发行版兴趣小组 (Special Interest Group) **:**旨在为龙蜥社区构建、发布和维护一个稳定的操作系统发行版。
秋天的季节,发行版兴趣小组在 AI、安全、国产 OS 领域同样也是硕果累累。一起来看一下第三季度发行版兴趣小组的成果总结有哪些呢。
01 AI 软件栈适配
自 ChatGPT 发布以来,AI 已经在计算机领域带来一波又一波的热潮。为方便开发者,龙蜥社区选取了AI 技术中目前最为火热的数十个组件将其引入龙蜥版本中 ,比如 CUDA、Nvidia 驱动、各类 AI 加速库等,使开发者和用户可以轻易地获取和使用 AI 相关的应用。此类组件支持 Anolis OS 8 和 Anolis OS 23 版本,通过 yum 即可获取。同时 Anolis OS 23 还有对应的 AI docker 镜像提供给用户。
AI 组件
|-------|---------------------------------------------------------------------|------------------------------------------------------------------------|
| | Anolis OS 23 | Anolis OS 8 |
| AI 组件 | Nvidia驱动 CUDA AI库 AI框架 CPU 场景模型加速 Nvidia容器支持 AI python 库 AI 生态库,加速库 | Nvidia驱动 CUDA AI 库 AI 框架 CPU 场景模型加速 Nvidia 容器支持 AI python 库 AI 生态库,加速库 |
AI 镜像
|-------|-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| AI 镜像 | * registry.openanolis.cn/openanolis/tensorflow:2.12.0-23-20230710(CPU ONLY) * registry.openanolis.cn/openanolis/pytorch:2.0.1-23-20230710(CPU ONLY) * registry.openanolis.cn/openanolis/tensorflow:2.12.0-23(支持CPU/GPU) * registry.openanolis.cn/openanolis/pytorch:2.0.1-23(支持CPU/GPU) |
02 独立的安全修复能力
龙蜥社区通过总结过去的安全漏洞处理经验,逐渐总结出一套适用于社区的安全漏洞的修复流程,并且经过一段时间的验证,该套流程已经用于牵引版本的安全漏洞的实际修复中。本文将针对该安全漏洞修复的流程进行简单的阐述。
安全漏洞修复平台介绍
- CVECenter
该平台为社区开发专为安全漏洞流转等流程实现的平台,该平台可以实现安全感知、安全评估、安全分发、安全管理等一系列针对安全漏洞的管理能力。该平台在安全修复中起到了举足轻重的作用,实现了社区研发人员的高效沟通。
- ANAS
链接地址:https://anas.openanolis.cn/errata
ANAS 为龙蜥社区发布软件包更新信息的平台,CVECenter 中修复的安全漏洞会以软件包的形式发布,并最终发布在该平台上,所有社区用户均能够获取最新的修复软件包及更新修复信息。
安全漏洞过程展示
漏洞感知
漏洞情报推送到 CVECenter 后,会先进入"来源库",记录详细的漏洞情报上报时间,漏洞描述以及漏洞影响等数据,方便检索查询:
相关负责人收到漏洞预警信息,直接登录 CVE Center 即可对所负责领域的漏洞进行下一步评估处理。
漏洞评估
漏洞情报经过 CVE Center 自动初筛后,会进入"漏洞评估库",并通知相应负责人处理。软件包负责人登录 CVECenter 后即可看到评估库中需要自己处理的漏洞信息,点击进入评估界面,进行漏洞评估操作。评估界面也集成辅助工具协助评估人更便捷高效的完成漏洞评估工作,如 CVSSv3 评分计算器。
漏洞审核
所有的 CVE 评估与修复最终都是需要经过人工评审流程。
漏洞修复
漏洞评估经过审核后,会自动进入 CVE Center 的正式库。对评估为不需要修复的,会自动同步到 ANAS 上,自动关单,漏洞处理流程结束。
对评估为需要修复的,会自动开生成修复工单,并指派给预配置的负责人,走漏洞修复流程。
CVE Center 实现了漏洞修复全流程可视化跟踪,可以方便地查看漏洞修复进度、状态,也能方便导航到相应的修复工单,代码以及安全更新构建信息(此功能还在开发完善中),安全公告发布情况。
漏洞发布
漏洞修复完成,需要即时向 Anolis OS 的用户发布漏洞信息及安全更新。首先,版本研发同学会将此更新软件发布到软件包仓库源 上,提供漏洞修复的安全更新软件包下载。接着会发布安全更新相应的修复信息到龙蜥安全中心官网(ANAS),方便用户查看、下载相应的安全更新包。
03 国产 OS 标准能力增强
国密很重要,引入铜锁来帮忙
tongsuo (原名 BaBaSSL)是在开放原子开源基金会和龙蜥社区商密软件栈 SIG中开发和运营的中立化项目,不仅提供现代密码学算法和安全通信协议的开源基础密码库,为存储、网络、密钥管理、隐私计算等诸多业务场景提供底层的密码学基础能力,还能实现数据在传输、使用、存储等过程中的私密性、完整性和可认证性,为数据生命周期中的隐私和安全提供保护能力。
tongsuo 的重点特性:
-
技术合规:满足了 GM/T 0028《密码模块安全技术要求》的"软件密码模块安全一级"资质。
-
默认支持多种国密算法。
-
支持多种安全通信协议。
-
支持 Delegated Credentials**(https://www.yuque.com/tsdoc/ts/leubbg)** 功能,基于 draft-ietf-tls-subcerts-10**(h** ttps://www.ietf.org/archive/id/draft-ietf-tls-subcerts-10.txt)。
详情请见:
https://openanolis.github.io/whitebook-shangmi/tongsuo.html
Anolis OS 23 正式引入了 tongsuo 组件,用户可以通过 yum 工具来获取 tongsuo 。
yum install tongsuo
支持新国标规范
此前官方发布的中文规范 GB18030-2022 ,已逐渐成为国产 OS 的各种场景中的主流要求。对于国产 OS 的需求,龙蜥社区一向非常重视,因此在 Anolis OS 8/23 的主流版本中都新增了对该规范的支持。
Anolis OS 8/23 现已正式支持 GB18030-2022 中文规范 。
GB18030-2022 是新版的汉字编码字符集国家标准,是全文强制性标准,全部代替标准 GB18030-2005。
GB18030-2022 标准执行方式改为三个实现级别:
实现级别 1:用于最基本的中文信息处理和交换。
实现级别 2:用于促进《通用规范汉字表》的信息化应用。
实现级别 3:用于解决信息系统生僻字问题。
Anolis OS 8/23 的用户可以通过更新 glibc 至最新的版本的方式获取 GB18030-2022 的支持。
# update glibc version
yum update glibc
社区共建,发布支持龙芯 3D5000 型号版本
社区协同下,Anolis OS 8.8 QU1 版本完成了正式发布。这是社区共建的版本,以龙芯架构的需求为线索贯穿整个版本的研发工作。
Anolis OS 8.8 QU1 下载地址:
https://openanolis.cn/download
基于该龙芯研发版本,在 8 月份, 龙蜥社区合作伙伴单位南京龙众创芯电子科技有限公司与龙蜥社区理事单位龙芯中科(武汉)技术有限公司,联合可道云、上海七朵信息等多家生态伙伴,以及龙芯开源社区、龙蜥社区等多个技术社区,发布了基于龙架构的优龙国产全固态桌面存储一体机及其私有云网盘、NAS 方案。该产品主要面向个人、家庭、团体和小微企业,具有国产率高、全固态存储、数据安全加固、软件功能丰富、界面优美、协同办公能力强、提供多种远程访问服务等特点,率先提供了高国产率的桌面网络存储方案,开启桌面网络存储行业国产新浪潮。
相关链接:
版本发布兴趣小组主页:
https://openanolis.cn/sig/SIG-Distro
商密软件栈 SIG 主页:
https://openanolis.cn/sig/crypto
注:更多龙蜥 SIG 月度动态可点击这里查看。
------ 完 ------