┌─[nonos@] └──╼ | nonos-kernel | Gestion de la mémoire et mise à jour binaire. Le noyau est passé à un système plus sécurisé, vérifiable. Cette phase complète en partie la transformation architecturale de son sous-système de mémoire, de sa structure binaire et de l'intégrité globale de la construction. Le noyau se compile maintenant en un exécutable statique ELF64 de 71 872 octets, dépouillé, optimisé et reproductible à travers les constructions. Chaque section est alignée sur une page, validée et explicitement définie au niveau binaire. L'image s'exécute directement en mode long sur du matériel nu, sans relocations, sans liaison dynamique, sans chargeur d'exécution. Un système déterministe par conception. L'application de la sécurité est absolue. La conformité Write-XOR-Execute (W^X) est entièrement mise en œuvre à travers l'image. Les sections de code sont exécutables mais jamais modifiables. Les segments de données et de pile ne sont pas exécutables. Cela garantit l'isolement entre la mémoire d'instruction et de données, éliminant la classe d'exploits qui dépendent de la corruption de mémoire inter-bordure. Le noyau fonctionne comme une image ELF scellée et vérifiable avec zéro code mutable. i) La couche de gestion de la mémoire a été entièrement améliorée. L'ancien allocateur de tas linéaire a été remplacé par un allocateur buddy avec des performances d'allocation et de désallocation logarithmiques. Toutes les opérations de mémoire incluent maintenant des métadonnées d'allocation, des valeurs canary, la détection de débordement, le timestamping pour le suivi judiciaire et un zéro sécurisé lors de la désallocation. Plus de 130 chemins de panique et de déballage ont été supprimés et remplacés par une gestion des erreurs déterministe basée sur le résultat. Les gardes de pile et les vérifications d'intégrité sont actifs tout au long de l'exécution. Le sous-système de pages introduit des métadonnées explicites au niveau des pages, des régions de mémoire chiffrées et une synchronisation correcte du TLB. Chaque opération de table de pages est validée, propagée en cas d'erreur et atomique. Ces mécanismes forment la base des futures fonctionnalités de support NUMA et de chiffrement des pages prévues pour un développement ultérieur. ii) Le processus de construction atteint maintenant une reproductibilité et une vérification complètes. En utilisant une définition de cible personnalisée pour x86_64-nonos, toutes les dépendances se compilent statiquement sous une optimisation LTO contrôlée. Le binaire résultant passe la validation de conformité ELF64 et Multiboot et s'exécute comme une image entièrement autonome. Chaque construction peut être vérifiée cryptographiquement par rapport à un digest de référence pour garantir la reproductibilité. iii) Les mesures de performance montrent des gains d'efficacité massifs. La latence d'allocation est réduite d'environ quatre-vingt-dix pour cent. La gestion des erreurs sans panique et le zéro sécurisé s'exécutent maintenant de manière déterministe sous charge. La fragmentation de la mémoire reste négligeable grâce à la structure du système buddy en puissance de deux. Tous les principaux défauts d'exécution, tas, page ou pile se dégradent gracieusement sans panique du noyau. Architecturalement, le noyau adhère maintenant à quatre principes directeurs : conception sans panique, défense en profondeur, reproductibilité déterministe et surface de confiance minimale. Ces principes définissent chaque décision d'implémentation, des opérations MMU de bas niveau aux politiques d'allocateur de haut niveau. Les prochains objectifs se concentrent sur le support de pages chiffrées, l'optimisation NUMA et la télémétrie de mémoire en temps réel. Les travaux à moyen terme incluent l'intégration d'Intel CET pour l'intégrité du flux de contrôle et l'expansion du sous-système de mémoire judiciaire pour le débogage et l'analyse post-mortem. À plus long terme, la feuille de route inclut une protection cryptographique résistante aux quantiques pour les clés de chiffrement de mémoire et des heuristiques d'allocation adaptatives pilotées par ML. L'image de 71 Ko est compacte, efficace et conçue spécifiquement pour ce que NØNOS représente : un calcul qui peut être confiance car il est transparent, mesurable et exempt de dépendance externe. Demain, nous donnerons une mise à jour sur NOXORIUS à l'approche du lancement ✍️