LiteBox - Microsoft'un açık kaynak olarak yayımladığı güvenlik odaklı kütüphane işletim sistemi

 (github.com/microsoft)
12 puan yazan GN⁺ 2026-02-08 | 2 yorum | WhatsApp'ta paylaş
  • Hem çekirdek modu hem de kullanıcı modu çalıştırmayı destekleyen güvenlik odaklı bir kütüphane işletim sistemi olarak, ana makine arayüzünü en aza indirerek saldırı yüzeyini azaltan bir sandbox ortamı sunar
  • Rust tabanlıdır ve nix ile rustix tarzı üst düzey arayüzlerin yanı sıra çeşitli alt platformlar arasında birlikte çalışabilirliği destekler
  • Başlıca kullanım senaryoları: Windows'ta Linux programlarını çalıştırma, Linux uygulamalarını sandbox içine alma, SEV SNP ve OP-TEE ortamlarında çalıştırma, LVBS platform desteği vb.
  • Güvenlik izolasyonu, sanallaştırma ve sistem arayüzlerini en aza indirme odağıyla geliştirilen yeni nesil bir işletim sistemi mimarisi deneyi
  • Rust tabanlı güvenli sistem kodunu çekirdek-kullanıcı modu birleşik çalışma modeli ile birleştirerek, güvenlik araştırmaları ve bulut izolasyon teknolojisi geliştirme için kullanılabilir

LiteBox'a genel bakış

  • LiteBox, Microsoft tarafından yayımlanan açık kaynaklı, güvenlik odaklı bir kütüphane işletim sistemi olup hem çekirdek hem de kullanıcı modu çalıştırmayı destekler
    • Temel hedefi, ana makineyle olan arayüzü en aza indirerek saldırı yüzeyini küçültmektir
    • Bu sayede sandbox benzeri izole bir çalışma ortamı sunar
  • Sistem Rust diliyle yazılmıştır ve üst katmanda nix/rustix tarzı arayüzler sağlar
    • Alt katmanda ise farklı platformları (Platform arayüzü) bağlayarak esnek yapılandırma mümkündür

Başlıca özellikler ve kullanım senaryoları

  • LiteBox, birden fazla çalışma ortamı arasında birlikte çalışabilirliği destekleyen bir yapıda tasarlanmıştır
    • Linux programlarını Windows'ta çalıştırma
    • Linux içinde uygulama sandbox'lama
    • SEV SNP tabanlı güvenli çalışma ortamı desteği
    • OP-TEE programlarını Linux'ta çalıştırma
    • LVBS platformunda çalıştırma desteği

Mevcut durum ve lisans

  • Proje şu anda aktif olarak geliştirilmektedir ve henüz kararlı sürüm yayımlanmamıştır
    • API ve arayüzler ileride değişebilir
    • Deneysel kullanım mümkündür, ancak uzun vadeli kararlılık gerektiren ortamlarda dikkatli olunmalıdır
  • MIT lisansı

İlgili okumalar

2 yorum

 
GN⁺ 2026-02-08
Hacker News görüşleri

  • GitHub sayfasına göre LiteBox, saldırı yüzeyini azaltmak için ana makine arayüzünü en aza indiren bir sandboxing library OS
    Rust tarzı nix/rustix tabanlı “North” arayüzü ile çeşitli “South” platformlarını bağlayabilecek şekilde tasarlanmış
    Örnekler arasında Linux programlarını Windows'ta çalıştırmak, Linux uygulamalarını sandbox içine almak veya SEV SNP·OP-TEE·LVBS üzerinde çalıştırmak yer alıyor

    • “Değişiklik yapılmamış Linux programlarını Windows'ta çalıştırma” kısmı en ilgi çekici olanı
      Eskiden beri WSL2 bana geçici bir çözüm gibi geliyordu; WSL1 ise Windows NT'nin “personality modules” kavramını gerçekten iyi hayata geçiren bir örnekti
    • İlgili tartışmalar Reddit başlığında ve James Morris'in paylaşımında da görülebilir
    • Acaba bu, WSLv1.2 benzeri bir fikir olup daha genel amaçlı, platformlar arası bir library türü firewall haline mi gelmiş diye merak ediyorum
    • README'de çok fazla teknik pazarlama jargonu var; projenin gerçekte ne yaptığını anlamam zaman aldı
      Microsoft'un mevcut kavramları yeni adlarla paketleyip sanki yenilikmiş gibi sunmasının tipik bir örneği gibi duruyor

  • Son zamanlarda Microsoft'un ana işletim sistemi o kadar hata dolu ki, yeni çıkardıkları projelere güvenmek zor geliyor

    • Microsoft'ta 100 binden fazla mühendis var; Windows'taki hatalar yüzünden tüm ürünlerini toptan kötü saymak bence aşırı olur
    • Windows'un arayüzü kararsız, ama çekirdek ve düşük seviye kısımlar oldukça kararlı ve iyi
    • LiteBox, Windows'un yerine geçecek bir şey değil ve GUI masaüstü işletim sistemi de değil
      Bunu geliştiren ekibin modern Windows UX ile hiçbir ilgisi olmadığını tahmin ediyorum
    • Windows 11'in hataları ve Copilot sorunları yüzünden eleştirildiğini biliyorum ama bu tür forumlarda Microsoft olduğu için ürünleri küçümseyen bir echo chamber etkisi de var gibi
    • Windows kapalı ve karmaşık, ama LiteBox Linux ekosistemi üzerinde çalıştığı için mühendislik kültürünün farklı olmasını bekliyorum

  • LiteBox deposunda Copilot ile ilgili yapılandırma dosyaları bulunuyor
    copilot-instructions.md

    • Bugünlerde birçok kuruluş OKR hedeflerini tutturmak için yapay zeka kullanımını şart koşuyor; bu yüzden böyle bir ayarın olması doğal
    • Aslında çoğu proje bir ölçüde AI tarafından üretilmiş kod içeriyor
      Burada olan şey sadece bunun açıkça yapılandırmada gösterilmiş olması
    • “Çok basit değişiklikler için birim testi gerekmez” diye bir ifade var; böyle istisna kuralları net tanımlanmazsa LLM'ler bunu sezgisel olarak izleyemeyebiliyor

  • Library OS’un ne olduğunu merak ettim

    • İşletim sisteminin sunduğu arayüzleri (syscall, ioctl vb.) uygulamaya doğrudan kütüphane olarak linkleyen bir yapı bu
      Yani OS işlevleri uygulamanın adres alanına entegre ediliyor ve dış arayüz donanım erişimi ya da hypercall'lara dönüşüyor
      Unikernel bu şekilde çalışır; Wine da geniş anlamda bir Library OS sayılabilir
      Örneğin bir Linux uygulamasını LiteBox'a linkleyip SEV-SNP üzerinde çalıştırabilir ya da OP-TEE TA'yı Linux'ta çalıştırabilirsiniz
      Esas nokta, yüzlerce POSIX syscall'ını denetlemek yerine ara temsildeki birkaç ilkel işlemi kontrol edecek şekilde işi basitleştirmeleri
    • Kısacası, OS'yi bir kütüphane gibi linkleyip gerçek sistemin API'sini daraltılmış biçimde dışarı açarak saldırı yüzeyini azaltan bir sandbox elde ediliyor
    • Wikipedia'daki açıklama da bakmaya değer

  • Bir uzaylıya Library OS ile çekirdek tabanlı uygulama arasındaki farkı anlatmam gerekse, bunun ciddi ciddi açıklanması zor olacak kadar ince bir fark olduğunu söylerdim

    • Gerçek bir Library OS'te sistem çağrıları yoktur ve kullanıcı/çekirdek alanı ayrımı olmadan aynı alanda çalışılır

  • İlk başta ‘Library OS’i kütüphaneler için bir işletim sistemi sandım

    • Ben de öyle düşündüm. Eski Dynix gibi şeyleri hatırlayıp kısa bir nostalji yaşadım
    • Esasen OS'yi linkleyince, ayrı bir OS olmadan doğrudan supervisor üzerinde çalışabilen bir yapı diye anladım
    • “Halk kütüphaneleri için bir OS, ilginçmiş” diye düşünmüştüm; öyle çıkmayınca biraz hayal kırıklığı oldu

  • Library OS kavramı bana yabancıydı ama açıklamayı duyunca Unikernel'e benzer geldi
    Program çekirdek modu çağrıları olmadan doğrudan hypervisor üzerinde çalışıyor ve LiteBox Linux·Windows·BSD süreçleri olarak da çalışabiliyor

    • Başka bir açıdan bakınca, programın doğrudan OS kullanmak yerine ortak bir arayüz içinde izole çalıştırıldığı bir sandbox gibi görünüyor
      Ancak kendi ABI'sini mi kullandığı yoksa ana makine OS'nin ABI'sini mi kullandığı belirsiz
      Anlatıma bakınca biraz ‘vibe-coded’ bir proje hissi de veriyor

  • Microsoft, LiteBox üzerinden WFP callout driver'larını imzasız yazmayı mümkün kılarsa ilginç olabilir
    Hâlâ kernel mode'da çalışır ama MacOS'un NetworkExtensions'ından daha esnek olabilir

  • Tasarım spesifikasyonu ve formal verification temelli bir geliştirme sürecinden söz edilmemesi üzücü
    İlginç bir girişim ama böyle bir yaklaşım olmadan Windows'ta tekrar tekrar görülen güvenlik açıklarının yeniden ortaya çıkma riski var

    • Son zamanlarda insanlar Rust ile yazıldığı için bir şeyin otomatik olarak güvenli olduğuna inanma eğiliminde gibi görünüyor

  • “Library OS” kavramını ilk kez duyuyorum; acaba gVisor da buna giriyor mu diye merak ettim
    Benzer bir yapıya benziyor ama tam olarak aynı kategori mi, emin değilim
 
picopress 2026-02-09

Bir süredir gördüğüm en ilginç projelerden birini buldum.