سیستم‌عامل خود‌ارزیاب: درون امنیت جسورانه و اول-راست اوبونتو و انقلاب cargo-auditable

برای دهه‌ها، توزیع‌های لینوکس تحت یک سازش خاموش فعالیت کرده‌اند: وقتی یک باینری از پیش‌کامپایل‌شده را نصب می‌کنید، در واقع کورکورانه به آن اعتماد می‌کنید. ردیابی دقیق اینکه کدام نسخه‌های وابستگی در آن فایل اجرایی مسیر /usr/bin تعبیه شده‌اند، یک فرآیند مستندسازی دستی و به‌شدت خسته‌کننده است. اما در اواسط سال ۲۰۲۶، کنونیکال برای همیشه به عصر «باینری غیرقابل ردیابی» پایان می‌دهد.

به دنبال انتشار نقطه عطف اوبونتو ۲۶.۰۴ LTS (با نام مستعار «راکون مصمم») و توسعه فعال روی ۲۶.۱۰ (با نام مستعار «استینگری شگفت‌انگیز»)، کنونیکال از زبان راست برای اجرای یک بازنگری بی‌سابقه در امنیت سیستم‌عامل، تأیید زنجیره تأمین و معماری هسته فضای کاربری استفاده می‌کند.

---

باینری خود‌ارزیاب: همه‌گیر شدن cargo-auditable

در قلب این انقلاب امنیتی، ابزاری قرار دارد که توسط کارگروه RustSec توسعه یافته است: cargo-auditable. از طریق سیستم ساخت بسته اوبونتو (dh-cargo)، نگه‌دارندگان اکنون می‌توانند نمودارهای وابستگی کامل و فشرده‌شده با zlib در قالب JSON را به‌طور مستقیم در یک بخش سفارشی از لینکر ELF (به نام .dep-v0) در باینری‌های کامپایل‌شده راست جاسازی کنند.

پیش از این، اگر یک آسیب‌پذیری حیاتی در یک کریت (crate) تو‌درتوی راست ظاهر می‌شد، مدیران سیستم مجبور بودند منتظر ممیزی‌های توسعه‌دهندگان اصلی بمانند یا مخازن منبع را به صورت دستی اسکن کنند تا متوجه شوند آیا باینری‌های مستقرشده آن‌ها تحت تأثیر قرار گرفته‌اند یا خیر. اکنون، تیم‌های امنیتی می‌توانند cargo-audit را مستقیماً روی یک فایل اجرایی خام کامپایل‌شده برای محیط تولید اجرا کنند تا کل درخت وابستگی آن را استخراج کرده و آسیب‌پذیری‌های امنیتی (CVEها) را فوراً شناسایی کنند. این امر مسئولیت‌پذیری مطلق در قبال فهرست قطعات نرم‌افزاری (SBOM) را بدون هیچ زحمت دستی اضافی به ارمغان می‌آورد.

---

اکسید کردن هسته: به دست گرفتن کنترل توسط sudo-rs و ntpd-rs

این تحول صرفاً درباره ممیزی نیست؛ بلکه درباره دفاع پیشگیرانه و امن از نظر حافظه است. اوبونتو ۲۶.۰۴ LTS با تبدیل sudo-rs (بازنویسی امن از نظر حافظه و نوشته‌شده به زبان راست از ابزار حیاتی sudo) به ابزار پیش‌فرض برای ارتقای سطح دسترسی سیستم، از یک مرز تاریخی عبور کرده است. کنونیکال با جایگزینی کد لغزنده‌ی C که چندین دهه قدمت داشته و مستعد آسیب‌پذیری در دروازه دسترسی‌های ریشه (root) بود، به صورت سیستماتیک در حال بستن کل کلاس‌های اکسپلویت‌های قدیمی است.

علاوه بر این، اوبونتو ابزار ntpd-rs را به عنوان کلاینت و سرور پیش‌فرض همگام‌سازی زمان خود برگزیده است. ntpd-rs که کاملاً به زبان راست نوشته شده است، تضمین می‌کند که همگام‌سازی حیاتی زمان در شبکه در برابر سرریز بافر و خرابی حافظه مصون بماند؛ مواردی که در گذشته همواره دیمون‌های قدیمی‌تر NTP مبتنی بر زبان C را آزار می‌دادند.

---

نگاهی به آینده: راست ۱.۹۷ و استینگری شگفت‌انگیز

این شتاب هر روز در حال افزایش است. شرکت کنونیکال که اخیراً به عنوان عضو طلایی به بنیاد راست پیوسته است، در نظر دارد تا پیش از مرحله‌ی فریز ویژگی‌های نسخه آتی اوبونتو ۲۶.۱۰ «استینگری شگفت‌انگیز»، از نسخه ۱.۹۷ راست به عنوان زنجیره ابزار پیش‌فرض استفاده کند.

اوبونتو در کنار کانتینرهای OCI «بهینه‌شده» (chiseled) راست — که محیط‌های استقرار بدون توزیع (distroless) بسیار امن و حداقلی را فراهم می‌کنند — خود را به عنوان پلتفرم پیشرو برای تولیدات سازمانی مبتنی بر راست معرفی می‌کند. این صرفاً یک چرخه ارتقای نرم‌افزاری روتین نیست، بلکه یک تغییر فلسفی بنیادی است: گذار از اصلاحات انفعالی (وصله‌کاری) به یک پارادایم فعال و تحمیل‌شده توسط کامپایلر، که در آن خود سیستم‌عامل در سطح کد مقاوم‌سازی می‌شود.