几家SAN供应商宣布其系统已无需针对Spectre与Meltdown漏洞进行修补。于是我们对戴尔与Pure Storage进行了采访,询问了双方有关修复方面的影响与两家公司的SAN与戴尔方面的超融合(HCI)系统是否需要修补等问题。
记者: 您是否同意只运行其供应商代码的本地外部SAN与文件管理器均具有一定的安全性而无需补丁即可一如既往地执行任务?另外,您能否对您所在的立场稍加解释?
戴尔方面:对此观点我们普遍持认同态度。通过访问平台操作系统以加载外部代码的作法处于控制之下(在某些情况下,代码无法接受任何改编),因此其所报告的漏洞不会给客户环境带来任何额外的安全风险——只要客户遵循我方所推荐的最佳实践用例以保护高特权账户的访问。
Pure Storage: 目前已知的Meltdown与Spectre漏洞需要在已受攻击的CPU上运行合成代码。因为Pure公司的系统运行一套固定的Purity Operating Environment,所以我们希望其能够一如既往地运行而无需修补。
记者: 那么,对于已交付与专为运行于单独购买的商品硬件(即服务器)所设计的存储软件而言,情况会有所不同吗?这些服务器是否必须打补丁?
戴尔方面: 在大多数情况下,答案是肯定的。大部分的存储软件自己能够抵御这些漏洞,但运行这些软件的主机服务器/设备仍然需要打补丁。某些软件的虚拟设备安装甚至需要其所关联的虚拟机及其虚拟机管理程序也进行修补。
Pure Storage: Pure Storage公司不提供纯软件解决方案,而该问题天然不估影响到Pure Storage所推出的系列解决方案。此外,FlashArray与FlashBlade平台都是基于设备的解决方案,其硬件与软件之间存在紧密耦合且都由Pure方面控制。
记者: 超融合系统在这方面的情况有何不同?
戴尔方面: HCI设备可能比商品化服务器具有更多的限制性访问权限;然而,由CI/HCI系统组合而成的服务器需要连同管理程序乃至任何客户操作系统组件一齐进行修补。
Pure Storage: Pure方面不存在这种情况。
记者: 贵公司修复由其自身共享的外部存储系统产品的意图何在?
戴尔方面: 戴尔公司的大部分外部存储系统受已报告漏洞风险影响的几率几乎为零,抑或是极其有限。
Pure Storage: 我方并没有修补自身存储系统产品的计划。随着了解的深入,我们将对该类问题保持一定关注度。
记者: 当这些系统进行修补时,性能将会受到怎样的影响?
戴尔方面: 我们将对任何需要进行修补的系统进行性能测试,但我们认为修补不会对这些存储系统产品造成任何性能影响。
记者: 最后,您会对贵公司的HCI产品进行修补吗?
戴尔方面: 是的。我们正在对这些系统中易受攻击的组件进行修复……目前,我们正在对系统性能进行测试以评估修复完成后是否会存在任何潜在的性能影响。
在经补丁修复的虚拟机管理程序中运行的存储软件
Infinidat方面声称,从另一方面看来,非设备存储软件将可能需要进行修补。
Infinidat公司的首席技术官Brian Carmody表示:“假想您的产品属于运行在经补丁修复的虚拟机管理程序中的‘软件定义存储’(SDS)方案,那么您将会受限于性能表现。假若您提供的是允许第三方代码运行的存储设备,您也将受到性能的影响。”
“唯一能够不执行该内核补丁的架构是那些采用可阻止第三方代码攻击的物理CPU的设备。”
这里所指的包括那些来自于戴尔公司、HPE、日立Vantara 、华为公司、Kaminario 、NetApp 、Pure Storage 以及Tintri 等供应商的SAN与文件管理方案。
如果一套阵列允许客户代码运行其中,那么即可推定该套阵列是需要进行修补的。
Carmody表示其怀疑在管理程序中运行的SDS或将受到影响。对此,Carmody 在引用了一篇微软公司发布的相关博客之后补充道:“如果运行一套管理程序,对这套管理程序进行了修复与系统调用,那么其运行速度就会如同其他虚拟化应用程序一样变慢。”
同时,这篇博客还指出:“对于Windows Server而言,管理员应确保其在物理服务器级别上具有一定的缓解措施以实现服务器上虚拟化工作负载的隔离……无论是在本地或云端运行Windows Server的客户,也需要对是否要在每套Windows Server虚拟机或物理实例中应用额外的安全缓解措施进行评估。而当您在Windows Server实例中运行不受信任的代码时,这些缓解措施应成为一种强制性要求。”
影响Windows Server性能的因素主要来自用以消除危险情况下的分支推测并完成微代码更新的Spectre Variant 2 Windows Change。
这意味着来自对象存储供应商的纯软件存储产品将会受到影响。对此,我们正在与其联系以进一步核对消息的准确性。
与此同时,谷歌方面宣布其已经找到了能够修复Variant 2 Spectre漏洞的方法,并且该方法不会对性能造成任何不利影响。
通告内容如下:
使用Retpoline,我们不再需要禁用推测执行或其他硬件功能。相反,此套解决方案能够通过修改程序以规避攻击者的影响。通过使用Retpoline,我们可以在编译时保护我们的基础架构而无需修改源代码。
此外,对于该功能的测试结果——特别是当其与软件分支预测提示等优化功能相结合后——显示这种保护功能几乎不会造成性能损失……Retpoline完全可以在不影响我们所有平台上客户性能的情况下实现Variant 2的防御功能。
好文章,需要你的鼓励
在迪拜Gitex 2025大会上,阿联酋成为全球AI领导者的雄心备受关注。微软正帮助该地区组织从AI实验阶段转向实际应用,通过三重方法提供AI助手、协同AI代理和AI战略顾问。微软已在阿联酋大举投资数据中心,去年培训了10万名政府员工,计划到2027年培训100万学习者。阿联酋任命了全球首位AI部长,各部门都配备了首席AI官。微软与政府机构和企业合作,在公民服务和金融流程等领域实现AI的实际应用,构建全面的AI生态系统。
Google DeepMind团队发布了EmbeddingGemma,这是一个仅有3.08亿参数的轻量级文本理解模型,却能达到7亿参数模型的性能水平。该模型在权威的多语言文本嵌入基准测试中排名第一,支持250多种语言,特别适合移动设备部署。研究团队通过创新的编码器-解码器初始化、三重损失函数训练和模型融合技术,实现了性能与效率的完美平衡,为AI技术普及化开辟了新路径。
苹果与俄亥俄州立大学研究人员发布名为FS-DFM的新模型,采用少步离散流匹配技术,仅需8轮快速优化即可生成完整长文本,效果媲美需要上千步骤的扩散模型。该模型通过三步训练法:处理不同优化预算、使用教师模型指导、调整迭代机制来实现突破。测试显示,参数量仅1.7亿至17亿的FS-DFM变体在困惑度和熵值指标上均优于70-80亿参数的大型扩散模型。
日本奈良先端科学技术大学等机构首次深入研究AI编程工具Claude Code在真实开源项目中的表现。通过分析567个代码贡献,发现83.8%被成功接受,54.9%无需修改直接使用。AI擅长重构、测试和文档工作,但需要人工修正bug处理、代码风格等问题。研究揭示了AI编程工具的实际能力边界和改进方向。