Представлен открытый проект Litebox — сфокусированная на безопасности ОС в форме библиотеки (Library OS) на Rust

Мейнтейнер подсистемы обеспечения безопасности ядра Linux Джеймс Моррис (James Morris), который возглавляет в Microsoft команду разработчиков Linux Emerging Technologies, представил открытый проект Litebox. Это решение позиционируется как сфокусированная на безопасности операционная система в форме библиотеки (Library OS). Исходный код проекта написан на языке Rust и опубликован на GitHub под лицензией MIT.

Проект Litebox можно использовать в программах или ядрах как дополнительный слой изоляции, блокирующий доступ к излишней функциональности ядер или API для снижения поверхности атак.

Идея Library OS состоит в том, что сервисы операционной системы напрямую встраиваются в приложение вместо обращения к внешнему ядру ОС при помощи системных вызовов. В контексте Litebox к приложениям подключается изолирующая прослойка, предоставляющая минимальную платформу, транслирующую запросы к внешнему полнофункциональному программному интерфейсу. В качестве подобных внешних интерфейсов могут выступать ядро Linux, защищённые изолированные окружения OP‑TEE (Open Portable Trusted Execution Environment), Webassembly‑окружения или стандартная библиотека RustStd.

По информации OpenNET, формируемая через Litebox минимальная платформа применима для запуска приложений Linux, Windows и FreeBSD, вложенных ядер Linux и LVBS (Linux Virtualization Based Security). В качестве возможных областей применения Litebox упоминается обеспечения запуска немодифицированных Linux‑программ в Windows, изоляция выполнения Linux‑приложений на системах с ядром Linux, запуск программ поверх AMD SEV SNP для шифрования памяти, выполнение OP‑TEE‑программ в Linux и изоляция с использованием концепции LVBS.

Проект LVBS, представители которого участвуют в разработке