英特尔准备通过 Platform Firmware Runtime Update 和 Telemetry 驱动代码为 Linux 内核引入 Seamless Update 功能，即无需重启就能更新固件。Seamless Update 针对的是数据中心和企业级客户，这些客户对停机时间有着高服务水平协议（service level agreements，SLA），而更新固件通常需要重启系统使得服务下线数分钟影响到 SLA。Seamless Update 设计在更新固件过程中不需要重启。英特尔可能会在明年发布 Xeon Scalable "Sapphire Rapids"时推出 Seamless Update。

Whonix 16 基于 Debian‘Bullseye’（Debian 11）发行版。这意味着用户可以使用许多和现有软件包一致的新软件包。此外，该版本还带来许多令人兴奋的安全增强功能，例如 Hardened Malloc Kicksecure (HMK)、Linux Kernel Runtime Guard (LKRG) ) 和 Whonix 安全路线图上的其他项目。

查看全文

HardenedVault 写道 "在模糊测试领域，2010年代的前半段和后半段几乎被Trinity和Syzkaller两大工具垄断，经过了数年的发展，syzkaller作为通用QA测试基本能满足Linux内核主线的迭代开发需求，但针对特定子系统的深度探索是远远无法达到高稳定性要求的行业，比如金融，工控，车联网，云计算等行业都会出现几种情况，1）引入第三方内核代码，通常这些代码都是安全漏洞的高危地带，即使不开源，通过逆向工程也可满足安全分析的需求：2）某些行业应用依赖于特定内核子系统中的特定模块，通用型QA无法快速的实现其代码覆盖率：3）应用程序中不完备的回归测试，即应用的运行并没有完成对内核稳定性的基本测试。为了更好的解决这些问题，HardenedVault开发了基于状态导向的 fuzzer : VaultFuzzer , VaultFuzzer方案兼容现有的syzkaller框架，最大的优势在于可以把客户的业务需求和特定内核子系统给关联起来，这样的模糊测试可以为业务系统带来更强的稳定性。"

Linus Torvalds 在内核邮件列表上宣布释出 Linux 5.15-rc1，该版本的 commit 数是 5.x 系列最少。主要新变化包括： Paragon Software 开发的 NTFS3 内核驱动，改进对微软 NTFS 文件系统的支持；内核空间 SMB3 文件服务器 KSMBD；AMD PassThru DMA 引擎驱动；英特尔 DG2/Alchemist 和 XeHP 显卡初步支持；改进 Apple M1 支持；等等。如果一切顺利，Linux 5.15 正式版将在 11 月释出。

HardenedVault 写道 " 自从1996年Aleph One在Phrack Issue 49上发表了 Smashing The Stack For Fun And Profit的论文后，开启了长期的争夺内存核心控制权的战争，攻击者在之后的10年里大多把目标放在用户空间，但随着用户空间mitigation的普及更多的攻击者开始把核心转移到了内核，2015年，PaX/GRsecurity作者接受华盛顿邮报采访并揭露了Linux内核安全问题后由Google, RedHat, ARM, Intel豪华阵容组成Linux内核自防护计划。可惜此计划进行了6年后的今天已经接近流产，但Linux则进入了更多重要基础设施的领域，比如电力，能源，车联网，工业控制等，遗憾的是，Linux内核安全的问题依旧没有解决。为了帮助行业客户解决以上问题，HardenedVault开发的Linux内核0day漏洞防护方案VED的威胁模型，首先，VED作为一个以LKM加载的方案，基本实现框架基于hook，兼容现有Linux内核安全防护的hook方案（比如AKO或者LKRG）：VED会尽量在更早阶段针对漏洞利用平面进行阻断，失败后再进行后期的检测类阻断： 谁去守护守护者是一个安全哲学问题，VED是一款重要安全产品，因为它是防护企业生产环境的重要防线（突破内核后就是虚拟化，固件和硬件层了，所以可以说是最后一道有意义的防线），所以VED必须具备自防护特性，这也算VED的最大亮点之一，因为迄今为止除了PaX/GRsecurity以外的以LKM（内核模块）形式的内核防护方案从未考虑过自身的安全性。另外，HardenedVault也介绍了针对AUTOSAR的AP平台在车联网场景下防护车端（ARMv8.2）和基于Kubernetes云端（x86_64）中VED的威胁模型以及如何协同Falco以及SIEM/ELK达到纵深防御的目的。"

Linux 在诞生三十年之后已经无处不在：几乎所有大型网站都运行在 Linux 上；云服务最流行的系统是 Linux——即使是在微软的 Azure 云服务上最受欢迎的操作系统也是 Linux；所有 Top 500 超算都运行 Linux；Android 的流行让 Linux 成为最受欢迎的终端操作系统。但为什么 Linux 能够成功？Linux 作者 Linus Torvalds 认为 1992 年选择 GPLv2 许可证这一决定非常重要，他相信这是 Linux 广泛采用的一大原因，不是每个人都喜欢 GPLv2，他本人与 FSF 有不同观点，但他认为 GPLv2 起了很大作用，不应该忽视许可证问题。另一个重要原因是企业的参与，Linux 从诞生之初大企业就一直对其有兴趣，虽然部分开源社区对商业参与相当反感。Torvalds 还提到 Linux 曾是他的工作名，他一开始没有选择 Linux 作为新系统的名字是因为这会让人觉得太自大，可能就不会认真对待，因此挑选了名字 Freax，代表 Free Unix。但首位 Linux 管理员 Ari Lemmk 认为这个名字太蠢，因此选择 Linux 这个名字作为 Torvalds 的个人项目使用。

Linux 作者 Linus Torvalds 在内核邮件列表上宣布释出 Linux 5.14。在 Linux 社区庆祝诞生 30 周年活动之际，Linux 作者认为社区需要一些喘息的机会，而这个机会就是试用 Linux 5.14。新版本的主要特性包括：在云计算时代有用的核心调度（Core scheduling）；改进 CFS 带宽控制器在突发性延迟敏感工作负荷下的表现；rq_qos I/O 优先策略；改进 SO_REUSEPORT 网络选项；控制组关闭功能；memfd_secret()系统调用；quotactl_fd() 系统调用，等等。

1991 年 8 月 25 日，Linus Torvalds 在 comp.os.minix 新闻组里发表了著名的声明，宣布了 Linux 的诞生。他当时对新操作系统并不抱太高的期望，他在邮件中说，“我正在为386（486）AT clones 写一个（自由的）操作系统（只是爱好而已，不会和 GNU 一样成为广泛且专业的操作系统）...“30 年后的今天，Linux 已经无处不在，虽然没能占领桌面，但 Linux 桌面发行版也已经发生了翻天覆地的变化，易用性并不差，关键问题主要在于生态系统。

至今仍在维护的历史最悠久的 Linux 发行版 Slackware 释出了 15.0 RC1，朝着正式版本的推出前进了一大步。它的上一个稳定版本 Slackware 14.2 还是在 2016 年发布的。Slackware 15.0 的主要变化包括：KDE Plasma 5.21、Xfce 4.16 和 GNOME 3.36/3.38，内核版本为 Linux Kernel 5.13，其它应用包括 Python 3.9，Mozilla Firefox 91.0.1 和 Thunderbird 91.0.1 等。

广泛使用的 GNU C Library (glibc)在六月份释出了一个安全修正，但这个补丁却创造了新的更严重的 bug。glibc 原先的漏洞其实是很难利用的，需要许多先决条件才有可能利用 bug 崩溃程序。但打上补丁之后的 glibc 却被发现创造了一个更容易被利用的 bug。CloudLinux TuxCare Team 的研究员 Nikita Popov 在检查补丁时发现了问题，新的 bug 容易诱发段错误（segmentation fault），导致使用 glibc 的程序崩溃，产生一个拒绝服务问题。新 bug 比旧 bug 更容易诱发。修正第二个 bug 的补丁已经释出并整合到 glibc 库中。使用者最好尽快升级到最新的稳定版本 glibc 2.34。

Linux 基金会宣布成立 eBPF 基金会。创始成员包括 Facebook、Google、Isovalent、Microsoft 和 Netflix。eBPF 代表 extended BPF（Berkeley Packet Filter），允许开发者安全高效的将程序嵌入到任意的软件中，包括操作系统内核，它被用于实现各种基础设施用例，提供了显著的效率和性能增强，大幅降低了系统的复杂性。如 Facebook 将 eBPF 作为其数据中心的主软件定义负荷均衡器使用。eBPF 基金会将成为开源 eBPF 项目和技术的家庭，将主办主题峰会和其它合作活动推广 eBPF 生态系统。

elementary OS 桌面发行版释出了代号为 Odin 的 elementary OS 6。elementary OS 使用神话中的人物命名，如 5.0 版命名为 Juno，为罗马主神朱庇特之妻，而 Odin 则是北欧神话中的主神奥丁。elementary OS 设计易于使用，新版本的主要特性包括：新的夜间模式主题；应用中心 AppCenter 中所有应用都使用 Flatpaks 格式打包发行，Flatpaks 是Red Hat 主导开发的打包格式；支持多点触摸；重新设计了邮件客户端，等等。

俄罗斯 PC 制造商 IRU 开始用本国研发的处理器制造工作站，相关产品被认为主要供政府机构和军方使用。该公司也研发了面向普通用户的型号。IRU 使用的 SoC 由 Baikal 公司设计，利用了 Arm 和 MIPS 的技术，该 SoC 由 8 个 Arm Cortex-A57 核心运行频率 1.5GHz 和 8 个 Mali-T628 GPU 构成，支持双通道 DDR3/4 内存，4MB L2 缓存和 8MB L3 缓存，支持 PCIe 3、USB 3.0 和 2.0。A57 是 Raspberry Pi 4 使用的 A72 的上一代产品。PC 运行的操作系统是 Astra Linux，Baikal 称安装的软件都经过了政府部门的批准。

在 Google 安全博客上，安全工程师 Kees Cook 称 Linux kernel 的代码不够好，缺乏人手，需要增加至少 100 名工程师。他指出，修正 bug 的稳定版内核
每周包含了近百个修正，这给 Linux 供应商施加了压力——包括那些需要支持无数运行 Linux 产品的供应商——迫使他们“略过所有修正，只选择最重要的”否则面临的任务将会无比艰巨。他认为部分原因是 Linux 是用 C 语言开发的。他说 Google 的模糊测试工具目前报告 Linux 内核有 1000 个潜在问题，一年内能修复大约 400 个，但随着新问题的发现问题的数量每年会增加 100 个。如何解决？Cook 提出了多个建议，包括放弃基于电邮的工作流，引入更多自动化测试和模糊测试，让开发流程更有效率，需要增加至少 100 名工程师。

Valve 准备在今年年底发售配备 AMD APU 的 Linux 掌机，利用 Steam Play (Proton / Wine) 兼容层运行原本只支持 Windows 操作系统的游戏。但掌机必须为延长使用时间而进行性能方面的优化，但 AMD 调整 CPU 频率和功耗的驱动 ACPI CPUFreq 在 Linux 下工作并不理想。现在 AMD 和 Valve 正在合作改进该方面的工作。AMD 将在下个月的 XDC 大会上公布更多细节。

Steam 平台公布的 7 月调查显示 Linux 市场份额达到了 1%，比之前一个月增加了 0.14%。Steam 是最大的 PC 数字游戏平台，Valve 在 2018 年发布了 Windows 兼容工具 Proton 将只支持 Windows 的游戏带到 Linux 平台。根据 ProtonDB 收集的玩家报告，玩家测试的 1.9 万款游戏中有超过 1.5 万款游戏能在 Linux 上正常运行。Valve 上个月还宣布了运行 Linux 操作系统的掌机 Steam Deck，预计将在年底正式推出。

微软有了自己的 Linux 发行版 Common Base Linux, (CBL)-Mariner，软件巨人悄无声息的在 GitHub 上公开了 CBL-Mariner 1.0 版本的源代码。CBL-Mariner 不是桌面 Linux 而是服务器端 Linux，它在微软内部被用于云基础设施以及边缘计算产品和服务。它提供了一组云和边缘服务所需的通用软件包集，可以很容易根据需要引入额外的软件包。它是一个轻量级的发行版，可作为容器或容器主机使用。

注重隐私的匿名 Linux 发行版 Tails 发布了 4.20，最大的一个变化是新的 Tor 连接助手帮助用户连接到 Tor 网络，它能更好的保护用户不被注意，更方便的使用网桥连接 Tor，帮助首次使用的用户理解如何连接到本地无线网络，等等。其它变化包括：OnionShare 升级到 2.2，KeePassXC 2.6.2，Tor Browser 10.5.2，Thunderbird  78.11.0，Tor  0.4.5.9，Linux kernel 5.10.46 等。

受雇于 Prossimo 项目的 Rust 开发者 Miguel Ojeda 递交了补丁为 Linux 内核加入对 Rust 的支持。Rust 是一种高性能、内存安全的语言，而软件项目发现的大部分漏洞都属于内存安全相关漏洞，用 Rust 开发内核组件如驱动将有助于改进内核的内存安全。开发者表示他们已经获得了多家科技公司的声明：微软 Linux Systems Group 有望在未来几个月递交用 Rust 语言开发的 Hyper-V 驱动；Arm 正与 Rust 社区合作改进在 Arm 系统上的 Rust 支持；Google Android 团队正在评估 Binder 实现，在考虑用 Rust 开发其他驱动。

Linus Torvalds 在内核邮件列表上宣布释出 Linux 5.13，他称该版本包含了超过 16k commits。主要新特性包库： misc 组控制器，可信加密密钥的新来源 TEE，每个系统调用的内核堆栈随机化，支持 Clang 的控制流完整执行，BPF 程序能直接调用内核函数，移除 /dev/kmem， Landlock 安全模块，等等。