forum.opennet.ru - "Microsoft открыл Hyperlight, гипервизор для изоляции отдельных функций в приложениях" (48)

"Microsoft открыл Hyperlight, гипервизор для изоляции отдельных функций в приложениях"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Microsoft открыл Hyperlight, гипервизор для изоляции отдельных функций в приложениях"	+/–
Сообщение от opennews (??), 13-Ноя-24, 10:26
Компания Microsoft представила проект Hyperlight, развивающий гипервизор, предназначенный для встраивания в приложения с целью изолированного выполнения кода, не заслуживающего доверия или требующего особой защиты. Гипервизор оформлен в виде разделяемой библиотеки, обеспечивающей выполнение отдельных функций в легковесных виртуальных машинах (micro-VM) и организующей обмен данными с этими функциями. Код проекта написан на языке Rust и распространяется под лицензией Apache 2.0... Подробнее: https://www.opennet.me/opennews/art.shtml?num=62226
Ответить \| Правка \| Cообщить модератору

Оглавление

А что за месячник такой неслыханной щедрости vmWare, MS HL , iCat (ok), 10:34 , 13-Ноя-24, (3) +3

Подгорает, сэр Конкуренция не дремлет, клиентов надо удерживать , Аноним (5), 10:37 , 13-Ноя-24, (5) +3

Где посмотреть на ваши проекты для батиных инженеров , Аноним (32), 14:12 , 13-Ноя-24, (32) –1

Замглавы департамента информационных технологий, связи и защиты информации МВД И, Аноним (56), 17:02 , 13-Ноя-24, (56)

Отсюда вывод - не заказывайте чипы на Тайване , YetAnotherOnanym (ok), 18:22 , 13-Ноя-24, (63) +3
К электрической сети сегодня много вопросов Надо защищать электрическую сеть h, Аноним (86), 08:00 , 14-Ноя-24, (86)

Экономику поджимает - оптимизация костов , Аноним (29), 13:25 , 13-Ноя-24, (29) +2
Возможно открытие таких кодовых баз требуется для обучения ИИ Накопленный корпо, Аноним (44), 15:05 , 13-Ноя-24, (44) –3

Спорное утверждение В словосочетании искусственный интеллект ведущее слово -, iCat (ok), 04:17 , 14-Ноя-24, (81)

1 Основной поток запускает защищённую обёрточную функцию обработки в micro-VM о, Жироватт (ok), 11:13 , 13-Ноя-24, (8) +3

Отвечу на 4-й вопрос Чтобы показать, что на Rust таки пишут, а не только перепи, Аноним (18), 12:06 , 13-Ноя-24, (18) –3
Видимо у них поинт в том, что они хотят именно в VM их гонять Простой контейнер, freehck (ok), 14:24 , 13-Ноя-24, (38)

Что это вообще такое и зачем , Аноним (11), 11:16 , 13-Ноя-24, (11) +2

Это желание привнести безопасность в контейнеризацию, которой там нет, вопреки з, Аноним (24), 12:44 , 13-Ноя-24, (24) +2

Безопасность контейнеризации существует только в воображении борцов с воображаем, Аноним (55), 16:48 , 13-Ноя-24, (55)

На что только люди не идут лишь бы дырявый код не переписывать , Аноним (12), 11:31 , 13-Ноя-24, (12)

Если бы можно было просто взять дырявый код и переписать в недырявый, все бы так, Аноним (44), 12:23 , 13-Ноя-24, (19) +1
От кода зависит Если проблема только в отсутствии проверок или плохих структурах, Аноним (-), 12:46 , 13-Ноя-24, (25)
Кек, будто они с коммитов его побегут перезаписывать, КО (?), 18:49 , 13-Ноя-24, (64)
Твой недырявый код, размером побольше, чем хэловрот мы, конечно же, не увидим Ка, Аноним (89), 09:27 , 14-Ноя-24, (89)

Даёшь каждому процессу по собственному компьютеру Так точно будет безопасТно , Аноним (30), 13:25 , 13-Ноя-24, (30) +8

Это уже было в девяностые Это у нас сервер бд, это веб-сервер, а это 8212 ФТ, Аноним (68), 20:13 , 13-Ноя-24, (68) +2

История идёт по спирали Только ещё нужно назначить по выделенному админу на каж, Аноним (30), 09:29 , 14-Ноя-24, (90)

Невооружённым взглядом видна только тенденция - как минимум МС новые проекты, ко, Аноним (31), 13:58 , 13-Ноя-24, (31) –2

Всегда были мертворождённые поделки, тут ничего удивительного На си МС не пишет, Аноним (48), 15:24 , 13-Ноя-24, (48) –1

ОК Но кто сказал, что гипервизор заслуживает доверия , Аноним (33), 14:13 , 13-Ноя-24, (33)
Серьезно Встраивать в приложение код, не заслуживающий доверия , Аноним (33), 14:15 , 13-Ноя-24, (34)

Любое приложение при запуске подтягивает общие библиотеки, написанные на языке, , НяшМяш (ok), 14:25 , 13-Ноя-24, (40)

а теперь поясни, как ты заставишь очередных вирусописателей использовать эту биб, Аноним (47), 15:13 , 13-Ноя-24, (47)
Вы не различаете концепции встраивать код в приложение и подтягивать библиоте, Аноним (58), 17:33 , 13-Ноя-24, (58)

Вижу пользу такую Например, используешь купленную DLL для манипуляции PDF-файлам, Штунц (?), 15:44 , 13-Ноя-24, (49)

термин untrusted CPU еще не хайповый Есть же red 8211 black architecture или э, Аноним (54), 16:38 , 13-Ноя-24, (54) –1

Это не защитит от проблем с несанкционированным доступом к чужой памяти, Аноним (57), 17:27 , 13-Ноя-24, (57)

а ну да, я же забыл, что у нас все яйца в одной корзине , Аноним (54), 17:35 , 13-Ноя-24, (59)

Скрыто модератором, Аноним (54), 16:33 , 13-Ноя-24, (53)
Это уже паравиртуализация или ещё нет , Аноним (67), 20:13 , 13-Ноя-24, (67)
Этот Hyperlight, по своему описанию, очень похож на такую штуку как экзоядро Для, Quad Romb (ok), 20:21 , 13-Ноя-24, (69)

Это напоминает firecracker-vm, тоже для реализации FaaS function as a service , мимопроходил (?), 23:51 , 13-Ноя-24, (79) +1

Вполне могу согласиться Тут скорее вопрос классификации - все эти гипорсветы, ог, Quad Romb (ok), 08:00 , 14-Ноя-24, (85)

Ну и смысл тогда в чём Ихняя виртуальная машина будет быстрее, только если код , Аноним (-), 21:23 , 13-Ноя-24, (70)
Посоны, не забывайте, что любая виртуализация от Microsoft делается с прицелом н, Аноним (72), 21:36 , 13-Ноя-24, (72)

P S AMD SEV работает на основе Microsoft Pluton , Аноним (72), 21:37 , 13-Ноя-24, (73) +1

м-м-м, а кто-то уже завернул это в питоновый патоз вон азуре упомянуто же уже , Аноним (74), 22:01 , 13-Ноя-24, (74)
Как по мне, это очередная инициатива сделать веб более закрытым Сегодня я в люб, myster (ok), 23:30 , 13-Ноя-24, (78) +1

Кто тебе мешает написать собственный браузер , Аноним (80), 04:11 , 14-Ноя-24, (80)

А что помешало мацкрософту написать свой движок газель Случайно не w3c и его пр, Аноним (87), 08:54 , 14-Ноя-24, (87)
В котором будет открываться только OpenNet - проверку DRM не проходит, разрабы р, Аноним (92), 10:01 , 14-Ноя-24, (92)

TEE DRM Private Access Tokens Web Environment Integrity от Apple, поддерживае, Аноним (92), 10:00 , 14-Ноя-24, (91)

Сообщения [Сортировка по времени | RSS]

3. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..." +3 +/–

Сообщение от iCat (ok), 13-Ноя-24, 10:34

А что за месячник такой неслыханной щедрости?
vmWare, MS HL...

Ответить | Правка | Наверх | Cообщить модератору

5. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..." +3 +/–

Сообщение от Аноним (5), 13-Ноя-24, 10:37

Подгорает, сэр. Конкуренция не дремлет, клиентов надо удерживать.

Ответить | Правка | Наверх | Cообщить модератору

32. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..." –1 +/–

Сообщение от Аноним (32), 13-Ноя-24, 14:12

Где посмотреть на ваши проекты для батиных инженеров?

Ответить | Правка | Наверх | Cообщить модератору

56. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..." +/–

Сообщение от Аноним (56), 13-Ноя-24, 17:02

Замглавы департамента информационных технологий, связи и защиты информации МВД Игорь Кашпур заявил, что серверы, оснащенные российскими микропроцессорами «Эльбрус», слишком быстро выходят из строя и при этом их нельзя оперативно заменить. Об этом пишет газета «Ведомости». - https://www.gazeta.ru/tech/news/2024/11/13/24376387.shtml ?

Ответить | Правка | Наверх | Cообщить модератору

63. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..." +3 +/–

Сообщение от YetAnotherOnanym (ok), 13-Ноя-24, 18:22

Отсюда вывод - не заказывайте чипы на Тайване.

Ответить | Правка | Наверх | Cообщить модератору

86. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..." +/–

Сообщение от Аноним (86), 14-Ноя-24, 08:00

К электрической сети сегодня много вопросов. Надо защищать электрическую сеть: https://www.opennet.me/openforum/vsluhforumID13/1034.html#21

Ответить | Правка | К родителю #56 | Наверх | Cообщить модератору

29. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..." +2 +/–

Сообщение от Аноним (29), 13-Ноя-24, 13:25

> А что за месячник такой неслыханной щедрости?
Экономику поджимает -> оптимизация костов.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

44. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..." –3 +/–

Сообщение от Аноним (44), 13-Ноя-24, 15:05

Возможно открытие таких кодовых баз требуется для обучения ИИ. Накопленный корпорациями код не представляет такой большой ценности в мире, где ИИ через несколько лет напишет лучше и на порядки быстрее.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

81. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..." +/–

Сообщение от iCat (ok), 14-Ноя-24, 04:17

> Возможно открытие таких кодовых баз требуется для обучения ИИ. Накопленный корпорациями
> код не представляет такой большой ценности в мире, где ИИ через
> несколько лет напишет лучше и на порядки быстрее.
Спорное утверждение...
В словосочетании "искусственный интеллект" ведущее слово - "искусственный", то есть "подражающий"

Ответить | Правка | Наверх | Cообщить модератору

8. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..." +3 +/–

Сообщение от Жироватт (ok), 13-Ноя-24, 11:13

1. Основной поток запускает защищённую обёрточную функцию обработки в micro-VM основного потока...
2. Обёрточная функция вызывает другую функцию файла (в отдельной или в этой же micro-VM?)...
3. ...которая вызывает функцию из внешнего по отношению к программе заголовочного файла (в чисто отдельной третьей micro-VM?)...
4. ...которая дёргает динамический dll'ный библиотечный код либы lib_a1.dll (тут уже точно в отдельной micro-VM?)...
5. ...которая дёргает динамический dll'ный библиотечный код либы lib_b2.dll (тут уже точно в отдельной micro-VM или либы будут бандлится в один образ VM?)...
6. ...которая по RPC (хотя бы тот же СОМ+) дёргает вообще другое ПО и получает какие-то данные (проприентарный патентованный сервер СОМ+ изначально требует защиты и запускается в расшифровываемой-на-лету micro-VM?), затем маршаллит результат (надеюсь не в micro-VM?) и передаёт обратно.
Вопросы:
1) Я правильно понял, что именно так можно будет выглядеть дерево вызовов внутри одного процесса?
2) Какой адок начнётся в многопроцессной работе? Micro-VM же насколько понял stateless? А параллельно будет запускаться одна micro-VM или целый пул из таких виртуалок?
3) Какие накладные расходы на это гуано будут не в бенчамарках, а при реальной работе? А для функций из 80% отношения Парето?
4) Нахуа, а главное зачем?

Ответить | Правка | Наверх | Cообщить модератору

18. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..." –3 +/–

Сообщение от Аноним (18), 13-Ноя-24, 12:06

Отвечу на 4-й вопрос. Чтобы показать, что на Rust таки пишут, а не только переписывают.

Ответить | Правка | Наверх | Cообщить модератору

38. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..." +/–

Сообщение от freehck (ok), 13-Ноя-24, 14:24

Видимо у них поинт в том, что они хотят именно в VM их гонять. Простой контейнер их не устраивает по каким-то причинам. Ну собственно, пусть допиливают: посмотрим, выстрелит ли.

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

11. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..." +2 +/–

Сообщение от Аноним (11), 13-Ноя-24, 11:16

Что это вообще такое и зачем?

Ответить | Правка | Наверх | Cообщить модератору

24. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..." +2 +/–

Сообщение от Аноним (24), 13-Ноя-24, 12:44

Это желание привнести безопасность в контейнеризацию, которой там нет, вопреки заверениям адептам культа карго.
Допустим, есть какие-то микросервисные проекты, расположенный в каком-то облаке. Разные проекты у разных клиентов. Как их заизолировать друг от друга? Как ограничить ресурсы, как вообще делать это всё?
Правильно! Виртуалками. То есть строим инфраструктуру виртуализации, поднимаем виртуалки для клиентов. Вот в них свои контейнеры и вращайте.
Этот проект - попытка стандартизировать дополнительные к WASM средства жесткой изоляции внутри контейнерных платформ. Причем это делается строго для микросервисных задач и оптимизируется для функций, которые часто вызываются и быстро отрабатывают.
Короче говоря, это unikernel такой для запуска контейнеров с WASM, который изолирует их сверху еще и гипервизором. Ну и да, оно не только WASM поддерживает теперь, собственно ради этого и несут в CNCF поближе к кубику.
Для легкого чтения:
https://arschles.com/blog/hyperlight-overview-1/
https://arschles.com/blog/hyperlight-overview-2/

Ответить | Правка | Наверх | Cообщить модератору

55. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..." +/–

Сообщение от Аноним (55), 13-Ноя-24, 16:48

> Это желание привнести безопасность в контейнеризацию, которой там нет, вопреки заверениям адептам культа карго.
Безопасность контейнеризации существует только в воображении борцов с воображаемыми адептами культа. Парад соломенных чучел в комментариях поражает. Припекает у местных — моё почтение. Тут тебе и Раст, и Майкрософт, и опенсорс, и стирание границ между виртуалками и контейнерами. Огнеопасная новость как ни крути. Продолжайте паясничать. Не хватает только комментариев от поха.

Ответить | Правка | Наверх | Cообщить модератору

12. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..." +/–

Сообщение от Аноним (12), 13-Ноя-24, 11:31

На что только люди не идут лишь бы дырявый код не переписывать...

Ответить | Правка | Наверх | Cообщить модератору

19. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..." +1 +/–

Сообщение от Аноним (44), 13-Ноя-24, 12:23

Если бы можно было просто взять дырявый код и переписать в недырявый, все бы так и делали. Помимо принципиальной невозможности уменьшить дырявость, при переписывании без актуализации требований к продукту мутирует бизнес логика (даже если в команде только сильные программеры). По большому счету это равносильно созданию новой версии продукта с нуля. У этих мероприятий есть вполне конкретная стоимость.
С точки зрения самоуверенных неопытных программистов, которые считают себя гениями, способными из большой кучи г сделать кондитерскую, все надо переписывать. На практике это страдания на годы, обычно заканчивающиеся закрытием проектов (и началом новых с возросшим энтузиазмом). При том, что даже проблемное легаси вполне можно привести в более или менее поддерживаемое состояние, намного быстрее и куда меньшими ресурсами.
Но сабж вообще не об этом. Он про изоляцию кода, который поддерживаете не вы. Вам предписано его только использовать. Не вам решать, переписывать или нет.

Ответить | Правка | Наверх | Cообщить модератору

25. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..." +/–

Сообщение от Аноним (-), 13-Ноя-24, 12:46

От кода зависит.
Если проблема только в отсутствии проверок или плохих структурах - то можно и переписать.
А если там еще кривая архитектура.. то иногда проще выкинуть и написать заново.
В итоге все равно будет экономия на ТЗ, тестпланах и прочих сопутсвующих вещах.

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

64. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..." +/–

Сообщение от КО (?), 13-Ноя-24, 18:49

Кек, будто они с коммитов его побегут перезаписывать

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

89. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..." +/–

Сообщение от Аноним (89), 14-Ноя-24, 09:27

Твой недырявый код, размером побольше, чем хэловрот мы, конечно же, не увидим?
Как всегда: ни в MS, ни в Google, ни среди коммитеров в линукс ядро нет умеющих писать недырявый код, а есть такие мастера только в комментариях на опеннете.
Мы даже знаем почему именно у таких вас код недярвый - потому, что если код не писать, то и ошибок в нём не сделать. Великие мастера бесконтактного боя прошедшие этап культивации и уже достигшие этапа возвышения, проводящие всё время в медитациях, а не боях.

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

30. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..." +8 +/–

Сообщение от Аноним (30), 13-Ноя-24, 13:25

Даёшь каждому процессу по собственному компьютеру! Так точно будет безопасТно.

Ответить | Правка | Наверх | Cообщить модератору

68. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..." +2 +/–

Сообщение от Аноним (68), 13-Ноя-24, 20:13

Это уже было в девяностые. Это у нас сервер бд, это веб-сервер, а это — ФТП-сервер для важных файлов. И бэкапы админ делает каждую пятницу с записью в Журнал Учёта Резервных Копий под подпись и с заверением главного.

Ответить | Правка | Наверх | Cообщить модератору

90. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..." +/–

Сообщение от Аноним (30), 14-Ноя-24, 09:29

История идёт по спирали. Только ещё нужно назначить по выделенному админу на каждый сервер, это решит проблему безработицы.

Ответить | Правка | Наверх | Cообщить модератору

31. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..." –2 +/–

Сообщение от Аноним (31), 13-Ноя-24, 13:58

Невооружённым взглядом видна только тенденция - как минимум МС новые проекты, которые раньше писались бы на Си, частенько выкатывает на Rust.

Ответить | Правка | Наверх | Cообщить модератору

48. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..." –1 +/–

Сообщение от Аноним (48), 13-Ноя-24, 15:24

Всегда были мертворождённые поделки, тут ничего удивительного. На си МС не пишет уже лет 20, раньше такое на бейсике или на жс писалось.

Ответить | Правка | Наверх | Cообщить модератору

33. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..." +/–

Сообщение от Аноним (33), 13-Ноя-24, 14:13

> гипервизор, предназначенный для встраивания в приложения с целью изолированного выполнения кода, не заслуживающего доверия или требующего особой защиты
ОК. Но кто сказал, что гипервизор заслуживает доверия?

Ответить | Правка | Наверх | Cообщить модератору

34. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..." +/–

Сообщение от Аноним (33), 13-Ноя-24, 14:15

> встраивания в приложения с целью изолированного выполнения кода, не заслуживающего доверия
Серьезно? Встраивать в приложение код, не заслуживающий доверия?

Ответить | Правка | Наверх | Cообщить модератору

40. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..." +/–

Сообщение от НяшМяш (ok), 13-Ноя-24, 14:25

Любое приложение при запуске подтягивает общие библиотеки, написанные на языке, не заслуживающем доверия. И работает в операционной системе, написанной на языке, не заслуживающем доверия. И никого это не напрягает. А тут просто придумали костыль, как сделать что-то небезопасное чуть безопаснее.

Ответить | Правка | Наверх | Cообщить модератору

47. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..." +/–

Сообщение от Аноним (47), 13-Ноя-24, 15:13

а теперь поясни, как ты заставишь очередных вирусописателей использовать эту библиотеку.

Ответить | Правка | Наверх | Cообщить модератору

58. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..." +/–

Сообщение от Аноним (58), 13-Ноя-24, 17:33

Вы не различаете концепции "встраивать код в приложение" и "подтягивать библиотеки при запуске"? Под словом "код", тем более - встриваемым, очевидно, понимают исходные коды на языке программирования того или иного уровня, но не скопмилированные модули (библиотеки или исполняемые модули). При наличии исходных кодов необходимо контролировать его безопасность и нет необходимости в особых мерах изоляции.

Ответить | Правка | К родителю #40 | Наверх | Cообщить модератору

49. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..." +/–

Сообщение от Штунц (?), 13-Ноя-24, 15:44

Вижу пользу такую:
Например, используешь купленную DLL для манипуляции PDF-файлами.
И есть подозрение, что в DLL есть баги выхода за границы буфера и следовательно портится память в вызывающем коде. Теперь, видимо, можно DLL как то изолировать будет

Ответить | Правка | Наверх | Cообщить модератору

54. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..." –1 +/–

Сообщение от Аноним (54), 13-Ноя-24, 16:38

термин untrusted CPU еще не хайповый? Есть же red–black architecture или это не для смертных?

Ответить | Правка | Наверх | Cообщить модератору

57. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..." +/–

Сообщение от Аноним (57), 13-Ноя-24, 17:27

Это не защитит от проблем с несанкционированным доступом к чужой памяти

Ответить | Правка | Наверх | Cообщить модератору

59. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..." +/–

Сообщение от Аноним (54), 13-Ноя-24, 17:35

а ну да, я же забыл, что у нас все яйца в одной корзине :)

Ответить | Правка | Наверх | Cообщить модератору

53. Скрыто модератором +/–

Сообщение от Аноним (54), 13-Ноя-24, 16:33

предвижу запуск отдельных функций в сендбокс эмуляторах иных архитектур, куда "безопасТней" будет.

Ответить | Правка | Наверх | Cообщить модератору

67. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..." +/–

Сообщение от Аноним (67), 13-Ноя-24, 20:13

Это уже паравиртуализация или ещё нет?

Ответить | Правка | Наверх | Cообщить модератору

69. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..." +/–

Сообщение от Quad Romb (ok), 13-Ноя-24, 20:21

Этот Hyperlight, по своему описанию, очень похож на такую штуку как экзоядро.
Для каких-то ответственных сервисов вполне может взлететь.

Ответить | Правка | Наверх | Cообщить модератору

79. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..." +1 +/–

Сообщение от мимопроходил (?), 13-Ноя-24, 23:51

Это напоминает firecracker-vm, тоже для реализации FaaS (function as a service).
Но, порожденное Амазонон, МС использовать не может, нужно свое.

Ответить | Правка | Наверх | Cообщить модератору

85. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..." +/–

Сообщение от Quad Romb (ok), 14-Ноя-24, 08:00

Вполне могу согласиться.
Тут скорее вопрос классификации - все эти гипорсветы, огнеколки и прочие униядра занимаются тем, что по месту забирают у подлежащей под ними ОС часть её основных функций.
А это было проработано в начале 90-х в академических экзоядерных прототипах. Просто тогда это оказалось коммерчески невостребовано. В отличие от нынешних облачных дней.

Ответить | Правка | Наверх | Cообщить модератору

70. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..." +/–

Сообщение от Аноним (-), 13-Ноя-24, 21:23

> В Hyperlight задержки при создании виртуальных машин составляют 1-2 миллисекунды
> запуск изолированного sandbox-окружения для выполнения WebAssembly-кода [..] занимает 0.03 миллисекунды.
Ну и смысл тогда в чём? Ихняя виртуальная машина будет быстрее, только если код в ней выполняется однократно или небольшое число раз. Если же гонять его надо сотни раз, то накладные расходы на jit поделятся на 100, и... А если код выполняется однократно, то так ли ему нужна скорость выполнения? При этом, wasm это настоящая виртуалка, а не дырявый процессор пытающийся изолировать выполнение кода.

Ответить | Правка | Наверх | Cообщить модератору

72. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..." +/–

Сообщение от Аноним (72), 13-Ноя-24, 21:36

Посоны, не забывайте, что любая виртуализация от Microsoft делается с прицелом на SEV-виртуалки, которые являются вещью что-то вроде SGX-анклавов, но круче. Если в анклавах запускается только ring-3 код, то в SEV-виртуалках можно запустить целую ОС при желании. Но иногда ОС не нужна, а нужен аналог SGX. Вот указанная штука - это и есть аналог SGX с такой же моделью использования, чтобы код, который для SGX портировать под SEV с минимальными издержками.

Ответить | Правка | Наверх | Cообщить модератору

73. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..." +1 +/–

Сообщение от Аноним (72), 13-Ноя-24, 21:37

P.S. AMD SEV работает на основе Microsoft Pluton.

Ответить | Правка | Наверх | Cообщить модератору

74. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..." +/–

Сообщение от Аноним (74), 13-Ноя-24, 22:01

м-м-м, а кто-то уже завернул это в питоновый патоз? вон азуре упомянуто же уже!

Ответить | Правка | Наверх | Cообщить модератору

78. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..." +1 +/–

Сообщение от myster (ok), 13-Ноя-24, 23:30

Как по мне, это очередная инициатива сделать веб более закрытым. Сегодня я в любом браузере могу нажать Ctrl+Shift+I и наглядно увидеть, что происходит в кишках сайта. Могу написать UserJS скрипт для изменения контента на странице, изменения стиля, заблокировать рекламу и т.п.
Но WebAssembly это шаг к тому, чтобы мы это не смогли, если код выполняется к скомпилированном .wasm файле без дебага, а Hyperlight тут будет дополнительным барьером.
И хоть этот проект и не связан с Silverlight, на который они вместе с отменой Flash забили. Но идея такая же - превратить веб-браузеры в исполнялки закрытого кода, любой веб сайт будет "котом в мешке" и сможет делать не пойми какую хрень, блокировщики рекламы и подобные инструменты станут бесполезны.
Такой веб нас ждет в ~2030 году?

Ответить | Правка | Наверх | Cообщить модератору

80. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..." +/–

Сообщение от Аноним (80), 14-Ноя-24, 04:11

> Но идея такая же - превратить веб-браузеры в исполнялки закрытого кода
Кто тебе мешает написать собственный браузер?

Ответить | Правка | Наверх | Cообщить модератору

87. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..." +/–

Сообщение от Аноним (87), 14-Ноя-24, 08:54

А что помешало мацкрософту написать свой движок газель? Случайно не w3c и его прихвостни?

Ответить | Правка | Наверх | Cообщить модератору

92. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..." +/–

Сообщение от Аноним (92), 14-Ноя-24, 10:01

В котором будет открываться только OpenNet - проверку DRM не проходит, разрабы рожей не вышли.

Ответить | Правка | К родителю #80 | Наверх | Cообщить модератору

91. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..." +/–

Сообщение от Аноним (92), 14-Ноя-24, 10:00

TEE DRM + Private Access Tokens (Web Environment Integrity от Apple, поддерживаемое везде, включая Хром, именно поэтому Googlag отступился от WEI - есть стандарт, дающий то же самое, но который в добавок есть и у эппла (которым нафиг не упёрлось продвигать гугловские стандарты, как крупный и более влиятельный вендор устройств, чем Googlag, Apple имело влиязние чтобы навязать свой стандарт) )

Ответить | Правка | К родителю #78 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

3. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."	+3 +/–
Сообщение от iCat (ok), 13-Ноя-24, 10:34
А что за месячник такой неслыханной щедрости? vmWare, MS HL...
Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."	+3 +/–
	Сообщение от Аноним (5), 13-Ноя-24, 10:37
	Подгорает, сэр. Конкуренция не дремлет, клиентов надо удерживать.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	32. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."	–1 +/–
	Сообщение от Аноним (32), 13-Ноя-24, 14:12
	Где посмотреть на ваши проекты для батиных инженеров?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	56. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."	+/–
	Сообщение от Аноним (56), 13-Ноя-24, 17:02
	Замглавы департамента информационных технологий, связи и защиты информации МВД Игорь Кашпур заявил, что серверы, оснащенные российскими микропроцессорами «Эльбрус», слишком быстро выходят из строя и при этом их нельзя оперативно заменить. Об этом пишет газета «Ведомости». - https://www.gazeta.ru/tech/news/2024/11/13/24376387.shtml ?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	63. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."	+3 +/–
	Сообщение от YetAnotherOnanym (ok), 13-Ноя-24, 18:22
	Отсюда вывод - не заказывайте чипы на Тайване.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	86. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."	+/–
	Сообщение от Аноним (86), 14-Ноя-24, 08:00
	К электрической сети сегодня много вопросов. Надо защищать электрическую сеть: https://www.opennet.me/openforum/vsluhforumID13/1034.html#21
	Ответить \| Правка \| К родителю #56 \| Наверх \| Cообщить модератору


	29. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."	+2 +/–
	Сообщение от Аноним (29), 13-Ноя-24, 13:25
	> А что за месячник такой неслыханной щедрости? Экономику поджимает -> оптимизация костов.
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору


	44. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."	–3 +/–
	Сообщение от Аноним (44), 13-Ноя-24, 15:05
	Возможно открытие таких кодовых баз требуется для обучения ИИ. Накопленный корпорациями код не представляет такой большой ценности в мире, где ИИ через несколько лет напишет лучше и на порядки быстрее.
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору


	81. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."	+/–
	Сообщение от iCat (ok), 14-Ноя-24, 04:17
	> Возможно открытие таких кодовых баз требуется для обучения ИИ. Накопленный корпорациями > код не представляет такой большой ценности в мире, где ИИ через > несколько лет напишет лучше и на порядки быстрее. Спорное утверждение... В словосочетании "искусственный интеллект" ведущее слово - "искусственный", то есть "подражающий"
	Ответить \| Правка \| Наверх \| Cообщить модератору

8. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."	+3 +/–
Сообщение от Жироватт (ok), 13-Ноя-24, 11:13
1. Основной поток запускает защищённую обёрточную функцию обработки в micro-VM основного потока... 2. Обёрточная функция вызывает другую функцию файла (в отдельной или в этой же micro-VM?)... 3. ...которая вызывает функцию из внешнего по отношению к программе заголовочного файла (в чисто отдельной третьей micro-VM?)... 4. ...которая дёргает динамический dll'ный библиотечный код либы lib_a1.dll (тут уже точно в отдельной micro-VM?)... 5. ...которая дёргает динамический dll'ный библиотечный код либы lib_b2.dll (тут уже точно в отдельной micro-VM или либы будут бандлится в один образ VM?)... 6. ...которая по RPC (хотя бы тот же СОМ+) дёргает вообще другое ПО и получает какие-то данные (проприентарный патентованный сервер СОМ+ изначально требует защиты и запускается в расшифровываемой-на-лету micro-VM?), затем маршаллит результат (надеюсь не в micro-VM?) и передаёт обратно. Вопросы: 1) Я правильно понял, что именно так можно будет выглядеть дерево вызовов внутри одного процесса? 2) Какой адок начнётся в многопроцессной работе? Micro-VM же насколько понял stateless? А параллельно будет запускаться одна micro-VM или целый пул из таких виртуалок? 3) Какие накладные расходы на это гуано будут не в бенчамарках, а при реальной работе? А для функций из 80% отношения Парето? 4) Нахуа, а главное зачем?
Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."	–3 +/–
	Сообщение от Аноним (18), 13-Ноя-24, 12:06
	Отвечу на 4-й вопрос. Чтобы показать, что на Rust таки пишут, а не только переписывают.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	38. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."	+/–
	Сообщение от freehck (ok), 13-Ноя-24, 14:24
	Видимо у них поинт в том, что они хотят именно в VM их гонять. Простой контейнер их не устраивает по каким-то причинам. Ну собственно, пусть допиливают: посмотрим, выстрелит ли.
	Ответить \| Правка \| К родителю #8 \| Наверх \| Cообщить модератору

11. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."	+2 +/–
Сообщение от Аноним (11), 13-Ноя-24, 11:16
Что это вообще такое и зачем?
Ответить \| Правка \| Наверх \| Cообщить модератору


	24. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."	+2 +/–
	Сообщение от Аноним (24), 13-Ноя-24, 12:44
	Это желание привнести безопасность в контейнеризацию, которой там нет, вопреки заверениям адептам культа карго. Допустим, есть какие-то микросервисные проекты, расположенный в каком-то облаке. Разные проекты у разных клиентов. Как их заизолировать друг от друга? Как ограничить ресурсы, как вообще делать это всё? Правильно! Виртуалками. То есть строим инфраструктуру виртуализации, поднимаем виртуалки для клиентов. Вот в них свои контейнеры и вращайте. Этот проект - попытка стандартизировать дополнительные к WASM средства жесткой изоляции внутри контейнерных платформ. Причем это делается строго для микросервисных задач и оптимизируется для функций, которые часто вызываются и быстро отрабатывают. Короче говоря, это unikernel такой для запуска контейнеров с WASM, который изолирует их сверху еще и гипервизором. Ну и да, оно не только WASM поддерживает теперь, собственно ради этого и несут в CNCF поближе к кубику. Для легкого чтения: https://arschles.com/blog/hyperlight-overview-1/ https://arschles.com/blog/hyperlight-overview-2/
	Ответить \| Правка \| Наверх \| Cообщить модератору


	55. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."	+/–
	Сообщение от Аноним (55), 13-Ноя-24, 16:48
	> Это желание привнести безопасность в контейнеризацию, которой там нет, вопреки заверениям адептам культа карго. Безопасность контейнеризации существует только в воображении борцов с воображаемыми адептами культа. Парад соломенных чучел в комментариях поражает. Припекает у местных — моё почтение. Тут тебе и Раст, и Майкрософт, и опенсорс, и стирание границ между виртуалками и контейнерами. Огнеопасная новость как ни крути. Продолжайте паясничать. Не хватает только комментариев от поха.
	Ответить \| Правка \| Наверх \| Cообщить модератору

12. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."	+/–
Сообщение от Аноним (12), 13-Ноя-24, 11:31
На что только люди не идут лишь бы дырявый код не переписывать...
Ответить \| Правка \| Наверх \| Cообщить модератору


	19. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."	+1 +/–
	Сообщение от Аноним (44), 13-Ноя-24, 12:23
	Если бы можно было просто взять дырявый код и переписать в недырявый, все бы так и делали. Помимо принципиальной невозможности уменьшить дырявость, при переписывании без актуализации требований к продукту мутирует бизнес логика (даже если в команде только сильные программеры). По большому счету это равносильно созданию новой версии продукта с нуля. У этих мероприятий есть вполне конкретная стоимость. С точки зрения самоуверенных неопытных программистов, которые считают себя гениями, способными из большой кучи г сделать кондитерскую, все надо переписывать. На практике это страдания на годы, обычно заканчивающиеся закрытием проектов (и началом новых с возросшим энтузиазмом). При том, что даже проблемное легаси вполне можно привести в более или менее поддерживаемое состояние, намного быстрее и куда меньшими ресурсами. Но сабж вообще не об этом. Он про изоляцию кода, который поддерживаете не вы. Вам предписано его только использовать. Не вам решать, переписывать или нет.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	25. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."	+/–
	Сообщение от Аноним (-), 13-Ноя-24, 12:46
	От кода зависит. Если проблема только в отсутствии проверок или плохих структурах - то можно и переписать. А если там еще кривая архитектура.. то иногда проще выкинуть и написать заново. В итоге все равно будет экономия на ТЗ, тестпланах и прочих сопутсвующих вещах.
	Ответить \| Правка \| К родителю #12 \| Наверх \| Cообщить модератору


	64. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."	+/–
	Сообщение от КО (?), 13-Ноя-24, 18:49
	Кек, будто они с коммитов его побегут перезаписывать
	Ответить \| Правка \| К родителю #12 \| Наверх \| Cообщить модератору


	89. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."	+/–
	Сообщение от Аноним (89), 14-Ноя-24, 09:27
	Твой недырявый код, размером побольше, чем хэловрот мы, конечно же, не увидим? Как всегда: ни в MS, ни в Google, ни среди коммитеров в линукс ядро нет умеющих писать недырявый код, а есть такие мастера только в комментариях на опеннете. Мы даже знаем почему именно у таких вас код недярвый - потому, что если код не писать, то и ошибок в нём не сделать. Великие мастера бесконтактного боя прошедшие этап культивации и уже достигшие этапа возвышения, проводящие всё время в медитациях, а не боях.
	Ответить \| Правка \| К родителю #12 \| Наверх \| Cообщить модератору

30. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."	+8 +/–
Сообщение от Аноним (30), 13-Ноя-24, 13:25
Даёшь каждому процессу по собственному компьютеру! Так точно будет безопасТно.
Ответить \| Правка \| Наверх \| Cообщить модератору


	68. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."	+2 +/–
	Сообщение от Аноним (68), 13-Ноя-24, 20:13
	Это уже было в девяностые. Это у нас сервер бд, это веб-сервер, а это — ФТП-сервер для важных файлов. И бэкапы админ делает каждую пятницу с записью в Журнал Учёта Резервных Копий под подпись и с заверением главного.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	90. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."	+/–
	Сообщение от Аноним (30), 14-Ноя-24, 09:29
	История идёт по спирали. Только ещё нужно назначить по выделенному админу на каждый сервер, это решит проблему безработицы.
	Ответить \| Правка \| Наверх \| Cообщить модератору

31. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."	–2 +/–
Сообщение от Аноним (31), 13-Ноя-24, 13:58
Невооружённым взглядом видна только тенденция - как минимум МС новые проекты, которые раньше писались бы на Си, частенько выкатывает на Rust.
Ответить \| Правка \| Наверх \| Cообщить модератору


	48. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."	–1 +/–
	Сообщение от Аноним (48), 13-Ноя-24, 15:24
	Всегда были мертворождённые поделки, тут ничего удивительного. На си МС не пишет уже лет 20, раньше такое на бейсике или на жс писалось.
	Ответить \| Правка \| Наверх \| Cообщить модератору

33. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."	+/–
Сообщение от Аноним (33), 13-Ноя-24, 14:13
> гипервизор, предназначенный для встраивания в приложения с целью изолированного выполнения кода, не заслуживающего доверия или требующего особой защиты ОК. Но кто сказал, что гипервизор заслуживает доверия?
Ответить \| Правка \| Наверх \| Cообщить модератору

34. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."	+/–
Сообщение от Аноним (33), 13-Ноя-24, 14:15
> встраивания в приложения с целью изолированного выполнения кода, не заслуживающего доверия Серьезно? Встраивать в приложение код, не заслуживающий доверия?
Ответить \| Правка \| Наверх \| Cообщить модератору


	40. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."	+/–
	Сообщение от НяшМяш (ok), 13-Ноя-24, 14:25
	Любое приложение при запуске подтягивает общие библиотеки, написанные на языке, не заслуживающем доверия. И работает в операционной системе, написанной на языке, не заслуживающем доверия. И никого это не напрягает. А тут просто придумали костыль, как сделать что-то небезопасное чуть безопаснее.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	47. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."	+/–
	Сообщение от Аноним (47), 13-Ноя-24, 15:13
	а теперь поясни, как ты заставишь очередных вирусописателей использовать эту библиотеку.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	58. "Microsoft открыл Hyperlight, гипервизор для изоляции отдельн..."	+/–
	Сообщение от Аноним (58), 13-Ноя-24, 17:33
	Вы не различаете концепции "встраивать код в приложение" и "подтягивать библиотеки при запуске"? Под словом "код", тем более - встриваемым, очевидно, понимают исходные коды на языке программирования того или иного уровня, но не скопмилированные модули (библиотеки или исполняемые модули). При наличии исходных кодов необходимо контролировать его безопасность и нет необходимости в особых мерах изоляции.
	Ответить \| Правка \| К родителю #40 \| Наверх \| Cообщить модератору