Эра безопасного Linux закончилась. Началась эра быстрого Linux

В экосистеме Linux и графических технологий Intel намечаются перемены, которые напрямую затрагивают соотношение между производительностью и защитой. Компания Canonical, отвечающая за развитие дистрибутива Ubuntu , готовится к важному нововведению — отключению части защитных механизмов для графических процессоров . Этот шаг должен существенно повысить скорость выполнения задач, связанных с вычислениями на GPU, включая технологии OpenCL и Level Zero.

Речь идёт о так называемых security mitigations — мерах безопасности, направленных на нейтрализацию известных уязвимостей, включая атаки типа Spectre . Несмотря на то что безопасность графических процессоров обсуждается реже, чем защита CPU, со временем стало очевидно: подобные меры значительно снижают эффективность систем. По оценкам разработчиков, их отключение способно дать прибавку производительности до 20% при работе с графическими нагрузками.

Чтобы добиться такого результата, Canonical планирует использовать предусмотренную Intel опцию компиляции NEO_DISABLE_MITIGATIONS. Этот параметр позволяет собирать программные пакеты без активации защитных механизмов для графического вычислительного стека Intel, не затрагивая при этом безопасность ядра Linux и других системных компонентов за пределами проекта Intel "NEO".

Ожидается, что соответствующие изменения войдут в состав официальных пакетов Ubuntu к релизу версии 25.10. По сути, Canonical лишь закрепляет практику, уже применяемую самой Intel: бинарные сборки Compute Runtime для OpenCL и Level Zero, размещённые в официальном репозитории компании на GitHub, распространяются с отключёнными графическими митигациями, поскольку они слишком сильно тормозят работу систем.

Информация о предстоящем нововведении была опубликована на платформе Launchpad — ресурсе для отслеживания ошибок и развития Ubuntu. В сообщении подтверждается, что пользователи могут рассчитывать на прирост скорости до 20%, однако вместе с этим сохраняется и потенциальный риск.

Главный аргумент противников такого подхода — отключение части защит может открыть дополнительные векторы атак, пока ещё не изученные. Тем не менее, как следует из совместного отчёта специалистов Intel и Canonical, всесторонний анализ показал, что отказ от этих механизмов не окажет серьёзного влияния на общий уровень защищённости.

Отдельно подчёркивается, что Intel уже поставляет аналогичные сборки Compute Runtime без включённых защитных мер. За время их использования не зафиксировано ни одного успешного злоупотребления уязвимостями, связанными с таким подходом. Однако разработчики предупреждают: отключение митигаций может вскрыть ранее незаметные ошибки, которые компенсировались благодаря работе защитных слоёв.

Важно учитывать и технические особенности. Сборки Compute Runtime от Intel на GitHub используют статическую компоновку и отличаются от deb-пакетов Canonical по структуре. Это может привести к различиям в работе систем и требует дополнительных тестов и верификации.

Что касается уязвимости Spectre, специалисты обеих компаний пришли к выводу, что её митигация на уровне Compute Runtime для графических процессоров утратила актуальность. По мнению разработчиков, современные версии ядра Linux уже содержат все необходимые патчи для нейтрализации этой угрозы. Дополнительные меры в GPU-стеке практически не усиливают защиту, но заметно тормозят вычисления.

Чтобы избежать проблем у пользователей с устаревшими или модифицированными версиями ядра, в сборку Compute Runtime добавлено специальное предупреждение о необходимости своевременно обновлять систему. Это позволяет информировать о потенциальных рисках без излишнего ущерба для производительности.

В данный момент Canonical проводит тестирование обновлённых сборок Compute Runtime с активированным флагом NEO_DISABLE_MITIGATIONS через персональный архив пакетов (PPA) для Ubuntu. Такой подход позволяет заранее проверить стабильность и корректность работы, прежде чем изменения будут официально включены в дистрибутив.

В ближайшие недели ожидаются первые результаты сравнительных тестов. Эксперты напоминают: многие пользователи даже не подозревали, насколько серьёзно защитные меры влияют на производительность графических вычислений. Теперь, когда стало известно о возможном приросте до 20%, интерес к оптимизации настроек среди владельцев GPU Intel и поклонников Ubuntu может существенно возрасти.