eBPF基金會推動eBPF安全稽核，強化雲端原生底層技術安全

eBPF是源自Linux核心的技術，可讓通過驗證的沙箱程式在Linux核心安全執行，常用於高效能網路、可觀測性、安全監控與效能分析。隨著eBPF逐漸成為雲端原生與資安工具的重要基礎技術，eBPF基金會指出，其安全模型高度仰賴執行在Linux核心的驗證器（kernel verifier），以及各硬體架構專屬的即時編譯器（Just-in-Time compiler，JIT）是否正確運作。

這次精進eBPF安全性的工作，分為兩大主軸。第一項是由STAR Labs主導的外部安全評估，聚焦eBPF的JIT後端與驗證器之間的互動。評估涵蓋x86-64與arm64 eBPF JIT編譯器，並分析驗證器與JIT後端之間的共用假設。初步結果顯示，研究人員並未在x86-64、arm64或riscv64的JIT實作本身當中，發現獨立安全漏洞，但也確認eBPF安全性不只取決於JIT，驗證器正確性同樣關鍵。

截至目前，這項評估共發現14項問題，包括8項高風險、2項中風險與4項低風險問題。相關問題涵蓋驗證器繞過、記憶體與指標洩漏、可能造成記憶體毀損的競爭條件，以及影響驗證器行為的阻斷服務問題。其中2項低風險問題已在上游完成修補，其餘問題仍在揭露與修補流程中。

第二項工作，聚焦改善核心位址清理器（Kernel Address Sanitizer，KASAN）對於經JIT編譯的eBPF程式的支援。KASAN是用於偵測越界存取與釋放後使用等記憶體安全錯誤的工具，eBPF基金會表示，相關工程仍在開發中，目標是將KASAN涵蓋範圍延伸至經JIT編譯的eBPF執行路徑，強化eBPF程式經JIT轉譯後，在核心執行路徑中的記憶體錯誤偵測能力。