Мы выпустили Axiom Linux 25 с длительным сроком поддержки (Long-Term Support, LTS), функциональные исправления и обновления безопасности для которого будут выпускаться до 2029 года.

Axiom Linux – облегченная полнофункциональная ОС оптимизированная для Java, для установки и запуска которой требуется небольшое количество ресурсов.

В состав поставки Axiom Linux 25 входят: iso, miniroot fs, образы microVM, репозитории пакетов, а также образы для использования в контейнерах. Поддерживаются следующие платформы:

• Intel (x86-64-v2),
• AMD 64-bit (x86-64-v2),
• AArch64 (ARMv8-A).

Релиз включает большое количество обновлений, а также исправления ошибок и уязвимостей. Ниже вы найдёте описание наиболее важных изменения, а подробное описание доступно в примечаниях к релизу.

В этой статье:

• Ключевые улучшения
  • Обновление ядра до версии 6.12
  • OSV-Scanner для сканирования безопасности и генерации SBOM
  • Образы microVM
  • Пакеты x86-64, собранные с -fno-plt
  • Обновление glibc
  • Обновление musl (musl-default и musl-perf)
• Заключение

Ключевые улучшения

Обновление ядра до версии 6.12

Axiom Linux 25 основан на новом LTS-ядре Linux версии 6.12, оптимизированном для уменьшения размера, повышения безопасности и производительности. Основные изменения:

• Уменьшены задержки и улучшена скорость отклика.
• Сжаты модули ядра для экономии дискового пространства.
• Удален ряд устаревших модулей с неправильной поддержкой или известными CVE.

OSV-Scanner для сканирования безопасности и генерации SBOM

Мы адаптировали версию OSV-сканера, которая способна сканировать образы ОС, например, контейнеры, на предмет проблем с безопасностью и создавать отчеты Software Bill of Materials (SBOM).
Реализованная версия сканера полностью поддерживает экосистему Axiom JDK, такую как Axiom Linux и контейнеры Axiom JDK.

Благодаря этому обновлению сканирование безопасности и генерация SBOM могут быть органично интегрированы в корпоративные процессы управления безопасностью, обеспечивая большую прозрачность, соответствие требованиям комплаенса и более эффективный контроль рисков при использовании Axiom Linux.

Образы microVM

Axiom Linux полностью совместима с Firecracker VM — технологией виртуализации с открытым исходным кодом, специально разработанной для создания и управления безопасными, нетребовательными к ресурсам виртуальными машинами (microVM). microVM сочетают изоляцию и безопасность виртуальных машин с эффективным использованием ресурсов, характерным для контейнеров.

В данном релизе Axiom Linux поставляется с заранее собранными microVM-образами vmlinux и rootfs, готовыми к использованию с Firecracker VM и QEMU.

Пакеты x86-64, собранные с -fno-plt

Все пакеты для архитектуры x86-64 теперь по умолчанию собираются с флагом компиляции -fno-plt. Это уменьшает накладные расходы на вызовы функций к общим библиотекам за счет отказа от таблицы привязки процедур Procedure Linkage Table (PLT), что приводит к немного более эффективному коду, ускоренному запуску и снижению задержек при вызовах.

Обновление glibc

Библиотека glibc в Axiom Linux 25 обновлена до версии 2.39. Среди новых настраиваемых пакетов и других изменений:

• glibc.cpu.plt_rewrite для переписывания PLT на x86-64.
• glibc.mem.decorate_maps для более подробной информации о базовой памяти, выделенной glibc.

Также добавлены функции и изменения:

• Новые функции, связанные с spawn (posix_spawnattr_getcgroup_np, posix_spawnattr_setcgroup_np), включая варианты, безопасные для cgroup v2 и основанные на pidfd (pidfd_spawn и pidfd_spawn, pidfd_getpid).
• Удобные строковые функции strlcpy и strlcat.
• libcrypt удален из библиотеки GNU C. Новый пакет libxcrypt, поддерживаемый отдельно, обеспечивает обратную двоичную совместимость с предыдущим libcrypt.

Также библиотека utmps, реализующая функции utmp/wtmp, была удалена из glibc-варианта Axiom, поскольку glibc уже предоставляет нативную поддержку utmp/wtmp.

Обновление musl (musl-default и musl-perf)

Axiom Linux поставляется в двух вариантах musl: musl-default и musl-perf. Последний на 100% совместим с базовой версией, но ориентирован на более высокую производительность.

Оба варианта обновлены до версии musl 1.2.5, которая включает следующие изменения:

• Новая функция statx для получения расширенной информации о файлах.
• Новые функции preadv2 и pwritev2 с дополнительными флагами для более точной настройки поведения на уровне отдельного вызова.
• Обновлённое семейство printf, лучше соответствующее современным стандартам.

Помимо этого, в пакете musl-perf стандартный аллокатор musl (mallocng) был заменён на высокопроизводительную реализацию mimalloc v2. Нет необходимости устанавливать какие-либо другие пакеты mimalloc отдельно при установке musl-perf, потому что mimalloc интегрирован в musl-perf. В результате пользователи musl-perf должны наблюдать рост производительности для широкого спектра нагрузок.

Дополнительные улучшения musl-perf:

• Использование реализаций функций работы с памятью из glibc-2.39.
• Утилита ldd теперь корректно определяет статические двоичные файлы static-pie, избегая вывода вводящей в заблуждение информации о требуемых общих объектах.

Заключение

Новая версия Axiom Linux делает его ещё более сильным выбором для лёгких, безопасных и ориентированных на облако сред. Загрузите актуальную сборку на базе musl или glibc и начните следующий деплой с более компактного и быстрого базового образа.