雖然英特爾通常非常準時地為Linux下的主要新CPU功能提供支持,並經常在一般硬件發布到市場之前提前登陸,但他們圍繞控制流執行技術(CET)的工作比正常時間長,並且仍在經歷新一輪的代碼審查,以獲得對Linux主線內核的認可。
支持CET的英特爾Tiger Lake SoC現在已經有一年左右的時間,而英特爾針對Linux的CET工作可以追溯到2017年。英特爾控制流執行技術旨在通過間接分支跟蹤和影子堆棧來防止ROP和COP/JOP式攻擊。編譯器側的CET補丁很快就落地了,但Linux內核對這一安全功能的支持長期以來一直在進行,截至昨天已經到了第29輪審查。
上周五,第29輪CET影子堆棧補丁和CET間接分支跟蹤補丁被發布。
32個支持CET影子堆棧的Linux補丁中的大部分變化是各種低級別的代碼改進和調整,以及針對最新的上游內核狀態的重新定位。CET間接分支追蹤的10個補丁只是針對上游內核狀態重新打了補丁。
一些Linux發行版和供應商的內核已經在使用英特爾CET補丁的樹外形式,而我們還需要再等待看看這些補丁現在是否被認為已經準備好在下一周期的主線上使用,或者仍然需要更多輪的審查…… 希望它不像英特爾SGX那樣需要40多輪的審查才可以進入主線內核。