Linux 虚拟化核心升级：QEMU 10.2 安全与架构全解析

QEMU，这款广泛应用于服务器、嵌入式开发和桌面虚拟化场景的开源机器模拟与虚拟化软件，现已正式发布 10.2 版本。在经历四个候选版本（RC）之后，10.2 成为 10.x 系列中的第二个稳定维护更新，整体重点放在安全策略明确、旧代码清理以及多架构支持的持续完善上。

🛡️ 安全策略更清晰了

在 QEMU 10.2 中，开发团队对安全模型进行了进一步梳理。现在，哪些机器类型属于“虚拟化使用场景”被明确界定，这让开发者和安全团队在判断问题是否构成安全漏洞时，有了更加统一、可执行的标准。这一变化有助于减少争议，也能让安全响应流程更加一致和高效。

🧹 老旧代码持续清理

为了让项目保持轻量和可维护性，本次更新继续清理历史包袱。长期不再推荐使用的 -old-param 参数被正式移除，Arm 架构下早已过时的 PXA CPU 系列也被完整删除。这类“该下线就下线”的调整，有助于降低维护成本，也让新功能的开发更加顺畅。

🧠 架构支持全面推进

在多架构支持方面，QEMU 10.2 带来了扎实而细致的改进，尤其是在 Arm、RISC-V 和 PowerPC 等平台上：

• Arm 架构：新增 SCTLR2、TCR2、LSE128 以及 RME 相关 CPU 特性，调试能力也同步增强，gdbstub 现在可以直接访问 SME 和 SME2 寄存器

• RISC-V 架构：修复控制流完整性问题，引入可配置的 PMP 粒度，更新 OpenSBI 固件，并修正定时器、MMU 和指令行为相关的错误

• PowerPC 架构：新增对更新版 PowerNV 和 PPE 机器的支持，在 pSeries 平台中引入 FADUMP 功能，同时移除无法正常使用的旧 CPU

• 其他架构（如 s390x、LoongArch、HPPA）也都获得了不同程度的稳定性和正确性改进

💻 平台与设备模拟持续增强

在平台支持方面，QEMU 10.2 新增了 amd-versal2-virt 板级模型，并改进了 Xilinx ZynqMP 的系统建模。同时，多款 ASPEED SoC 也加入了与 PCIe 和安全启动相关的设备支持。

设备模拟层面同样有不少实用变化，例如 eMMC 模型新增了对 RPMB（重放保护内存块） 的支持，已废弃的 VFIO 平台设备被移除，PCIe、存储、网络以及 virtio 子系统均有细节优化。FreeBSD 主机上的支持也进一步增强，9pfs 等功能变得更加完善。

🔐 加密与迁移能力同步升级

在安全与加密方面，QEMU 10.2 提高了对 GNUTLS、libgcrypt 和 nettle 的最低版本要求，并新增了同时加载多个 X.509 证书身份的能力，为未来向后量子密码学过渡打下基础。TLS 相关逻辑也更加严谨，修复了潜在的释放后使用问题，并改进了证书校验流程。

迁移与性能方面，新版本引入了新的迁移模式，修复了 postcopy 和快照回退中的多个问题，并解决了迁移后 VFIO 场景下可能出现的性能隐患。在宿主系统支持的情况下，QEMU 的主事件循环还可以使用 io_uring，为后续性能提升提供了更大空间。

🧑‍💻 面向开发者的改进

对开发者来说，10.2 同样值得关注。追踪代码生成流程得到了优化，从而减小了最终二进制体积；TCG 插件新增了更多可用的钩子接口；最低支持的 Rust 版本提升至 1.83。虽然 Rust 支持仍处于实验阶段，但基于 Rust 的设备实现正在逐步接近可用状态。

更多详细信息可以查看官方更新日志。QEMU 10.2 的源代码已经在项目的 GitHub 页面上开放下载。

✨ 总结

总体来看，QEMU 10.2 并不是一次追求“眼前炫技”的更新，而是一次扎实、稳健的版本演进。它通过明确安全边界、清理历史遗留问题、持续打磨多架构支持，为后续的大版本发展铺平了道路。无论你是虚拟化平台的使用者，还是从事底层系统与硬件模拟开发的工程师，这个版本都值得关注和升级。

The post Linux 虚拟化核心升级：QEMU 10.2 安全与架构全解析 first appeared on Linux迷.