[Перевод] Дыра в безопасности, которая обошлась Google в $1 млн. Что скрывает релиз Linux 7.0?

Семь миллиардов устройств. Тридцать пять лет истории. Linux 7.0 — это первое крупное обновление мажорной версии с 2022 года, и на этот раз цифра действительно имеет вес.

Ядро Linux — это та самая невидимая прослойка между вашим железом и всем, что вы делаете за компьютером. Именно оно решает, как ваш телефон общается с экраном и как Netflix стримит сериалы на ваш телевизор.

На нём работает Android. На нём держится большая часть интернета. Когда ядро меняется, миллиарды устройств в конечном итоге это чувствуют — замечаете вы это или нет.

Линус Торвальдс подтвердил смену версии и, в своей типичной манере, объяснил это простой арифметикой. «Я дошел до того момента, когда начинаю путаться в больших числах», — написал он. По его словам, у него уже почти закончились пальцы на руках и ногах, чтобы их считать.

Ядро прошло путь от 2.6 до 3.0, от 4.20 до 5.0, от 5.19 до 6.0. И вот теперь 6.19 превращается в 7.0. Никаких технических революций, привязанных к дате. Никаких сломанных API. Просто красивая цифра.

Но иногда новые крутые фичи идеально совпадают с символизмом момента. Только за первую половину окна слияния (merge window) в Linux 7.0 влилось 7 695 коммитов. Пятилетний эксперимент официально подошел к концу, в ядро завезли постквантовую криптографию и впервые прописали официальные правила для кода, сгенерированного нейросетями.

Я профессионально работаю с Linux уже больше 20 лет: в телекоме, цифровой медицине и deep-tech проектах. Я видел, как выходят и уходят разные версии ядра.

Какие-то из них важны. Какие-то — проходные. Но эта — действительно имеет значение.

Если этот текст откликается вашему опыту работы с Linux, похлопайте (clap), чтобы другие инженеры тоже могли его найти.

Linux 7.0 делает Rust официальным после пяти лет священных войн

С самого 1991 года ядро Linux писалось почти исключительно на языке C. Язык C — мощный, но он не прощает ошибок. Он позволяет вам допускать оплошности, которые рушат системы, портят память или создают дыры в безопасности.

Rust — это более новый язык, созданный как раз для того, чтобы предотвращать именно такие ошибки.

Главный спор заключался в том, стоит ли заставлять старых мастеров-сишников учить новые инструменты.

Самая главная новость в ядре Linux 7.0 — это не какая-то конкретная фича. Это культурный сдвиг.

На саммите мейнтейнеров ядра 2025 года в Токио был достигнут консенсус. Ведущий разработчик Rust Мигель Охеда выкатил патч, подводящий черту под всем периодом тестирования. Посыл был предельно ясен: Rust в ядре — это больше не эксперимент. Теперь это полноправная часть ядра, и он здесь всерьез и надолго.

Пять лет. Именно столько Rust жил с ярлыком «экспериментальный». За эти пять лет ядро разрослось примерно до 34 миллионов строк на C. Вклад Rust составил около 25 000 строк.

Эти цифры говорят нам о том, что Rust не заменяет C. Он дополняет его — осторожно, по одной подсистеме за раз.

Драма вокруг этого решения развернулась нешуточная. Кристоф Хелльвиг, мейнтейнер подсистемы DMA, назвал внедрение Rust в базовые подсистемы «раком» (имея в виду боль поддержки зоопарка из двух языков, а не сам Rust).

«Не заставляйте меня возиться с вашим блестящим языком-однодневкой», — заявил он. И со скандалом ушел с поста мейнтейнера DMA.

Уэдсон Алмейда Фильо, инженер Microsoft и ключевой контрибьютор проекта Rust for Linux, вообще покинул проект, сославшись на «нетехническую чушь». Алекс Гейнор, соруководитель направления Rust, ушел в отставку на той же неделе, когда Rust получил официальный статус.

Тед Цо, один из самых уважаемых разработчиков ядра, высказался прямолобо: «Дело вот в чем: вы не заставите всех нас учить Rust».

Вмешался Линус Торвальдс и отстоял место Rust. А Грег Кроа-Хартман (мейнтейнер стабильной ветки ядра) выдал отличный контрагрумент: «Большинство багов у нас возникает из-за дурацких мелких краевых случаев в C, которых в Rust просто не существует».

Android 16 уже поставляется с кодом ядра на Rust (аллокатор ashmem) и крутится на миллионах устройств. Это больше не теория. Это продакшен.

Кстати, об освоении новых инструментов и технологиях будущего

Переход на Rust — это лишь один из способов писать код надежнее. Но настоящая революция в IT происходит прямо сейчас благодаря нейросетям. И если вы используете ИИ только для того, чтобы гуглить ошибки или делать свою старую работу немного быстрее, вы все еще действуете как рядовой потребитель.

Стать инженером-создателем — представителем тех самых 5%, свободно владеющих ИИ, — требует фундаментального сдвига в мышлении. Речь больше не идет о том, чтобы спрашивать: «Как этот инструмент может выполнить мою текущую задачу?». Речь идет о том, чтобы спросить: «Как этот инструмент может полностью автоматизировать, масштабировать или переизобрести всю мою операционную модель?»

И чтобы стать таким творцом, вам нужен правильный арсенал. Ограничиваться одним ChatGPT — значит добровольно сужать свои возможности.

Для доступа не требуется VPN, можно использовать российскую карту.

Постквантовая криптография в ядре Linux 7.0

Каждый раз, когда ваш компьютер подгружает драйвер или программный компонент в ядро, он проверяет его цифровую подпись, чтобы убедиться, что код никто не подменил. Представьте себе это как сургучную печать на конверте.

Проблема в том, что будущие квантовые компьютеры смогут подделывать эти печати. И этот апдейт как раз о том, как старые печати меняют на новые, которые не по зубам даже квантовым машинам.

Большинство людей не заметят этого еще много лет, но в перспективе десятилетий это сыграет огромную роль. Linux 7.0 добавляет подписи ML-DSA для проверки модулей ядра.

ML-DSA расшифровывается как Module-Lattice-Based Digital Signature Algorithm (алгоритм цифровой подписи на основе модульных решеток). Это стандарт FIPS 204, одобренный NIST, и выбран он именно потому, что математика решеток — это лютая головная боль как для классических, так и для квантовых компьютеров. Теперь в ядре доступны три уровня безопасности (ML-DSA 44, 65 и 87).

Почему это важно уже сегодня, если до практического применения квантовых компьютеров еще годы? Все дело в атаках типа «собери сейчас, расшифруй потом». Государственные хакеры уже вовсю пылесосят зашифрованные данные, ожидая появления квантовых машин, чтобы их вскрыть.

Модули ядра, подписанные традиционными алгоритмами, можно было бы подделать задним числом.

Считайте, что это новые замки, которые невозможно вскрыть даже теми отмычками, которых еще не существует в природе. В этот релиз залетело больше 5000 строк кода для проверки таких подписей.

В рамках той же темы безопасности: подписание модулей с помощью SHA-1 отправляется на свалку истории. [NIST признал SHA-1 устаревшим] еще в 2011 году, а в 2017-м пошли в ход практические атаки с использованием коллизий.

Linux 7.0 выпиливает эту опцию с концами. Существующие модули с подписью SHA-1 пока еще будут загружаться, но их дни сочтены.

Самовосстановление XFS: Тихий прорыв Linux 7.0

Файловая система — это то, как ваш комп раскладывает файлы по полочкам на жестком диске. Без нее ваши фотки, документы и приложухи были бы просто бессмысленной кашей из нулей и единиц.

XFS — это суровая файловая система, которая пашет в дата-центрах и на крупных серверах хранения данных. Когда ее внутренняя структура ломается (из-за скачков напряжения, глюков железа или багов в софте), вы можете потерять доступ ко всему, что есть на диске.

До сих пор, чтобы починить такие поломки, систему нужно было уводить в офлайн. Новое обновление позволяет проводить ремонт прямо «на горячую», пока всё продолжает работать.

XFS, рабочая лошадка для тяжелого хранения данных, получила поддержку автономного самовосстановления.

Новый демон xfs_healer мониторит «здоровье» системы и автоматически находит и чинит битые метаданные, пока файловая система остается примонтированной. Никаких простоев. Никакого ручного вмешательства.

Контрольные суммы отлавливают повреждения прямо в процессе работы, а избыточные копии метаданных служат донором для восстановления.

Представьте себе тачку, которая сама перебирает свой движок, пока вы мчитесь по трассе. Конечно, магия работает не на всё. Если ваши личные файлы побились из-за умирающего жесткого диска — это всё еще ваша проблема.

Но повреждение метаданных — то самое, из-за которого вся файловая система может превратиться в кирпич, — теперь отлавливается и лечится в реальном времени.

Для всех, кто админит крупные кластеры на XFS (а в энтерпрайзе таких ребят много), это то самое тихое, но безумно полезное улучшение, которое экономит реальные деньги.

io_uring: Проблема безопасности на миллион долларов, которую решил Linux 7.0

Каждый раз, когда программа читает файл, шлет данные по сети или пишет на диск, она просит разрешения у ядра через «системный вызов» (system call). Эти вызовы безопасны, но работают медленно — это как каждый раз проходить рамки металлоискателя в аэропорту, когда вам просто нужно отойти за кофе.

io_uring — это эдакая VIP-очередь, которая позволяет скипнуть большую часть этого контроля. Проблема в том, что хакеры быстро смекнули: в этой VIP-зоне вообще нет камер наблюдения. Из-за этого Google потеряла 1 миллион долларов на выплатах баунти за найденные уязвимости.

io_uring — один из самых быстрых интерфейсов ввода-вывода вообще в любой операционке. Но он же стал и настоящим ночным кошмаром для безопасников.

В 2022 году 60% вознаграждений Google за найденные уязвимости ушли на эксплойты в io_uring. Google выплатила около $1 млн и от греха подальше полностью вырубила io_uring в Chrome OS.

Суть проблемы: io_uring работает в обход традиционных системных вызовов, а значит, seccomp (стандартный фильтр безопасности) до него просто не дотягивается. Это как поставить бронированную дверь с взводом охраны на главном входе, и при этом оставить настежь открытым черный ход.

В ядре Linux 7.0 подвезли BPF-фильтрацию для операций io_uring. Теперь сисадмины могут накручивать точечные политики безопасности для io_uring, не отключая его целиком.

В итоге вы получаете и бешеную скорость, и контроль над безопасностью. Этот фикс напрашивался уже давно, но для тех, кто крутит контейнеры и облака, оно того стоило.

А ваша команда отключала io_uring из соображений безопасности? Любопытно, сколько продакшен-сред пошли по тому же пути, что и Google.

Планировщик Linux 7.0: Меньше режимов, больше скорости

Планировщик — это эдакий регулировщик на перекрестке внутри ядра. Ваш комп крутит сотни процессов одновременно, но процессор (на одно ядро) может делать только что-то одно в конкретный момент времени. Планировщик решает, кто получит процессор следующим, надолго ли, и когда нужно прервать чью-то работу на полуслове.

Из-за кривого планировщика рабочий стол фризит, видео лагает, а в играх проседает FPS. Хороший планировщик делает так, что всё работает как по маслу, даже под жесткой нагрузкой.

В планировщике ядра количество режимов вытеснения (preemption) на современных архитектурах порезали с четырех до двух: PREEMPT_LAZY и PREEMPT_FULL.

PREEMPT_LAZY — самый сок. Это вариант «золотой середины»: расслабленное вытеснение для обычных фоновых задач (дайте им спокойно доделать работу) и агрессивное вытеснение для задач реального времени. Представьте себе босса, который дает сотрудникам договорить мысль, прежде чем перебить их — если только в офисе не сработала пожарная тревога.

В довесок к этому влили патч расширения временного кванта (time-slice), который пилили целых десять лет. Пользователи десктопного Linux должны заметить, что система стала отзывчивее, хотя официальных бенчмарков для 7.0 пока ждем.

Контейнеры и файловые системы в Linux 7.0: Тихие победы

Контейнеры — это способ упаковать софт так, чтобы он работал одинаково везде. Прямо как стандартные морские контейнеры, которые идеально встают на любой грузовик, поезд или баржу. Netflix, Spotify и почти все облачные сервисы живут на них.

Один сервак может одновременно тянуть сотни или тысячи контейнеров. Если заставить их запускаться быстрее и жрать меньше оперативки — это напрямую конвертируется в меньшие счета за сервера и молниеносные деплои.

Тут стоит подсветить два небольших, но крутых изменения.

OPEN_TREE_NAMESPACE (фича от Кристиана Браунера) ускоряет создание контейнеров на 40%. Бенчмарки показывают, что старый метод pivot_root() поднимал около 73 000 контейнеров за 60 секунд, а новый метод open_tree() за то же время разворачивает около 109 000. Если вы рулите кластерами Kubernetes на сотни нод, это прямо повлияет на то, как быстро стартуют ваши поды.

EROFS обзавелась поддержкой общего страничного кэша (shared page cache) в контейнерах. Файлы с одинаковым хэшем содержимого в разных контейнерах теперь шарят одну и ту же копию в кэше.

В контейнерных средах, где образы часто используют общие базовые слои (а обычно так и бывает), это может нехило сэкономить память. Вместо того чтобы каждый контейнер распечатывал свой собственный талмуд с правилами компании, одна копия просто лежит в курилке для всех.

Btrfs наконец-то научилась в прямой ввод-вывод (direct I/O) с большими размерами блоков, что раньше было невозможно. Базы данных, рендеринг видео и научные вычисления скажут за это огромное спасибо.

Политика ИИ-кода в ядре Linux 7.0: Правила игры для нейросетей

Ядро Linux пилят тысячи волонтеров и корпоративных разработчиков, которые закидывают куски кода («патчи»). Потом эти патчи ревьюят другие живые люди, прежде чем принять их в основную ветку.

Но когда ИИ-тулзы вроде ChatGPT и Claude Code начали писать код за разработчиков, комьюнити ядра пришлось задать себе вопрос: а может ли ИИ контрибьютить? И кто будет крайним, если код от нейросети поломает прод?

В Linux 7.0 завезли официальную документацию для ИИ-ассистентов, которая теперь висит на kernel.org. Правила игры просты как пять копеек:

Вы обязаны указывать, что вам помогал ИИ, используя тег Assisted-by. При этом ИИ-агентам СТРОГО ЗАПРЕЩЕНО вешать теги Signed-off-by, потому что только люди имеют юридическое право сертифицировать код по правилам Developer Certificate of Origin. Забавно, что саму документацию написали так, чтобы ее без проблем могли парсить ИИ-модели.

Ключевой принцип: «ИИ не шлет патчи сам по себе. Это делают люди».

За каждый релиз в ядро коммитят от 1500 до 2000 разрабов из 200–250 компаний. Когда у тебя кодовая база на 40+ миллионов строк (которая удвоилась за 10 лет) и она пухнет на 400 000 строк каждые два месяца, вопрос о сгенерированном коде был лишь делом времени. Официальная политика — это прагматичный и абсолютно необходимый шаг.

История версий ядра Linux: Взгляд со стороны

В отличие от айфонов или винды, где новая цифра в версии обычно означает, что всё перерисовали с нуля, номера версий ядра Linux — это просто счетчик. Они переключаются, когда предыдущая цифра начинает мозолить глаза.

Никто не устраивает «презентацию запуска Linux 7.0» с конфетти. Ядро просто тихонько релизит новую версию каждые два месяца, а цифра на коробке — чисто косметика.

Торвальдс всегда говорил прямо: с технической точки зрения номера версий «по сути бессмысленны». Ядро обновляется примерно каждые девять-десять недель, и плевать, какая там цифра красуется на фасаде. Важно то, что под капотом.

А под капотом у Linux 7.0 всё очень серьезно. Выпускной экзамен Rust и его переход из экспериментов в базовые компоненты — это реальная смена эпох. Постквантовые подписи делают Linux самой подготовленной к будущему операционкой в плане криптографии.

Самовосстановление XFS и песочница для io_uring — это мощные, продакшен-ready фичи, которые решают реальные боли.

С выходом Linux 7.0 то самое ядро, которое крутится в ваших Android-смартфонах, на облачных серверах, в умных чайниках и суперкомпьютерах, стало ощутимо лучше. Оно стало безопаснее, надежнее и обзавелось правилами игры, необходимыми для выживания проекта на 40 миллионов строк кода, который пишут тысячи людей.

И это однозначно заслуживает смены мажорной версии. Даже если сам Торвальдс шутит, что ему просто не хватает пальцев на ногах для счета.

Если хотите следить за тем, что происходит в мире Linux, я плотно освещаю эту тему: от того, как GNOME прощается с X11, до заката эпохи Mozilla и наступления эры Wayland. Подписывайтесь, чтобы не пропустить, что ядро приготовит нам дальше.