Мейнтейнер подсистемы обеспечения безопасности ядра Linux Джеймс Моррис (James Morris), который возглавляет в Microsoft команду разработчиков Linux Emerging Technologies, представил открытый проект Litebox. Это решение позиционируется как сфокусированная на безопасности операционная система в форме библиотеки (Library OS). Исходный код проекта написан на языке Rust и опубликован на GitHub под лицензией MIT.

Проект Litebox можно использовать в программах или ядрах как дополнительный слой изоляции, блокирующий доступ к излишней функциональности ядер или API для снижения поверхности атак.

Идея Library OS состоит в том, что сервисы операционной системы напрямую встраиваются в приложение вместо обращения к внешнему ядру ОС при помощи системных вызовов. В контексте Litebox к приложениям подключается изолирующая прослойка, предоставляющая минимальную платформу, транслирующую запросы к внешнему полнофункциональному программному интерфейсу. В качестве подобных внешних интерфейсов могут выступать ядро Linux, защищённые изолированные окружения OP‑TEE (Open Portable Trusted Execution Environment), Webassembly‑окружения или стандартная библиотека RustStd.

По информации OpenNET, формируемая через Litebox минимальная платформа применима для запуска приложений Linux, Windows и FreeBSD, вложенных ядер Linux и LVBS (Linux Virtualization Based Security). В качестве возможных областей применения Litebox упоминается обеспечения запуска немодифицированных Linux‑программ в Windows, изоляция выполнения Linux‑приложений на системах с ядром Linux, запуск программ поверх AMD SEV SNP для шифрования памяти, выполнение OP‑TEE‑программ в Linux и изоляция с использованием концепции LVBS.

Проект LVBS, представители которого участвуют в разработке Litebox, развивает методы для защиты компонентов ядра Linux, использующие возможности гипервизоров и аппаратной виртуализации. Например, при помощи гипервизора могут изолироваться операции контроля подлинности модулей, верификации, управления доступом к паролям, ключам, структурам ядра и другим критически важным ресурсам. В случае эксплуатации уязвимости и компрометации ядра, атакующий не сможет получит доступ к подобным ресурсам, так как их обработчики выполняются вне текущего уровня привилегий. Litebox рассматривается в контексте проекта LVBS как «безопасное ядро», защищающая обычное ядро гостевой системы при помощи аппаратной виртуализации.