Canonical Livepatch 正式支持 Arm64 架构

Mark Do 13 小时前暂无评论阅读 45 次

里程碑：Arm64 内核实时补丁功能上线

Canonical 宣布，其 Livepatch 服务现已正式支持 Arm64 架构，进一步扩展了自动化安全补丁的能力。这意味着，运行 Ubuntu 的 Arm64 设备首次能够在不中断服务、无需重启的情况下，应用关键的内核更新。从 Ubuntu Core 26 for Arm64 开始，以及针对 AMD64 机器的 Ubuntu Core 20 及后续版本，更多设备与云虚拟机都能通过 Canonical Livepatch 及时修复漏洞。这一增强将显著提升那些并非每日或每周进行安全维护的系统的安全性，同时为致力于满足《网络弹性法案》（CRA）合规要求的企业提供运营优势。

2023 年：起步阶段

2023 年底，我们进行了一次全面的差距分析，以确定将内核实时补丁引入 Arm64 处理器需要克服哪些障碍。当时，虽然 Ubuntu 为几乎所有已发布的内核提供了 Arm64 构建版本，但整个生态尚未准备好支持该架构的实时补丁。

实时补丁要求内核精确判断何时可以安全地将正在运行的任务切换到修补后的代码。这高度依赖于可靠的内核栈回溯（CONFIG_HAVE_RELIABLE_STACKTRACE）。然而，上游 Arm64 内核当时缺乏稳定且被广泛接受的可靠栈回溯实现。此外，用于编译和对比未修补与修补内核的工具链（包括 GCC、objdump 和 Kpatch）也未完全成熟地支持 Arm64。尽管已有部分合并请求和补丁（有的甚至追溯到 2021 年），但它们仍处于激烈讨论阶段，未能完全合入上游。

2024 年至 2026 年：攻坚克难

随着高性能 Arm 处理器在云环境中的普及以及复杂边缘设备的增多，解决这一难题成为整个行业的共同需求。将 2023 年的差距分析转化为今天的结果，需要主流操作系统厂商、超大规模云服务商、芯片供应商以及广大开源社区工程师之间的巨大协同努力。当工具链先决条件、Arm64 内核一致性模型以及可靠栈回溯检查的实现最终合入上游后，在运行中的内核中安全替换代码所需的关键防护机制才正式到位。

针对上游的这些进展，我们的工程师提前确保 Livepatch 服务器和客户端能够分发和管理 Arm64 内核实时补丁。一旦上游提供了生成 Arm64 处理器可加载的累积内核模块的工具，我们就开始测试，并全力验证内核构建基础设施。在幕后，基础设施团队投入了大量工作：构建实时内核补丁需要编译两份 Linux 内核副本，因为我们要针对许多内核、许多 Ubuntu 版本以及多种架构进行累积测试，这一过程对计算资源的需求随时间推移极其庞大。工程师们编排了构建农场，使用与内核相同的编译器在目标架构上编译实时内核补丁。

为了确保性能和正确性，我们在构建或测试实时内核补丁时不使用架构模拟。我们为构建农场增加了专用的 Arm64 实例，提升性能以处理数百个滚动内核补丁的原生编译重负载。同时，我们构建了全新的、特定于架构的回归测试套件，以保证 Arm64 实时补丁与 AMD64 补丁一样稳定。最后，我们对实时补丁分发网络和客户端进行了全面改造，确保了无缝的多架构交付。2026 年 2 月底，针对 Ubuntu 26.04 LTS 和 Ubuntu Core 26 的 Arm64 Livepatch 客户端已在测试环境中成功应用了实时内核补丁。

当前与未来

今天，所有这些 Arm64 内核实时补丁工作的成果已集成到 Ubuntu 26.04 LTS 和 Ubuntu Core 26 中。我们已填补了过去几年的技术空白，取而代之的是一个稳健且可扩展的管道，能够直接将无需重启的安全补丁部署到你的 Arm64 基础设施上。无论你是在管理一批远程边缘设备，还是扩展基于 Arm 的云服务器，并且你的系统并非每日或每周进行安全修补和重启，那么 Canonical Livepatch 将成为维护可信且高可用设备群的关键工具。