Canonical Livepatch для ARM64 — теперь официально

Canonical Livepatch теперь официально поддерживает архитектуру ARM64. Системные администраторы зарабатывают больше возможностей для автоматизации, а обновления безопасности будут интегрироваться в систему чаще и без задержек — не придется каждый раз ждать удобного момента для рестарта высоконагруженной системы.

Сопровождение начинается с релиза Ubuntu Core 26 для ARM-архитектуры и с версии Core 20 для AMD64.

Ubuntu Core — это специальная, максимально облегченная версия Ubuntu. Она разработана не для серверов или обычных домашних компьютеров, а для устройств «интернета вещей» (IoT), робототехники, «умных» плат и промышленных систем. Характерная черта — идеальная оптимизация для работы на ARM64.

Нововведение серьезно повышает защита систем, у которых нет окон регулярного обслуживания — скажем, раз в день или неделю. Непрерывный патчинг весьма важен и для компаний, которым необходимо соответствовать жестким требованиям европейского закона о киберустойчивости (Cyber Resilience Act).

Новость еще примечательна тем, что за ней стоит колоссальная проделанная работа.

К проекту в Canonical приступили в конце 2023 года. Ubuntu предоставляла сборки ARM64 почти для каждого выпущенного ядра, однако к поддержке автоматического обновления экосистема была не готова.

Чтобы накладывать обновления «на лету», движок должно безошибочно определять момент, когда текущую задачу безопасно перевести на исправленный исходник. Главную роль в этом механизме играют надежные трассировки стека — такие, как параметр CONFIG_HAVE_RELIABLE_STACKTRACE. И именно здесь крылась задача: в апстриме ядра для ARM64 долгое время не было стабильной и всеми признанной реализации этой функции.

Вдобавок хромал и сам инструментарий для сборки и побайтового сравнения оригинальных и пропатченных ядер. Те же GCC, objdump и Kpatch не могли похвастаться зрелой поддержкой ARM-архитектуры. Разнообразные патчи и пулл-реквесты предлагались энтузиастами еще с 2021 года, но эти наработки вязли в горячих спорах комьюнити и так и не сливались с основной веткой.

Массовое внедрение мощных ARM-процессоров в облаках и усложнение периферийных устройств не оставили выбора — решать эту головоломку пришлось всей индустрии. Потребовалась усердная кооперация инженеров, ведущих разработчиков ОС, облачных гигантов, вендоров железа и широкого опенсорс-сообщества.

В какой‑то момент пазл сложился. В апстрим наконец-то влили нужные доработки для использующихся инструментов, модели консистентности ядра для Arm64 и механизма проверок надежности трассировки стека. Появилась та самая критически важная «страховочная сетка», которая даёт возможность официально и безопасно подменять код прямо «на живом» ядре.

Пришло время для масштабного тестирования и проверки сборочной инфраструктуры на прочность.

Сборка лайв-патчей требует компиляции сразу двух копий ядра Linux. С учётом, что обновления проверяются кумулятивно для огромного парка ядер, версий Ubuntu и различных архитектур, процедура быстро превращается в непростую вычислительную задачу. Инженерам приходится оперировать целыми сборочными фермами, где код компилируется непосредственно на целевых платформах и ровно тем же компилятором, что и само ядро.

Мобильная ферма Selectel

Запустите тесты на реальных Android- или iOS-устройствах.

Получить 100 минут бесплатно →

При этом никакой эмуляции, тесты идут только нативно — все ради максимальной производительности и стопроцентной корректности сборки. Важно было железобетонно гарантировать, что лайв-патчи для ARM64 ни в чем не уступают по стабильности проверенным решениям на AMD64.

В завершение команда основательно перетряхнула сеть дистрибуции и сами клиенты,тем самым обеспечила бесшовную мультиархитектурную доставку.

Усилия принесли итог: уже в конце февраля заказчик Livepatch под ARM64 успешно накладывал обновления ядра «на живую» в тестовых средах для Ubuntu 26.04 LTS и Ubuntu Core 26. Сегодня же сопровождение стала официальной.