別了,系統漏洞

去年年底，微軟的研究部門對外展示了新的操作系統Verve，該系統最吸引人的地方就是它運行速度極快，而且沒有任何安全漏洞。

眾所周知，每個月的第二個星期二，微軟都會對外發布最新的系統安全漏洞補丁。然而，就像一個病人若不是因為有明顯的病征就不會主動去醫院檢查一樣，原則上，如果不是因為有新的攻擊方式出現，微軟就不會推出相應的Windows安全補丁，所以Windows系統的安全隱患總是被動修補的，無法一次性清除。其中，在針對Windows系統的攻擊中，有大約90%的惡意代碼通過緩沖區溢出的方式入侵操作系統。

緩沖區溢出是指入侵者破壞內存中預留的區域，從而非法“操縱”Windows系統本身或者運行在系統中的應用程序以及其他在內存區域中連接的設備。每年，微軟都需要為Windows系統提供超過100個補丁來修復由此帶來的系統安全漏洞。但是，在微軟研究院研發的新操作系統Verve中，安全漏洞數量已經降到了0，它是如何實現的呢？

借編程語言突圍

Windows操作系統之所以容易受到惡意軟件的攻擊，源頭在于它使用的編程語言。Windows、Linux和Mac OS X都使用“C語言”來構建它們的關鍵功能，但是C語言從設計之初就無法保證安全性，因為C語言源代碼在處理器上運行之前，必須首先被編譯器“翻譯”為機器語言（匯編語言），同時還需要鏈接庫文件將代碼與系統庫文件關聯起來。在這些步驟中，只要編譯器、鏈接庫文件出現了差錯，或者系統庫文件被篡改，安全漏洞就難以避免。更重要的是，C語言代碼本身并不足以完成所有的系統核心功能，為保證操作系統的整體性能表現，部分操作系統核心功能必須直接通過匯編語言編程來實現。然而，不管是C語言還是經典的匯編語言都沒有完整的“類”概念，無法檢查代碼的安全性。

簡單舉例來說，如果變量被指定了整數類型，那么這個變量就被指定了類型，該變量就無法存儲字符和浮點數。如果沒有賦予變量類型，攻擊者就可以給變量賦予一個非常大的浮點數值，從而造成內存的緩沖區溢出。如果一個編程語言在編譯源代碼的過程中會檢查數據的類型，那么我們就說該語言是“類型安全”的。但是這樣做的副作用就是額外的檢查勢必會影響代碼執行效率。

可以自檢的操作系統

在新的操作系統Verve中，微軟研究員將類型安全檢查引入了匯編語言程序，確保操作系統最重要的部分使用類型安全的機器語言編寫。類型安全的匯編語言雖然并非微軟的新發明，但是它在Verve操作系統上的應用是該語言首次運用于大型的操作系統平臺。而且，在Verve系統中，代碼被執行之前會發送給一個核查器，該檢查器會驗證代碼并沒有訪問不該訪問的內存位置，確保運行后不會產生錯誤。這樣的話，無論入侵者想對系統進行怎樣的非法操縱，都不可能在Verve系統下制造緩沖區溢出。

從系統架構上看，Verve與Windows系統也不相同。Verve操作系統由內核（nucleus）、核心（kernel）和應用程序組成，通過系統內核完成與硬件的連接。與Windows系統不同的是，Verve系統內核會檢查提供硬件設備接口的硬件抽象層（Hardware Abstraction Layer，HAL）代碼是否有錯誤。另外，系統內核的其他任務包括控制數據的輸入輸出，進行異常、錯誤的識別與處理。值得一提的是，Verve增加了垃圾回收（一種即時釋放不再需要的動態內存的管理機制）的功能，可以確保應用程序不浪費太多的內存，同時減輕了程序員的負擔，降低其犯錯誤的機率。

運行代碼安全的軟件

操縱系統的核心（不同于上面提到的內核）主要做為應用程序開啟新的線程和進程的接口使用，而且Verve系統的核心和應用程序也通過類型安全的匯編語言進行編譯，因此不僅系統核心運行快速安全，而且應用程序也可以安全穩定地運行。從編程的角度看，Verve系統的開發者這樣解釋內核與核心的區別：在核心中，所有的功能都是通過安全的C#語言編寫的；而在內核中，開發者需要親自編寫類型安全的匯編語言代碼，這是一項極其繁雜和耗時的工作。

目前，Verve系統上可以運行的應用程序還非常有限，而且其中大部分都是硬件測試、評分軟件。另外，Verve系統也無法通過TCP協議進行互聯網接入，沒有相應的瀏覽器程序，并且僅支持在單個處理器核心上運行。但是，喜歡折騰操作系統的IT狂人仍然可以自行測試這個系統，在微軟的開源平臺Codeplex（codeplex.com）上可以免費下載到Verve系統的源代碼，只需要將源代碼進行編譯就可以了。

Verve系統的諸多特性是否會在Windows 8或者Windows 9中得到體現，目前還不得而知。但是，做為普通用戶，我們非常期待Verve可以早日運用于新版本的Windows系統。到時候，微軟就可以取消每月的漏洞補丁發布，我們也不用在每個月的第二個星期二都被“打擾”一次了。

目前的軟件：安全與速度不可兼得

一些計算機編程語言被認為是類型安全的，因為程序員可以指定運算過程中值的類型。運行代碼的時候會進行類型檢查，但是額外的檢查就意味著對性能的消耗——唯一的例外就是使用類型安全的匯編程序語言。

類型安全的新操作系統Verve

在Verve系統中，內核控制硬件的連接，類型安全的匯編語言代碼使系統運行不僅快速，而且不容易崩潰。不安全的外部應用程序需要被編譯為類型安全的匯編語言代碼，才可以在Verve中運行。