從安全內(nèi)核到可用系統(tǒng)：星綻NixOS發(fā)行版發(fā)布，加速OS行業(yè)向Rust遷移

近日，星綻（Asterinas）開源社區(qū)發(fā)布星綻NixOS，成為業(yè)界首個(gè)搭載純Rust操作系統(tǒng)（OS）內(nèi)核的發(fā)行版。星綻NixOS成功整合了純Rust內(nèi)核（星綻）與Linux的成熟軟件包生態(tài)（NixOS），使星綻從“內(nèi)核項(xiàng)目”邁向“可用系統(tǒng)”，加速OS行業(yè)向原生“內(nèi)存安全”的轉(zhuǎn)型升級(jí)。

近年來，Rust這一編程語言在操作系統(tǒng)和系統(tǒng)軟件開發(fā)領(lǐng)域快速崛起，其優(yōu)勢(shì)在于運(yùn)行效率與C/C++相當(dāng)，又在很大程度上規(guī)避了后者因內(nèi)存不安全容易導(dǎo)致安全漏洞的頑疾。微軟近日宣布在2030年結(jié)束前將核心代碼庫全面遷移至Rust語言，Linux、Android等主流OS也紛紛引入Rust；同時(shí)，Occlum、RedLeaf、Theseus、Tock、藍(lán)河內(nèi)核涌現(xiàn)，這些純Rust編寫的OS內(nèi)核成為全球OS領(lǐng)域的一股新興力量。

星綻是一款兼容Linux的開源通用OS內(nèi)核，其技術(shù)路線是基于新興的Rust語言，以及業(yè)界首創(chuàng)的“框內(nèi)核（framekernel）”O(jiān)S架構(gòu)，相比于傳統(tǒng)OS內(nèi)核，具備兼顧高性能和高安全的優(yōu)勢(shì)。星綻開源社區(qū)聚集了中關(guān)村實(shí)驗(yàn)室、北京通明湖信息技術(shù)應(yīng)用創(chuàng)新中心（簡(jiǎn)稱“通明湖中心”）、螞蟻集團(tuán)、英特爾公司、北京大學(xué)、復(fù)旦大學(xué)、南方科技大學(xué)等眾多一流“產(chǎn)學(xué)研”單位攜手共建，并形成運(yùn)作良好、富有成效的開源協(xié)作網(wǎng)絡(luò)。

“在一眾開源Rust OS內(nèi)核中，星綻的定位是獨(dú)特的：它是一款按工業(yè)級(jí)強(qiáng)度打造的通用內(nèi)核，目標(biāo)是推動(dòng)Linux的‘世代交替’，讓OS內(nèi)核最終實(shí)現(xiàn)100%內(nèi)存安全。”星綻項(xiàng)目發(fā)起人和維護(hù)者、螞蟻技術(shù)研究院高級(jí)研究員田洪亮表示，“社區(qū)已經(jīng)連續(xù)研發(fā)三年多，累計(jì)貢獻(xiàn)13萬行Rust代碼，支持230余項(xiàng)Linux系統(tǒng)調(diào)用。這個(gè)目標(biāo)不會(huì)一蹴而就，但星綻NixOS的發(fā)布意味著我們跨過了重要里程碑——星綻終于能夠支撐一個(gè)發(fā)行版的用戶空間，進(jìn)入可安裝、可體驗(yàn)、可驗(yàn)證的新階段。”

NixOS是基于Nix包管理器構(gòu)建的Linux發(fā)行版，其在Linux內(nèi)核之上整合了完整的用戶空間、系統(tǒng)配置與軟件生態(tài)，將底層內(nèi)核能力轉(zhuǎn)化為可直接部署和使用的OS產(chǎn)品。而星綻NixOS中，內(nèi)存安全性不足的Linux內(nèi)核被替換為了原生內(nèi)存安全的星綻內(nèi)核。

星綻NixOS繼承了NixOS的一大優(yōu)勢(shì)——“系統(tǒng)狀態(tài)穩(wěn)定復(fù)刻”。星綻NixOS支持開發(fā)者只需寫出軟件、服務(wù)及配置的需求，系統(tǒng)就能按要求自動(dòng)構(gòu)建，并實(shí)現(xiàn)同一份需求在不同機(jī)器、不同時(shí)間重復(fù)執(zhí)行，得到的結(jié)果高度一致，且系統(tǒng)每個(gè)建設(shè)步驟均可追溯、可復(fù)查，從而顯著降低發(fā)行版在集成、測(cè)試和交付時(shí)的偶發(fā)問題與不確定性。

更重要的是，星綻NixOS融合了該老牌Linux系統(tǒng)豐富的軟件生態(tài)——NixOS擁有超過12萬的軟件包與選項(xiàng)，為桌面和服務(wù)器等場(chǎng)景提供成熟生態(tài)底座。由此，星綻NixOS避免了從零開始的軟件包生態(tài)搭建過程，把星綻內(nèi)核快速帶入到一個(gè)可安裝體驗(yàn)的成熟系統(tǒng)形態(tài)。而讓更多真實(shí)應(yīng)用與服務(wù)更早地跑起來，也有助于在真實(shí)、可對(duì)比的實(shí)踐環(huán)境中對(duì)星綻的Linux兼容性與工程成熟度進(jìn)行迭代，并以此加速促進(jìn)社區(qū)共建。

“今天的熱點(diǎn)不再是‘有沒有Rust內(nèi)核’，而是‘Rust內(nèi)核能否以發(fā)行版形態(tài)進(jìn)入真實(shí)應(yīng)用負(fù)載并可對(duì)標(biāo)評(píng)估’。”北京大學(xué)講席教授、通明湖中心主任謝濤指出，“原生內(nèi)存安全已成為國際業(yè)界的明確趨勢(shì)。星綻NixOS通過復(fù)用NixOS生態(tài)，讓星綻在桌面和服務(wù)器等場(chǎng)景中奪得先機(jī)去建立可復(fù)現(xiàn)、可比較的基線，讓星綻走在了內(nèi)存安全內(nèi)核工程化的最前沿。”

在最新發(fā)布的星綻0.17.0版本中，星綻NixOS已經(jīng)可以初步滿足桌面和服務(wù)器環(huán)境的核心用戶需求，包括軟件包安裝（即Nix）、桌面環(huán)境（如XFCE）以及容器運(yùn)行時(shí)（如Podman）。據(jù)了解，螞蟻密算計(jì)劃于2026年，將星綻這一安全可信內(nèi)核實(shí)際部署在機(jī)密計(jì)算和可信數(shù)據(jù)空間等場(chǎng)景，為安全攸關(guān)的應(yīng)用保駕護(hù)航。

星綻項(xiàng)目2024年開源以來，在GitHub平臺(tái)累計(jì)獲得超過4000顆Star，被HackerNews和LWN.net等國際主流技術(shù)媒體報(bào)道，引發(fā)開發(fā)者持續(xù)關(guān)注，相關(guān)創(chuàng)新成果在ATC'25、SOSP'25、ICSE'26、FAST'26等國際頂級(jí)學(xué)術(shù)會(huì)議錄用，并斬獲SOSP'25最佳論文獎(jiǎng)。

雷峰網(wǎng)雷峰網(wǎng)(公眾號(hào)：雷峰網(wǎng))雷峰網(wǎng)

雷峰網(wǎng)特約稿件，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。