Компания Microsoft представила новый открытый проект Project Mu (https://microsoft.github.io/mu/), в рамках которого развивается окружение для UEFI, осуществляющее инициализацию оборудования и предоставляющее набор сервисов для загрузки операционной системы. Прошивки на базе Project Mu уже используются в таких продуктах Microsoft как Surface и Hyper-V. Проект основан на наработках открытого UEFI-стека TianoCore (https://www.tianocore.org/) EDK2 (https://github.com/tianocore/edk2), но не является форком, а позиционируется (https://microsoft.github.io/mu/faq/) надстройка (модуль "MU"), собираемая на основе свежих стабильных выпусков TianoCore и возвращающая исправления и специфичные для TianoCore изменения в основной проект. Наработки проекта распространяются (https://github.com/Microsoft/mu) под лицензией BSD.
Ключевой особенностью Project Mu является развитие идеи прошивки как сервиса (FaaS, Firmware as a Service), суть которой в предоставлении механизмов для поддержания UEFI и прошивок в актуальном состоянии. FaaS позволяет рассматривать прошивки как продукт, требующий постоянного обновления как для оперативного доведения до пользователей исправлений ошибок и уязвимостей, так и для добавления новой функциональности.
В отличие от TianoCore в Project Mu включены дополнительные возможности для улучшения поддержки продуктов Microsoft, увеличения масштабирования (быстрого сопровождения прошивок для множества разных продуктов), упрощения сопровождения прошивок и организации планового проведения обновлений. Предлагаемые проектом компоненты включают интерфейс пользователя, экранную клавиатуру, инструменты для безопасного управления настройками UEFI, высокопроизводительный загрузчик и набор примеров меню BIOS.
С целью повышения защищённости проектом проведена чистка кодовой базы TianoCore от устаревших компонентов и внесены изменения для снижения возможных векторов атак. Кроме кода проект также включает набор спецификаций по организации процесса разработки прошивок, развиваемых в соответствии с парадигмой FaaS, а также коллекцию тестов и инструментов для анализа и оптимизации качества прошивки.
Основные возможности Mu:- Заменяемая, не привязанная к конкретным устройствам и оптимизированная для достижения высокой производительности реализация UEFI-стадии BDS (Boot Device Select). На данной стадии осуществляется инициализации устройств консоли, загрузка драйверов, выбор целевой системы для загрузки, монтирование накопителей и поиск загрузчика;
- Интерфейс настройки прошивки (DFCI, Device Firmware Configuration Interface) и средства для управления мобильным устройством (MDM, Mobile Device Management);
- Система парольной защиты BIOS, использующая для хэширования паролей схему PBKDF2;- Поддержка верификации компонентов по цифровым подписям на базе расширения EKU (Extended Key Usage);
- Использование фреймворка Microsoft для проведения unit-тестов;
- Средства для аудита, проверки функциональности и оценки производительности для всех возможностей платформы;
- Масштабируемая система сборки, написанная на языке Python;
- Плагины для отслеживания перезаписи информации и анализа флеш-дескрипторов (Flash Descriptor, структура для программирования SPI Flash);
- Система управления бинарными пакетами, основанная на пакетном менеджере NuGet (https://www.nuget.org/);- Возможность заверения цифровыми подписями компонентов, передаваемых при помощи механизма UEFI Capsule (средства для передачи бинарных наборов данных в прошивки EFI);
- Поддержка сборки компилятором Visual Studio;
- Поддержка кодирования бинарных объектов методом Base64;
- Пакет с поддержкой XML;
Функциональность, которая скоро будет реализована:- Набор примеров меню для BIOS (в стиле MS Surface);
- Экранная клавиатура с управлением мышью или через сенсорный экран;
- Графический инструментарий для анализа производительности загрузки;
- Возможность обновления TPM-прошивок Infineon при помощи механизма Capsule;
- Система экранных уведомлений, информирующих пользователей о том, что устройство находится в неготовой к работе конфигурации;
Функции, уже интегрированные в TianoCore:
- Библиотека для безопасной манипуляции целыми числами;
- Система защиты от переполнения кучи;
- DXE-драйвер с реализацией ESRT (event-to-sink reliable transport);
- Масштабируемый фреймворк FMP (Firmware Management Protocol);
- Компонент для отображения прогресса применения обновления с использованием механизма Capsule;
- Оптимизации хэширования для TCG FV (Trusted Computing Group Firmware Volumes);
- Обработка корректного отключения NVME-контроллеров перед завершением работы.
URL: https://blogs.windows.com/buildingapps/2018/12/19/%E2&#.../
Новость: https://www.opennet.me/opennews/art.shtml?num=49819
Раньше я о таком только мечтать мог.
Это же блобы?Так о чем мечтал-то?
Какие блобы? TianoCore - открыта давно, исходники MU под BSD.
> Это же блобы?
> Какие блобы?- Кто финн?..
- Я!
(С) Особенности национальной охоты
Не, там было не так))
Упс, пересмотрел. Ошибся, однако)))
из текста новости не понятно как подписывать потом получившуюся прошивку
А также не понятно на чем это будет работать и нафига это надо. Учитывая что в многих железных x86 бутгад и прочие ME, PSP и проч - не совсем понятно на чем сконструленое потом запускать.
> Какие блобы? TianoCore - открыта давно, исходники MU под BSD.Ну допустим, прогресс на лицо. Но как x86-x64 CPU инициализировать?
Блобами от Intel и AMD. Но это уже не к MS претензии. Да, выходит дешевле, если перетащить в ME/PSP инициализацию, тренировку памяти... TPM можно изобразить без отдельной аппаратной плпты... вот вендоры и перетаскивают, иначе конкурент получит преимущество в себестоимости.Рядовой пользователь про эти блобы не знает, знать не хочет и не готов доплатить за отрытость. А таких как мы с вами, кто готов - мизерная часть, увы.
Изверги - Они убили твои мечты! :)
жаль Скайп туда не встроили..
и код не на Electron :(
А что, можно "биос" на электроне? Дайте два! :)
> Дайте два!Это к Гигабайту.
когда-то над вирусами размерами в мегабайты и сделанными на вижуал студио шутили.
так что все еще впереди.
> А что, можно "биос" на электроне?Да фигня вопрос, собираем coreboot с payload'ом linux, запускаем в нем электрон... оттуда kexec()ом пинаем выбранный в электроне вариант загрузки :)
> Дайте два! :)
А места то у тебя хватит на два?
Что ни день, то радость! В ближайшие лет десять будет просто АГОНЬ и тьма всяких разных уефи-буткитов, троянов и всяких других красивых и разных бэкдуров. Господи, мамочки, скупай thinkpad'ы пока кто может! Блин, но ведm рано или поздно и все чистые железки погорят, а что потом???
А что там в новых синкпадах разве есть Легаси бут?
В опенсорсном биосе coreboot основное и наиболее популярное дополнение payload - это SeaBIOS, современный legacy-style BIOS с чистым кодом на всего лишь 50к строк (из которых только несколько тысяч используются в определённых конфигурациях), и его довольно просто модифицировать и добавлять фичи, я уже добавил одну
Ноутбуки одобренные FSF не исчезнут
> Ноутбуки одобренные FSF не исчезнутНо могут скоро перекочевать в музей.
А новых, без МЕ-зондов, да еще и не залоченных по самые помидоры -- как-то не видно.
Lenovo G505S с четырёхъядерным AMD A10-5750M - поддерживается опенсорсным БИОСом coreboot, нет зондов Intel ME / AMD PSP в процессоре, и можно поставить 16 гигов оперативки - т.е. не такой уж и древний. + не подвержен интелоспецифичным уязвимостям вроде мельдауна для патчинга которого от 5 до 30% производительности теряется. Оставшиеся в нём блобы разобрали и бекдоров не нашли, а сейчас пишем опенсорсные альтернативы и в теории можно будет залибребутить: блобы-то не залочены!
> Оставшиеся в нём блобы разобрали и бекдоров не нашли,Не смешно.
> а сейчас пишем опенсорсные альтернативы и в теории можно будет залибребутить: блобы-то не залочены!
Ну вот когда -- тогда и … (напоминаю контекст обсуждения: "Ноутбуки одобренные FSF" )
Особенно хорошо работает зимой, как дополнительная батарея)
На 35 ватт разве что хомяку в домик обогреватель сделать.
> Lenovo G505SИ где это чудо в наличии? Везде "уже распродан". И даже яндекс-маркет не знает ни одного его продавца. Причем "это уже сегодня". А где его можно будет купить через год-другой?
Видел я несколько разных G50.*
Их отличал корпус крайне неудачной конструкции, и вследствие этого они через 1,5-2 года начинали рассыпаться с корпуса. Не буду утверждать, что это была именно та модель (хотя как минимум один с AMD APU), но корпуса выглядят чуть ли не такими же.
>> Ноутбуки одобренные FSF не исчезнут
> Но могут скоро перекочевать в музей.
> А новых, без МЕ-зондов, да еще и не залоченных по самые
> помидоры -- как-то не видно.Надежда на MIPS и RISC-V. Да, зонды и тут будут встраивать, но как минимум есть свобода сделать свободный вариант
http://puri.sm/
Вроде, выключают ME. И эти, кажется, тоже https://system76.com/
Антилоповод вечен?
> Антилоповод вечен?Я не думаю что сейчас всё держиться только на RMS
Хотя бы в RISC-V это УЁ...UEFI не притащили. U-boot - наше всё.
Не волнуйтесь. ARM ведь весьма решительно перешел на UEFI, так что RISC-V там тоже скоро будет: http://www.uefi.org/sites/default/files/resources/UEFI_Plugf... https://plus.google.com/photos/photo/106265217227408958782/6...Причем это был 2016 год. А в текущей спецификации UEFI уже внесено все необходимое, чтобы использовать его: см http://www.uefi.org/sites/default/files/resources/UEFI%... п. 2.3.7
Да уж надеюсь, что хоть Coreboot-ом RISC-V будет хорошо поддерживаться, чтоб хоть через JTAG прошивку сменить.
JTAG позволяет...///Standard Test Access Port and Boundary-Scan Architecture. Интерфейс предназначен для подключения сложных цифровых микросхем или устройств уровня печатной платы к стандартной аппаратуре тестирования и отладки.
На текущий момент интерфейс стал промышленным стандартом. Практически все сколько-нибудь сложные цифровые микросхемы оснащаются этим интерфейсом для:
выходного контроля микросхем при производстве
тестирования собранных печатных плат
прошивки микросхем с памятью
отладочных работ при проектировании аппаратуры и программного обеспеченияМетод тестирования, реализованный в стандарте, получил название Boundary Scan (граничное сканирование). Название отражает первоначальную идею процесса: в микросхеме выделяются функциональные блоки, входы которых можно отсоединить от остальной схемы, подать заданные комбинации сигналов и оценить состояние выходов каждого блока. Весь процесс производится специальными командами по интерфейсу JTAG, при этом никакого физического вмешательства не требуется. Разработан стандартный язык управления данным процессом — Boundary Scan Description Language (BSDL).
...
а, вот firmware - другая тема, JTAG pintester - иная, JTAG - JTAGу рознь, много их всяких "Link'ов" у производителей. Софт разный для работы. Да можно на Линках фирмваре менять для совместимости с несовместимостью. Иногда даже порт разведен/не разведен на плате, тестпоинтов нет, у чипа много ножек/лапок/выводов/"ручек"/пинов/контактов/... , а джитаг - по двум проводникам конектится.
Ага, называется: усложним себе задачу и других введем в заблуждение не давая необходимую документацию, а то суды/IT тайны/бабло/...
Да, что капанажимством заниматься, Ось - работает, железо все прожОльлевей, нейросети есть ...
P.S.
Тролим "Алису".
Ушёл учиться на "Арнитолога".
>Масштабируемая система сборки, написанная на языке Python;Чё не VBA?
чтоб больше народуклюнуло. ну переносимо же))жаль что не 2 питоне. так бы хоть что то мешало)))
Специалистов по нему не осталось... :)
> Чё не VBA?А какая разница?
>Ключевой особенностью Project Mu является развитие идеи прошивки как сервиса (FaaS, Firmware as a Service)Загрузка прошивки из облака - стильненько так.
Ну, в принципе, вы же принимаете лекарства, купленные в аптеке, не проводя спектрографию и определение точного состава. И ничо.Правда, в половине таблеток преимущественно тальк, и это только в лучшем случае :)
>Правда, в половине таблеток преимущественно тальк, и это только в лучшем случае :)Анон срывает покровы и открывает Америку!
Терапевтические дозы многих лекарств даже не увидеть невооружённым взглядом, так что балласт жизненно необходим.
Это вы про молекулу из печени утки, разведённую в объёме воды, сопоставимым с Вселенной?
да, но люди, принимающие лекарства не самостоятельно, а получающие их из э...облака? вообще-то называются инва...ой. простите, персонами с ограниченными возможностями.ну и да, далеко не любое лекарство из продаваемых в аптеках стоит покупать.
Таблетки принимаю только в остро-крайних случаях. А так, способы оздоровления, самодельные физиотерапевтические девайсы (катушки Мишина), сода, H2O2.
> FaaS позволяет рассматривать прошивки как продукт, требующий постоянного обновления10 баллов. И по платной подписке. По истечении срока подписки прилетает "прощальное обновление". :)
> FaaS позволяет рассматривать прошивки как продукт, требующий постоянного обновления для оперативного доведения до пользователей исправлений ошибок и уязвимостей, а также для добавления новой функциональности.Уже обе руки в наши карманы засунули.
Кто всё ещё не понимает, зачем продолжать использовать «морально устаревшие» оборудование и ПО (без EFI, телеметрии и «автоматического обновления») — эта новость для вас, котаны.
> Кто всё ещё не понимает, зачем продолжать использовать «морально устаревшие»
> оборудование и ПОНу не всю жизнь же сидеть на x220. Новые процы дают большой буст к производительности при том же или меньшем тепловыделении, а именно они впаиваются в материнку, так что апгрейд возможен лишь до какой-то степени.
Впрочем, и сейчас не стремятся делать что-то, что можно было бы расковырять отвёрткой и доработать напильником на коленке, а жаль
Если принять как аксиому, что софт меняется только в сторону прожорливости, то тут, вы правы, мало что придумаешь. Но я полагаю, что можно использовать более традиционные варианты — Slackware, например. Вполне актуальное ПО. У меня вот на виртуалке такой есть уже полностью в комплекте с нужным софтом (компиляторы и всё такое прочее) — прошу полюбоваться его системными требованиями:i2.imageban.ru/out/2018/11/16/316ac015031f62d6f8a542f83b4f5548.png
На свой старый ThinkPad (ещё межделмашевский, к слову), если когда-нибудь Windows XP действительно прекратится в тыкву по причинам своей уязвимости и небезопасности, поставлю такую Slackware или OpenBSD — и будет работать до полного износа ноутбука (или меня). Хотя до этого очень далеко, видимо, поскольку я ему даже запасной кошерный винчестер купил.
Как будто в Slackware нельзя установить Plasma 5.
лучше бы они оптимизировали свой UEFI до coreboot
Тогда же окажктся, что не нужны там будут бинарники PE .exe. Не по-Мелкософтовски это.
Торговая марка Project Mu вообще то занята много лет японской компанией, которая производит тормоза и колодки. m$ опять обкакался
> Торговая марка Project Mu вообще то занята много лет японской компанией, которая
> производит тормоза и колодки. m$ опять обкакалсятормоза по жизни заняли торговую марку тормозов - вполне эпичный шаг :)
Вроде как плеер Mu (μ) имеется, чего, микрософидеры название под свою поделку уже отсудили?
Зачем постить новость о какой-то поделки для проприетарного поделия которое и рядом не стоит с CoreBoot. Просто ненужный хлам.
И как мне это поставить на мой Surface Pro 3?
Microsoft годами проплачивала стагнацию и деградацию линукс дистрибутивов в части кривизны юзабилити, отсутствии инициатив, принятий идиотских решений чтобы теперь, когда винду уже невозможно обслужить из-за чрезмерно увеличившейся сложности, выпустив последнюю ее версию (как они сами говорят), начать потихоньку переходить на опен сорс и как герой на коне войти в эту среду, внедряя изменения, за которые ей все будут аплодировать. Так что последняя винда последняя именно поэтому - микросоофт дальше переходит на линукс, в течение думаю нескольких лет это случится
Так это Microsoft, оказывается, ещё и оплатила? Это вы не с рождения такие? :)
А кто кормил 10 лет SCO-тролля?
> А кто кормил 10 лет SCO-тролля?Кто кормил? Есть квитанции на оплату завтраков и обедов?
Не святым духом они питались и адвокатам платили.
Или винду откроют. wintel'у хана же уже давно: и linux+arm вовсю жгут, и маки на пятки наступают. Что мне сейчас может дать винда, чего не может linux? Фотошоп? Мне крита ок. Премьер? Кденлайв пробовал, его хватает. Трёхмерка и/или прям серьезный видеомонтаж? Блендер огонь. Игрушки? С каждым коммитом валв в месу, драйвера и dx-прокладки с ними всё лучше и лучше.Откроют, никуда не денутся. Плавным вливанием по кусочкам в reactos, схема на .net/mono отработана уже.
>Премьер? Кденлайв пробовал, его хватаетКому и кобыла невеста.
MS уже тащит и управляет этим вашим OpenSource. Даже создала подсистему для линя, которая уже даёт возможность пользоваться нормальной ею без виртуалок:Она и сейчас делает бессмысленным использование линя.
> под лицензией BSD.Все ясно.
> Ключевой особенностью проекта Mu является развитие идеи прошивки как сервиса (FaaS, Firmware as a Service),уже, блжад, и в биос без СМС и регистрации не зайти будет
А что мешает забить на обновления?
сетевую карту поменял - опа, не загружается!
И, вот досада, в облако тоже не зайти. Замкнутый круг.
Хоть до кого-то дошло, что прошивка, зачастую, дырява как сито:1) каждый вендор материнок лепит её по своему, со своими костылями
2) не все вендоры поддерживают прошивку в актуальном состоянии. И если прошивку всяких Management Engine мы можем отключить или обновить самостоятельно (в рамках минорных версий, мажорные иногда требуют адаптации биоса), то вот уязвимости в самом биосе остаются на совести вендоров, которым через год-два становится уже пофиг, ведь ресурсы нужны для выпуска прошивок к новым платам
3) большая часть пользователей интерфейс настройки биоса в жизни не видела и обновлять его не собирается
>FaaS, Firmware as a ServiceВаша прошивка устарела. Для включения компьютера купите лицензию на новую.
>>FaaS, Firmware as a Service
> Ваша прошивка устарела. Для включения компьютера купите лицензию на новую.«Или добавьте ваших личных данных и файлов в наш репозиторий».
Этот анон всё понял правильно.
Да, теперь и булка хлеба будет... сервисом.
Поправлю про ESRT, это в данном случае EFI System Resource Table, ACPI-таблица для определения GUIDов тех компонентов прошивки, которые можно обновить при помощи gRT->UpdateCapsule()
Вот тут подробнее:
https://docs.microsoft.com/en-us/windows-hardware/drivers/br...
https://docs.microsoft.com/en-us/windows-hardware/drivers/br...Про саму новость: хорошо, что хоть какие-то вендоры наконец-то начинают открывать нестандартные компоненты своих прошивок, но надежды на то, что OEMы сейчас возьмут и начнут это себе яростно тащить и адаптировать - нет никакой.
Привет! :)
Как там в эппле работается? Как оно сравнимо с congatec?
> Система управления бинарными пакетами, основанная на пакетном менеджере NuGet;хм.. а что это?
> NuGet is the package manager for .NET.
блин.. ды кто писал эту новость?!!
> Поддержка сборки компилятором Visual Studio
> Использование фреймворка Microsoft для проведения unit-тестов;вот это чудеса!!! (sarcasm)
"развитие идеи прошивки как сервиса (FaaS, Firmware as a Service), суть которой в предоставлении механизмов для поддержания UEFI-окружения и прошивок в актуальном состоянии."Они так в прошивку телеметрию засунут и Кортану.
Загрузчик всё также затирает линукс?
умеет rm -rf / - шутка.
Если MS открывает код firmware, то, как я вижу, они уже уверены, что нас это не спасёт. Т.е., к примеру, цифровая подпись просто не даст нигде запускать свои бинарники. В Студии - хоть обкомпилируйся, а засунуть в железо не дадут. (
а шифрование?
из истории патчинья фирмфары принтеров гнусмаса. ...был придуман PJL, MS прикрутила SPL и НР отел все что связанно с принтерами гнусмаса, зря ксерокс вложил бабло.как-то так