┌─[nonos@] └──╼ | nonos-kernel | Gestione della memoria e aggiornamento binario. Il kernel è passato a un sistema più sicuro e verificabile. Questa fase completa in parte la trasformazione architettonica del suo sottosistema di memoria, della struttura binaria e dell'integrità complessiva della build. Il kernel ora si compila come un eseguibile statico ELF64 di 71.872 byte, ridotto, ottimizzato e riproducibile attraverso le build. Ogni sezione è allineata a pagina, convalidata e definita esplicitamente a livello binario. L'immagine viene eseguita direttamente in modalità lunga su metallo nudo, senza rilocazioni, senza collegamenti dinamici, senza caricatore a runtime. Un sistema deterministico per design. L'applicazione della sicurezza è assoluta. La conformità Write-XOR-Execute (W^X) è completamente implementata in tutta l'immagine. Le sezioni di codice sono eseguibili ma mai scrivibili. I segmenti di dati e stack non sono eseguibili. Questo garantisce isolamento tra la memoria delle istruzioni e quella dei dati, eliminando la classe di exploit che dipendono dalla corruzione della memoria tra i confini. Il kernel opera come un'immagine ELF sigillata e verificabile con zero codice mutabile. i) Lo strato di gestione della memoria è stato completamente migliorato. Il vecchio allocatore di heap lineare è stato sostituito da un allocatore buddy con prestazioni di allocazione e deallocazione logaritmiche. Tutte le operazioni di memoria ora includono metadati di allocazione, valori canary, rilevamento di overflow, timestamping per il tracciamento forense e azzeramento sicuro alla deallocazione. Oltre 130 percorsi di panico e unwrap sono stati rimossi e sostituiti con una gestione degli errori deterministica basata su Result. I guardiani dello stack e i controlli di integrità sono attivi durante l'esecuzione. Il sottosistema delle pagine introduce metadati espliciti a livello di pagina, regioni di memoria crittografate e corretta sincronizzazione TLB. Ogni operazione della tabella delle pagine è convalidata, propagata in caso di errore e atomica. Questi meccanismi formano la base per le prossime funzionalità di supporto NUMA e crittografia delle pagine pianificate per lo sviluppo futuro. ii) Il processo di build ora raggiunge la piena riproducibilità e verifica. Utilizzando una definizione di target personalizzata per x86_64-nonos, tutte le dipendenze si compilano staticamente sotto ottimizzazione LTO controllata. Il binario risultante supera la convalida di conformità ELF64 e Multiboot ed esegue come un'immagine completamente autonoma. Ogni build può essere verificata crittograficamente rispetto a un digest di riferimento per garantire la riproducibilità. iii) Le misurazioni delle prestazioni mostrano enormi guadagni di efficienza. La latenza di allocazione è ridotta di circa il novanta percento. La gestione degli errori senza panico e l'azzeramento sicuro ora vengono eseguiti in modo deterministico sotto carico. La frammentazione della memoria rimane trascurabile grazie alla struttura del sistema buddy in potenza di due. Tutti i principali errori di runtime, heap, pagina o stack degradano in modo elegante senza panico del kernel. Architettonicamente, il kernel ora aderisce a quattro principi guida: design zero-panico, difesa in profondità, riproducibilità deterministica e superficie di fiducia minima. Questi principi definiscono ogni decisione di implementazione, dalle operazioni MMU a basso livello alle politiche di allocazione ad alto livello. I prossimi obiettivi si concentrano sul supporto delle pagine crittografate, sull'ottimizzazione NUMA e sulla telemetria della memoria in tempo reale. Il lavoro a medio termine include l'integrazione di Intel CET per l'integrità del flusso di controllo e l'espansione del sottosistema di memoria forense per il debug e l'analisi post-mortem. A lungo termine, la roadmap include protezione crittografica resistente ai quanti per le chiavi di crittografia della memoria e euristiche di allocazione adattive guidate da ML. L'immagine di 71KB è compatta, efficiente e progettata appositamente per ciò che NØNOS rappresenta: calcolo che può essere fidato perché è trasparente, misurabile e privo di dipendenze esterne. Domani daremo un aggiornamento su NOXORIUS mentre ci avviciniamo al lancio ✍️