AMD 工程师团队正在推进 Linux 内核的“攻击向量控制” (Attack Vector Controls) 开发，该功能旨在简化 CPU 安全缓解措施的管理。通过将安全缓解措施分类，管理员可以根据系统角色更灵活地配置，无需手动启用或禁用单个措施。这项改进预计将与 Linux 6.17 内核同步发布，有助于提升 AMD 和 Intel 处理器的安全性，特别是在虚拟化环境中。目前，相关补丁已并入 TIP 分支，等待合并到即将到来的内核版本中。

🛡️ **简化安全措施管理：** 攻击向量控制允许 Linux 系统管理员更轻松地根据系统预期角色配置 CPU 缓解措施，无需逐一启用或禁用。这简化了安全配置流程。

⚙️ **分类安全缓解措施：** 该控制功能将 CPU 安全缓解措施分为用户到内核、用户到用户、客户机到主机、客户机到客户机以及跨线程等类别，方便管理员进行针对性管理。

💻 **提升虚拟化环境安全性：** 攻击向量控制特别适用于虚拟化环境，管理员可以根据服务器运行的虚拟机类型（例如，是否为受信任虚拟机或混合虚拟机）来更有效地控制安全缓解措施。

📅 **发布时间：** 预计攻击向量控制补丁将与 Linux 6.17 内核同步发布，合并窗口预计在 7 月底/8 月初开放。

AMD工程团队主导的Linux 内核攻击向量控制 (Attack Vector Controls)开发工作可能会与即将发布的 Linux 6.17 内核同步，其余补丁目前已在 TIP 分支中排队等待。去年发布的攻击向量控制原始补丁旨在重新思考 CPU 安全缓解措施的处理方式。

借助攻击向量控制，Linux 系统/服务器管理员可以更轻松地根据系统的预期角色控制应用哪些 CPU 缓解措施，而无需费心启用/禁用单个安全缓解措施。

攻击向量控制通过将 CPU 安全缓解措施分类为用户到内核、用户到用户、客户机到主机、客户机到客户机以及跨线程缓解措施，可以更轻松地管理缓解措施。根据服务器是否正在运行任何虚拟机、服务器是否运行所有受信任的虚拟机或来自不同不受信任用户的混合虚拟机以及类似场景，可以更有效地控制跨不同 AMD 和 Intel 处理器的安全缓解措施。

今天，攻击向量控制 (Attack Vector Controls) 补丁已 通过tip/tip.git 的 x86/bugs 分支合并。这些补丁现已移至 TIP 分支，预计将提交至下一个内核周期：即将于 7 月底/8 月初开放的 Linux 6.17 合并窗口。请参阅当前的攻击向量控制文档，了解更多关于这些即将推出的、用于管理 Linux 系统 CPU 安全缓解措施的控制措施的信息。