Dopo il sottosistema Windows per Linux (WSL), che è stato ben accolto dai vari utenti del sistema operativo, Microsoft ha deciso di prendere in prestito un'altra importante tecnologia dalla comunità Linux, eBPF (Berkeley Extended Packet Filter) e portalo su Windows.
L'azienda ha detto che non sarebbe stato un fork di eBPF, Sì, verrà utilizzato nei progetti esistenti, incluso il progetto IOVisor uBPF e il verificatore PREVAIL, per eseguire API e programmi eBPF sui propri sistemi operativi, inclusi Windows 10 e Windows Server 2016 (o versioni successive).
Negli ultimi cinque anni, Microsoft, che all'inizio di questo millennio vedeva ancora Linux come il cancro dell'industria dei computer, è diventata uno dei maggiori contributori allo sviluppo del kernel.
Con WSL, ha aperto la strada a più applicazioni su Windows, consentendo ad amministratori di sistema e programmatori di utilizzare strumenti e servizi Linux direttamente da Windows senza dover virtualizzare nient'altro o creare infrastrutture complesse.
Ora Microsoft sceglie di aggiungere eBPF a Windows, come questa è una tecnologia ben nota per la sua capacità di programmare e agilità, soprattutto per estendere il kernel di un sistema operativo, per casi d'uso come la protezione contro gli attacchi DoS e l'osservabilità.
È una macchina virtuale basata sul registro progettato per funzionare su un'architettura RISC personalizzata a 64 bit tramite compilazione JIT sul kernel Linux. In quanto tali, i programmi eBPF sono particolarmente adatti per il debug e l'analisi del sistema, come il monitoraggio del file system e le chiamate di registro.
La relazione di eBPF con il kernel Linux è stata paragonata alla relazione di JavaScript con le pagine web, consente di modificare il comportamento del kernel Linux caricando un programma eBPF in esecuzione, senza modificare il codice sorgente del kernel o caricare un modulo del kernel.
eBPF rappresenta una delle più grandi innovazioni del kernel Linux dell'ultimo decennio. E poiché c'era un certo interesse nell'adattare la tecnologia ad altri sistemi operativi, Microsoft ha deciso di provare il software Windows. Il progetto, chiamato ebpf-for-windows, è open source e disponibile su GitHub.
"Il progetto ebpf-for-windows mira a consentire agli sviluppatori di utilizzare le familiari toolchain eBPF e le API (application programming interface) nelle versioni esistenti di Windows", ha spiegato Dave Thaler in un post sul blog di lunedì, Microsoft Associate Software Engineer e Poorna Gaddehosur, Microsoft Senior Software Engineer.
"Basato sul lavoro di altri, questo progetto prende diversi progetti eBPF open source esistenti e aggiunge il livello intermedio per l'esecuzione su Windows."
L'azienda non lo chiama fork eBPF. Pertanto, gli sviluppatori Windows saranno in grado di utilizzare strumenti come clang per generare il bytecode.
eBPF dal codice sorgente che può essere inserito in qualsiasi applicazione o utilizzato con la riga di comando netsh di Windows. Secondo l'azienda, ciò avviene tramite una libreria condivisa che utilizza le API Libbpf.
La libreria passa il bytecode EBPF attraverso PREVAIL in un ambiente di sicurezza Windows che consente a un componente del kernel di considerare attendibile un daemon in modalità utente firmato con una chiave attendibile.
Gli ingegneri Microsoft affermano che il progetto mira a fornire supporto per il codice eBPF utilizzando hook e helper che esistono sia su Linux che su Windows.
"Linux fornisce molti collegamenti e helper, alcuni dei quali sono molto specifici per Linux (utilizzando strutture di dati interne di Linux, per esempio) che non sarebbero applicabili ad altre piattaforme", hanno detto.
Infine Se sei interessato a saperne di più, puoi controllare i dettagli nel seguente link Mentre per coloro che sono interessati a poter dare un'occhiata al repository eBPF su GitHub, possono farlo da il seguente collegamento.