┌─[nonos@] └──╼ | nonos-kernel | Zarządzanie pamięcią i aktualizacja binarna. Jądro przeszło na bardziej zabezpieczony, weryfikowalny system. Ta faza częściowo kończy architektoniczną transformację jego podsystemu pamięci, struktury binarnej i ogólnej integralności budowy. Jądro teraz kompiluje się jako 71,872-bajtowy ELF64 statyczny plik wykonywalny, odchudzony, zoptymalizowany i reprodukowalny w różnych kompilacjach. Każda sekcja jest wyrównana do strony, zweryfikowana i wyraźnie zdefiniowana na poziomie binarnym. Obraz działa bezpośrednio w trybie długim na gołym metalu, bez relocacji, bez dynamicznego linkowania, bez ładowania w czasie wykonywania. System deterministyczny z założenia. Wymuszenie bezpieczeństwa jest absolutne. Zgodność z Write-XOR-Execute (W^X) jest w pełni wdrożona w całym obrazie. Sekcje kodu są wykonywalne, ale nigdy nie zapisywalne. Segmenty danych i stosu są niewykonywalne. Gwarantuje to izolację między pamięcią instrukcji a pamięcią danych, eliminując klasę exploitów, które polegają na korupcji pamięci między granicami. Jądro działa jako zamknięty, weryfikowalny obraz ELF z zerowym kodem zmiennym. i) Warstwa zarządzania pamięcią została całkowicie poprawiona. Stary liniowy alokator sterty został zastąpiony alokatorem buddy z logarytmiczną wydajnością alokacji i dealokacji. Wszystkie operacje pamięci teraz zawierają metadane alokacji, wartości canary, wykrywanie przepełnienia, znacznik czasu do śledzenia kryminalistycznego i bezpieczne zerowanie przy dealokacji. Ponad 130 ścieżek paniki i rozpakowywania zostało usuniętych i zastąpionych deterministycznym zarządzaniem błędami opartym na wyniku. Ochrona stosu i kontrole integralności są aktywne przez cały czas wykonywania. Podsystem stron wprowadza wyraźne metadane na poziomie stron, zaszyfrowane obszary pamięci i poprawną synchronizację TLB. Każda operacja tabeli stron jest weryfikowana, propagowana błędami i atomowa. Te mechanizmy stanowią podstawę dla nadchodzących funkcji wsparcia NUMA i szyfrowania stron, planowanych na późniejszy rozwój. ii) Proces budowy teraz osiąga pełną reprodukowalność i weryfikację. Używając niestandardowej definicji celu dla x86_64-nonos, wszystkie zależności kompilują się statycznie pod kontrolowaną optymalizacją LTO. Ostateczny plik binarny przechodzi walidację zgodności ELF64 i Multiboot i działa jako w pełni samodzielny obraz. Każda kompilacja może być kryptograficznie weryfikowana w stosunku do odniesienia dla zapewnienia reprodukowalności. iii) Pomiar wydajności pokazuje ogromne zyski efektywności. Latencja alokacji została zredukowana o około dziewięćdziesiąt procent. Obsługa błędów bez paniki i bezpieczne zerowanie teraz wykonują się deterministycznie pod obciążeniem. Fragmentacja pamięci pozostaje znikoma dzięki strukturze systemu buddy o potędze dwóch. Wszystkie główne błędy w czasie wykonywania, takie jak sterta, strona czy stos, degradują łagodnie bez paniki jądra. Architektonicznie, jądro teraz przestrzega czterech zasad przewodnich: projekt bez paniki, obrona w głębokości, deterministyczna reprodukowalność i minimalna powierzchnia zaufania. Te zasady definiują każdą decyzję implementacyjną, od operacji MMU na niskim poziomie po polityki alokacji na wysokim poziomie. Następne cele koncentrują się na wsparciu szyfrowanych stron, optymalizacji NUMA i telemetrii pamięci w czasie rzeczywistym. Prace średnioterminowe obejmują integrację Intel CET dla integralności przepływu sterowania oraz rozszerzenie kryminalistycznego podsystemu pamięci do debugowania i analizy pośmiertnej. W dłuższej perspektywie, mapa drogowa obejmuje odporne na kwanty kryptograficzne zabezpieczenia dla kluczy szyfrowania pamięci oraz adaptacyjne heurystyki alokacji oparte na ML. Obraz 71KB jest kompaktowy, wydajny i stworzony z myślą o tym, co reprezentuje NØNOS: obliczenia, którym można zaufać, ponieważ są przejrzyste, mierzalne i wolne od zewnętrznych zależności. Jutro przekażemy aktualizację na temat NOXORIUS, gdy zbliża się jego uruchomienie ✍️