Уязвимости Spectre и Meltdown стали серьезной головной болью не только для операторов крупных серверов. Многие системы уже защищены от атак, однако связанные с этим обновления микрокода могут привести к падению производительности CPU. Теперь масла в огонь подлила Intel, опубликовав новое лицензионное соглашение.
Если обычные пользователи вряд ли столкнутся с проблемами падения производительности после обновления микрокода, в сегменте серверов все обстоит иначе. Здесь используются уже другие сценарии, и на производительность виртуальных машин влияние может оказаться весьма существенным. Падение производительности на 5-10% может привести к тому, что придется закупать новое оборудование в дополнение к имеющемуся, либо придется сокращать число клиентов, которых обслуживает сервер.
Новые опасения возникли в середине августа по поводу уязвимости L1 Terminal Fault или Foreshadow. Источником стала сама Intel. Компания уже несколько месяцев была в курсе уязвимости, в августе Intel начала распространение обновлений микрокода, которые ее закрывали. Опубликованные тесты успокоили клиентов Intel. Во многих случаях падениях производительности не наблюдалось, иногда оно было небольшим, заметным его можно было назвать лишь в редких сценариях.
Вместе с обновлением микрокода Intel обновила лицензионное соглашение, на что первое время никто не обратил внимание. 15 августа тревогу поднял разработчик Debian Henrique Holschuh. Новые версии микрокода, в том числе обновления, представленные после 8 августа, не могут распространяться прежним путем. Как отмечает разработчик, распространение пакетов через альтернативные серверы нарушает лицензионное соглашение. И не только.
Если верить The Register, подобную точку зрения разделяет не только Debian. В случае Gentoo проблема тоже наблюдается, но здесь перед скачиванием пакета каждому пользователю необходимо персонально согласиться с лицензионным соглашением, что перекладывает ответственность на пользователя. Но SUSE или Red Hat никаких проблем не видят. Если верить Имаду Сосо (Imad Sousou), вице-президенту и директору Intel Open Source Technology Center, лицензионное соглашение подразумевает распространение пакетов разными способами.
Однако при этом нет ответа на другую проблему: публикацию результатов сравнительных тестов. В разделе 3 лицензионного соглашения имеется соответствующий пункт:
„You will not, and will not allow any third party to (v) publish or provide any Software benchmark or comparison test results."
Как указывает Брюс Перенс (Bruce Perens), специалист одного из ресурсов, специализирующемся на открытом исходном коде, данный пункт не позволит пользователям демонстрировать разницу в производительности между дистрибутивами с обновлением микрокода и без такового. В результате придется либо ориентироваться на результаты тестов, либо проводить собственное сложное тестирование для внутренних нужд, результаты которого нельзя публиковать. Перенс идет еще дальше The Register. Лицензионное соглашение не позволяет использовать CPU Intel для тестов, если результаты планируется публиковать.
Обновление:
Между тем Intel официально высказалась по данному вопросу:
"We are updating the license now to address this and will have a new version available soon. As an active member of the open source community, we continue to welcome all feedback."
Обновление 2:
Intel удивительно быстро обновила лицензионное соглашение. Обновленная версия уже доступна, в ней не только убран заперт на публикацию тестов, но и разрешена дистрибуция через разные каналы.
Intel пересмотрела лицензионное соглашение, поддержав подход с открытым исходным кодом, что подразумевает открытую публикацию результатов в виде тестов.