообще такое и зачем?
Ответить | Правка | Наверх | Cообщить модератору

24. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."  +2 +/
Сообщение от Аноним (24), 13-Ноя-24, 12:44 
Это желание привнести безопасность в контейнеризацию, которой там нет, вопреки заверениям адептам культа карго.

Допустим, есть какие-то микросервисные проекты, расположенный в каком-то облаке. Разные проекты у разных клиентов. Как их заизолировать друг от друга? Как ограничить ресурсы, как вообще делать это всё?
Правильно! Виртуалками. То есть строим инфраструктуру виртуализации, поднимаем виртуалки для клиентов. Вот в них свои контейнеры и вращайте.

Этот проект - попытка стандартизировать дополнительные к WASM средства жесткой изоляции внутри контейнерных платформ. Причем это делается строго для микросервисных задач и оптимизируется для функций, которые часто вызываются и быстро отрабатывают.

Короче говоря, это unikernel такой для запуска контейнеров с WASM, который изолирует их сверху еще и гипервизором. Ну и да, оно не только WASM поддерживает теперь, собственно ради этого и несут в CNCF поближе к кубику.

Для легкого чтения:
https://arschles.com/blog/hyperlight-overview-1/
https://arschles.com/blog/hyperlight-overview-2/

Ответить | Правка | Наверх | Cообщить модератору

55. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."  +/
Сообщение от Аноним (55), 13-Ноя-24, 16:48 
> Это желание привнести безопасность в контейнеризацию, которой там нет, вопреки заверениям адептам культа карго.

Безопасность контейнеризации существует только в воображении борцов с воображаемыми адептами культа. Парад соломенных чучел в комментариях поражает. Припекает у местных — моё почтение. Тут тебе и Раст, и Майкрософт, и опенсорс, и стирание границ между виртуалками и контейнерами. Огнеопасная новость как ни крути. Продолжайте паясничать. Не хватает только комментариев от поха.

Ответить | Правка | Наверх | Cообщить модератору

12. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."  +/
Сообщение от Анонимemail (12), 13-Ноя-24, 11:31 
На что только люди не идут лишь бы дырявый код не переписывать...
Ответить | Правка | Наверх | Cообщить модератору

19. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."  +1 +/
Сообщение от Аноним (44), 13-Ноя-24, 12:23 
Если бы можно было просто взять дырявый код и переписать в недырявый, все бы так и делали. Помимо принципиальной невозможности уменьшить дырявость, при переписывании без актуализации требований к продукту мутирует бизнес логика (даже если в команде только сильные программеры). По большому счету это равносильно созданию новой версии продукта с нуля. У этих мероприятий есть вполне конкретная стоимость.
С точки зрения самоуверенных неопытных программистов, которые считают себя гениями, способными из большой кучи г сделать кондитерскую, все надо переписывать. На практике это страдания на годы, обычно заканчивающиеся закрытием проектов (и началом новых с возросшим энтузиазмом). При том, что даже проблемное легаси вполне можно привести в более или менее поддерживаемое состояние, намного быстрее и куда меньшими ресурсами.
Но сабж вообще не об этом. Он про изоляцию кода, который поддерживаете не вы. Вам предписано его только использовать. Не вам решать, переписывать или нет.
Ответить | Правка | Наверх | Cообщить модератору

25. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."  +/
Сообщение от Аноним (-), 13-Ноя-24, 12:46 
От кода зависит.
Если проблема только в отсутствии проверок или плохих структурах - то можно и переписать.
А если там еще кривая архитектура.. то иногда проще выкинуть и написать заново.

В итоге все равно будет экономия на ТЗ, тестпланах и прочих сопутсвующих вещах.

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

64. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."  +/
Сообщение от КО (?), 13-Ноя-24, 18:49 
Кек, будто они с коммитов его побегут перезаписывать
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

89. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."  +/
Сообщение от Аноним (89), 14-Ноя-24, 09:27 
Твой недырявый код, размером побольше, чем хэловрот мы, конечно же, не увидим?
Как всегда: ни в MS, ни в Google, ни среди коммитеров в линукс ядро нет умеющих писать недырявый код, а есть такие мастера только в комментариях на опеннете.
Мы даже знаем почему именно у таких вас код недярвый - потому, что если код не писать, то и ошибок в нём не сделать. Великие мастера бесконтактного боя прошедшие этап культивации и уже достигшие этапа возвышения, проводящие всё время в медитациях, а не боях.
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

30. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."  +8 +/
Сообщение от Аноним (30), 13-Ноя-24, 13:25 
Даёшь каждому процессу по собственному компьютеру! Так точно будет безопасТно.
Ответить | Правка | Наверх | Cообщить модератору

68. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."  +2 +/
Сообщение от Аноним (68), 13-Ноя-24, 20:13 
Это уже было в девяностые. Это у нас сервер бд, это веб-сервер, а это — ФТП-сервер для важных файлов. И бэкапы админ делает каждую пятницу с записью в Журнал Учёта Резервных Копий под подпись и с заверением главного.
Ответить | Правка | Наверх | Cообщить модератору

90. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."  +/
Сообщение от Аноним (30), 14-Ноя-24, 09:29 
История идёт по спирали. Только ещё нужно назначить по выделенному админу на каждый сервер, это решит проблему безработицы.
Ответить | Правка | Наверх | Cообщить модератору

31. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."  –2 +/
Сообщение от Аноним (31), 13-Ноя-24, 13:58 
Невооружённым взглядом видна только тенденция - как минимум МС новые проекты, которые раньше писались бы на Си, частенько выкатывает на Rust.
Ответить | Правка | Наверх | Cообщить модератору

48. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."  –1 +/
Сообщение от Аноним (48), 13-Ноя-24, 15:24 
Всегда были мертворождённые поделки, тут ничего удивительного. На си МС не пишет уже лет 20, раньше такое на бейсике или на жс писалось.
Ответить | Правка | Наверх | Cообщить модератору

33. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."  +/
Сообщение от Аноним (33), 13-Ноя-24, 14:13 
> гипервизор, предназначенный для встраивания в приложения с целью изолированного выполнения кода, не заслуживающего доверия или требующего особой защиты

ОК. Но кто сказал, что гипервизор заслуживает доверия?

Ответить | Правка | Наверх | Cообщить модератору

34. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."  +/
Сообщение от Аноним (33), 13-Ноя-24, 14:15 
> встраивания в приложения с целью изолированного выполнения кода, не заслуживающего доверия

Серьезно? Встраивать в приложение код, не заслуживающий доверия?

Ответить | Правка | Наверх | Cообщить модератору

40. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."  +/
Сообщение от НяшМяш (ok), 13-Ноя-24, 14:25 
Любое приложение при запуске подтягивает общие библиотеки, написанные на языке, не заслуживающем доверия. И работает в операционной системе, написанной на языке, не заслуживающем доверия. И никого это не напрягает. А тут просто придумали костыль, как сделать что-то небезопасное чуть безопаснее.
Ответить | Правка | Наверх | Cообщить модератору

47. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."  +/
Сообщение от Аноним (47), 13-Ноя-24, 15:13 
а теперь поясни, как ты заставишь очередных вирусописателей использовать эту библиотеку.
Ответить | Правка | Наверх | Cообщить модератору

58. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."  +/
Сообщение от Аноним (58), 13-Ноя-24, 17:33 
Вы не различаете концепции "встраивать код в приложение" и "подтягивать библиотеки при запуске"? Под словом "код", тем более - встриваемым, очевидно, понимают исходные коды на языке программирования того или иного уровня, но не скопмилированные модули (библиотеки или исполняемые модули). При наличии исходных кодов необходимо контролировать его безопасность и нет необходимости в особых мерах изоляции.
Ответить | Правка | К родителю #40 | Наверх | Cообщить модератору

49. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."  +/
Сообщение от Штунц (?), 13-Ноя-24, 15:44 
Вижу пользу такую:
Например, используешь купленную DLL для манипуляции PDF-файлами.
И есть подозрение, что в DLL есть баги выхода за границы буфера и следовательно портится память в вызывающем коде. Теперь, видимо, можно DLL как то изолировать будет
Ответить | Правка | Наверх | Cообщить модератору

54. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."  –1 +/
Сообщение от Аноним (54), 13-Ноя-24, 16:38 
термин untrusted CPU еще не хайповый? Есть же red–black architecture или это не для смертных?
Ответить | Правка | Наверх | Cообщить модератору

57. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."  +/
Сообщение от Аноним (57), 13-Ноя-24, 17:27 
Это не защитит от проблем с несанкционированным доступом к чужой памяти
Ответить | Правка | Наверх | Cообщить модератору

59. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."  +/
Сообщение от Аноним (54), 13-Ноя-24, 17:35 
а ну да, я же забыл, что у нас все яйца в одной корзине :)
Ответить | Правка | Наверх | Cообщить модератору

53. Скрыто модератором  +/
Сообщение от Аноним (54), 13-Ноя-24, 16:33 
Ответить | Правка | Наверх | Cообщить модератору

67. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."  +/
Сообщение от Аноним (67), 13-Ноя-24, 20:13 
Это уже паравиртуализация или ещё нет?
Ответить | Правка | Наверх | Cообщить модератору

69. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."  +/
Сообщение от Quad Romb (ok), 13-Ноя-24, 20:21 
Этот Hyperlight, по своему описанию, очень похож на такую штуку как экзоядро.
Для каких-то ответственных сервисов вполне может взлететь.
Ответить | Правка | Наверх | Cообщить модератору

79. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."  +1 +/
Сообщение от мимопроходил (?), 13-Ноя-24, 23:51 
Это напоминает firecracker-vm, тоже для реализации FaaS (function as a service).
Но, порожденное Амазонон, МС использовать не может, нужно свое.
Ответить | Правка | Наверх | Cообщить модератору

85. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."  +/
Сообщение от Quad Romb (ok), 14-Ноя-24, 08:00 
Вполне могу согласиться.
Тут скорее вопрос классификации - все эти гипорсветы, огнеколки и прочие униядра занимаются тем, что по месту забирают у подлежащей под ними ОС часть её основных функций.

А это было проработано в начале 90-х в академических экзоядерных прототипах. Просто тогда это оказалось коммерчески невостребовано. В отличие от нынешних облачных дней.

Ответить | Правка | Наверх | Cообщить модератору

70. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."  +/
Сообщение от Аноним (-), 13-Ноя-24, 21:23 
> В Hyperlight задержки при создании виртуальных машин составляют 1-2 миллисекунды
> запуск изолированного sandbox-окружения для выполнения WebAssembly-кода [..] занимает 0.03 миллисекунды.

Ну и смысл тогда в чём? Ихняя виртуальная машина будет быстрее, только если код в ней выполняется однократно или небольшое число раз. Если же гонять его надо сотни раз, то накладные расходы на jit поделятся на 100, и... А если код выполняется однократно, то так ли ему нужна скорость выполнения? При этом, wasm это настоящая виртуалка, а не дырявый процессор пытающийся изолировать выполнение кода.

Ответить | Правка | Наверх | Cообщить модератору

72. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."  +/
Сообщение от Аноним (72), 13-Ноя-24, 21:36 
Посоны, не забывайте, что любая виртуализация от Microsoft делается с прицелом на SEV-виртуалки, которые являются вещью что-то вроде SGX-анклавов, но круче. Если в анклавах запускается только ring-3 код, то в SEV-виртуалках можно запустить целую ОС при желании. Но иногда ОС не нужна, а нужен аналог SGX. Вот указанная штука - это и есть аналог SGX с такой же моделью использования, чтобы код, который для SGX портировать под SEV с минимальными издержками.
Ответить | Правка | Наверх | Cообщить модератору

73. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."  +1 +/
Сообщение от Аноним (72), 13-Ноя-24, 21:37 
P.S. AMD SEV работает на основе Microsoft Pluton.
Ответить | Правка | Наверх | Cообщить модератору

74. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."  +/
Сообщение от Аноним (74), 13-Ноя-24, 22:01 
м-м-м, а кто-то уже завернул это в питоновый патоз? вон азуре упомянуто же уже!
Ответить | Правка | Наверх | Cообщить модератору

78. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."  +1 +/
Сообщение от myster (ok), 13-Ноя-24, 23:30 
Как по мне, это очередная инициатива сделать веб более закрытым. Сегодня я в любом браузере могу нажать Ctrl+Shift+I и наглядно увидеть, что происходит в кишках сайта. Могу написать UserJS скрипт для изменения контента на странице, изменения стиля, заблокировать рекламу и т.п.

Но WebAssembly это шаг к тому, чтобы мы это не смогли, если код выполняется к скомпилированном .wasm файле без дебага, а Hyperlight тут будет дополнительным барьером.  

И хоть этот проект и не связан с Silverlight, на который они вместе с отменой Flash забили. Но идея такая же - превратить веб-браузеры в исполнялки закрытого кода, любой веб сайт будет "котом в мешке" и сможет делать не пойми какую хрень, блокировщики рекламы и подобные инструменты станут бесполезны.  

Такой веб нас ждет в ~2030 году?

Ответить | Правка | Наверх | Cообщить модератору

80. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."  +/
Сообщение от Аноним (80), 14-Ноя-24, 04:11 
> Но идея такая же - превратить веб-браузеры в исполнялки закрытого кода

Кто тебе мешает написать собственный браузер?

Ответить | Правка | Наверх | Cообщить модератору

87. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."  +/
Сообщение от Аноним (87), 14-Ноя-24, 08:54 
А что помешало мацкрософту написать свой движок газель? Случайно не w3c и его прихвостни?
Ответить | Правка | Наверх | Cообщить модератору

92. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."  +/
Сообщение от Аноним (92), 14-Ноя-24, 10:01 
В котором будет открываться только OpenNet - проверку DRM не проходит, разрабы рожей не вышли.
Ответить | Правка | К родителю #80 | Наверх | Cообщить модератору

91. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."  +/
Сообщение от Аноним (92), 14-Ноя-24, 10:00 
TEE DRM + Private Access Tokens (Web Environment Integrity от Apple, поддерживаемое везде, включая Хром, именно поэтому Googlag отступился от WEI - есть стандарт, дающий то же самое, но который в добавок есть и у эппла (которым нафиг не упёрлось продвигать гугловские стандарты, как крупный и более влиятельный вендор устройств, чем Googlag, Apple имело влиязние чтобы навязать свой стандарт) )
Ответить | Правка | К родителю #78 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру