Amióta az AMD 2023 elején bejelentette az openSIL-t, vagyis a nyílt forráskódú CPU-szintű inicializálást, amely hosszabb távon leváltja az AGESA-t és javítja a Coreboot támogatását, azóta szerettem volna kipróbálni. Az eddigi openSIL kódközzétételek azonban csak néhány referencia platformra koncentráltak, és a Zen 6 környékére tervezik a gyártásra kész állapotot. A 3mdeb cégnek köszönhetően, akik openSIL-t és Corebootot portoltak egy Gigabyte szerver alaplapra, most már Zen 5 hardveren is ki lehet próbálni az openSIL+Coreboot párost.

A 3mdeb tanácsadó cég az AMD openSIL és a Coreboot portolásán dolgozik, hogy a nyílt forráskódú firmware stack fusson a Gigabyte MZ33-AR1 alaplapon EPYC 9005 sorozatú processzorokkal. Akiket inkább az asztali AMD Ryzen hardver érdekel, azoknak jó hír, hogy már folyamatban van a Coreboot és az openSIL portolása egy MSI kiskereskedelmi alaplapra, amelyet még az idén kiadnak.

Az utóbbi években a nyílt forráskódú firmware iránti érdeklődés látványosan megnőtt, a hyperscaler szereplőktől a biztonságra érzékeny szervezetekig. A cél az átláthatóság növelése, a firmware modernizálása és karcsúsítása a gyorsabb bootidő és a kisebb támadási felület érdekében, illetve más, valódi gyakorlati előnyök elérése, nem pusztán az, hogy a firmware nyílt forráskódú legyen. A következő években a vállalati igények a nyílt forráskódú firmware iránt várhatóan tovább nőnek, különösen a biztonság és a bizalmas számítási környezetek miatt.

Amikor a 3mdeb bejelentette a Coreboot+openSIL portolásának első lépéseit, vettem egy Gigabyte MZ33-AR1 alaplapot. Amint bejelentették a Dasharo kiadását – ez a Coreboot saját, openSIL-t használó változatuk.

A Dasharo alapból biztonságosabb élményt nyújt, például alapértelmezetten bekapcsolja a Secure Memory Encryption funkciót.

A Gigabyte MZ33-AR1 esetében a Dasharo buildet közvetlenül a Gigabyte szerver alaplap BMC webes felületéről lehet felvillogtatni. Nem kell Flashrommal vagy hasonló eszközökkel bajlódni: a BMC webes felületéről gyorsan és egyszerűen le lehet cserélni a zárt BIOS-t a Coreboot+openSIL-alapú Dasharóra. Ugyanígy a BMC webes felületéről vissza is lehet állítani az alapértelmezett Gigabyte BIOS képfájlokat, ha a Dasharo használata után erre szükség lenne.

Az elején belefutottam néhány problémába. Turin Dense CPU volt a gépben, és kiderült, hogy az AMD openSIL aktuális Turin kiadása ezt még nem támogatta. A 3mdeb mérnökeivel együttműködve végül sikerült megoldani. Mostanra elkészült ez az openSIL upstream pull request, amelyben a 3mdeb az upstream openSIL-be is beviszi a Turin Dense támogatásához szükséges módosításokat. Közben kipróbáltam nem Dense EPYC 9005 CPU-val is, és a nagy magszámú processzorokkal újabb gondok jöttek elő, mert a 3mdeb alacsonyabb magszámú CPU-kon tesztelt, és néhány adatstruktúra mérete túlcsordult. Röviden: ezeket a problémákat is megoldották a legújabb buildjeikben.

A friss builddel végre megvalósult a három évvel ezelőtti cél. AMD openSIL és Coreboot fut a gépemen. Három év openSIL-fejleményeiről szóló beszámoló után jó érzés volt végre saját kézzel kipróbálni, és látni, hogy a kezdeti javítások után gond nélkül működik. Miután túljutottunk az első nehézségeken, stabilan fut, és nem tapasztaltam további problémát.

Az openSIL előtt, aki Corebootot vagy más nyílt forráskódú firmware-t akart AMD szerver hardveren futtatni, jórészt régi AMD Opteron szerver alaplapokra volt utalva, amelyekhez létezett Coreboot. Ez a mai igényekhez mérten gyakorlatilag használhatatlan, ha valaki komolyan törekszik a nyílt forráskódú firmware-re, de nem akar több mint tízéves Opteron platformra szorítkozni. A 3mdeb munkájának köszönhetően, akik elhozták a Dasharót egy Gigabyte kiskereskedelmi EPYC 9005 alaplapra, most már egy aktuális generációs AMD EPYC szerver alaplapon is élvezhető a Coreboot.

Fontos ugyanakkor hangsúlyozni, hogy az AMD csak a Zen 6 generációra tervezi az openSIL gyártásra kész állapotát. Ennek ellenére az első tesztek alapján meglepően jól működik.