# FreeBSD 2023 年第二季度状态报告

* 原文：[FreeBSD Status Report Second Quarter 2023](https://www.freebsd.org/status/report-2023-04-2023-06/)

这是 2023 年第二份状态报告，共有 37 份报告。

如你所见，我们的报告数量比上季度有所增加。这是个好消息，也彰显了 FreeBSD 社区的活跃程度，以及大家始终致力于提供高质量软件的努力。

特别请注意，夏季已到，不要错过我们谷歌编程之夏学生分享的精彩项目。

祝阅读愉快。

Lorenzo Salvadore

代表状态团队敬上。

## FreeBSD 团队报告

可在 [管理页面](https://www.freebsd.org/administration/) 查阅来自各官方及半官方团队的条目。

### FreeBSD 核心团队

联系方式：FreeBSD 核心团队 \[<core@FreeBSD.org>

FreeBSD 核心团队是 FreeBSD 的管理机构。

#### 2023 年 5 月 开发峰会

核心团队在 5 月 17–18 日的 FreeBSD 开发者峰会上展示了动态更新。可在 <https://wiki.freebsd.org/DevSummit/202305> 查看演示文稿。

#### FreeBSD 14

核心团队正在与其他团队协作，确保 FreeBSD 14.0-RELEASE 拥有最高质量标准。

核心团队对 [14 版本不再支持](https://www.freebsd.org/platforms/) riscv64sf（64 位 RISC-V 软浮点）表示无异议。

#### 同 FreeBSD 基金会的会议

核心团队与 FreeBSD 基金会持续定期会面，讨论 FreeBSD 的管理、开发及后续发展。核心团队与基金会董事会及员工举行了两次会议，讨论基金会如何协助核心团队及整个项目。

#### Matrix 即时通讯方案

在 2023 年 5 月 开发峰会的核心团队动态中，其中一个主要议题是提出新的项目沟通解决方案。

目前，由集群管理员设置了测试实例 `matrix-dev.FreeBSD.org`。所有开发者可使用 Kerberos 凭证访问该实例，一些公开聊天室可通过 Matrix 的联合功能加入。请注意，此实例仅用于测试和评估，不保证备份或可用性。

核心团队仍在讨论该服务的范围和管理方式，并收集社区反馈。

#### 行为准则委员会

行为准则委员会（conduct@）目前由核心团队管理。

#### 提交权限

核心团队批准了 Christos Margiolis (christos@) 的 src 提交权限。

### FreeBSD 基金会

链接：

[FreeBSD 基金会](https://www.freebsdfoundation.org/) URL: [https://www.freebsdfoundation.org](https://www.freebsdfoundation.org/)

[技术路线图](https://freebsdfoundation.org/blog/technology-roadmap/) URL: <https://freebsdfoundation.org/blog/technology-roadmap/>

[捐赠](https://www.freebsdfoundation.org/donate/) URL: <https://www.freebsdfoundation.org/donate/>

[基金会合作计划](https://freebsdfoundation.org/our-donors/freebsd-foundation-partnership-program/) URL: <https://freebsdfoundation.org/our-donors/freebsd-foundation-partnership-program/>

[FreeBSD 期刊](https://www.freebsdfoundation.org/journal/) URL: <https://www.freebsdfoundation.org/journal/>

[基金会新闻与活动](https://www.freebsdfoundation.org/news-and-events/) URL: <https://www.freebsdfoundation.org/news-and-events/>

联系方式：Deb Goodkin <deb@FreeBSDFoundation.org>

FreeBSD 基金会是一家 501(c)(3) 非营利组织，致力于支持和推广全球的 FreeBSD 项目与社区。来自个人和企业的捐赠用于资助和管理软件开发项目、会议及开发者峰会。我们还为 FreeBSD 贡献者提供差旅补助，购买并支持硬件以改善和维护 FreeBSD 基础设施，并提供资源以提升安全性、质量保证和发布工程工作。我们发布宣传材料以推广、教育和宣传 FreeBSD 项目，促进商业供应商与 FreeBSD 开发者之间的合作，并代表 FreeBSD 项目执行合同、许可协议及其他需要具备合法主体的法律事务。

#### FreeBSD 生日快乐，三十岁了

二十三年来，我们始终自豪地支持这个非凡的操作系统及其充满活力的社区，并期待在将来的日子里继续提供支持。在本次进展中，我们将概述基金会在多个领域对 FreeBSD 的贡献。内容涵盖项目开发举措，其中一些已有详细报告。此外，我们还将展示对 FreeBSD 的推广工作、促进社区参与的努力，以及拓展合作伙伴关系的进展。最后，我们将探讨为争取更多资金而开展的持续工作，从而能够投入更多资源来填补项目中的空白。

#### 筹款工作

本季度，我们在与商业 FreeBSD 用户的互动方面取得了重大进展。为了增强与现有及潜在商业用户的合作关系，我们聘请了 Greg Wallace 担任合作与研究总监。他的主要目标是扩大与商业用户的合作。从就任以来，Greg 就全力以赴，在一个季度内会见了众多公司。这些交流提供了宝贵的洞见，让我们了解 FreeBSD 的实际应用情况、用户面临的挑战以及项目可以改进的领域。通过了解这些方面，我们可以更明智地决定资金分配，并认识到 FreeBSD 的独特优势。此外，该职位还负责开展研究，以探索目标市场、探索 FreeBSD 的新机会，并确保我们的声音在相关讨论中被听到。关于 Greg 的目标和成就的更多细节，可参见下面的状态更新。

基金会对所有为支持我们工作的捐赠者表示衷心感谢。除了众多个人捐赠外，我们很高兴收到了 NetApp 和黑莓的大额捐赠。此外，我们还获得了 Tarsnap、iXsystems 和 LPI 对 FreeBSD 开发者峰会的赞助。这些赞助大大帮助了抵消开支，并使我们能够为参会者提供可承受的注册费用。

今年我们的预算约为 2,230,000 美元，其中包括对 FreeBSD 推广和软件开发的增加支出。超过一半的预算用于直接改善 FreeBSD 和保持其安全性的工作。

通过设立专职负责合作伙伴的岗位，我们能够有效强调投资我们工作的意义，并向公司展示项目的长期可持续性。

您的支持在我们的使命中起着关键作用，我们对您对 FreeBSD 社区的承诺深表感谢。请考虑为我们 2023 年的筹款活动捐赠！<https://www.freebsdfoundation.org/donate/>

对于重要的商业捐赠者，我们有 [FreeBSD 基金会合作计划](https://freebsdfoundation.org/our-donors/freebsd-foundation-partnership-program/)，该计划成立于 2017 年。

#### 合作伙伴计划

大家好，我是 Greg Wallace。今年四月初，我加入基金会，担任合作与研究总监。[这篇博客介绍了我和这个职位](https://freebsdfoundation.org/blog/freebsd-foundation-welcomes-new-team-members/)。在合作方面，我专注于与使用 FreeBSD 的公司建立联系。我已经会见了几家公司，了解它们如何使用 FreeBSD。其中一些会谈产生了潜在合作的讨论。我会继续了解有趣的 FreeBSD 用户公司，并主动联系它们。

我的目标是与每一家使用 FreeBSD 的公司取得联系，倾听它们的故事。如果你属于此类公司且我们尚未联系，请在 [我的日程](https://calendly.com/greg-freebsdfound/30min) 上安排通话。

本季度其他合作相关活动包括：

* 我制作了 [这些幻灯片](https://docs.google.com/presentation/d/1tDCpbfxbqIucmJF6H15vK-ETrQsCMOVtxoqLem_V0Z0/edit?usp=sharing)，介绍了与基金会合作如何推动 FreeBSD 的发展。如果你对改进这些幻灯片有建议，或希望我向你的组织进行展示，请 [发邮件给我](mailto:greg@freebsdfoundation.org) 或 [安排通话](https://calendly.com/greg-freebsdfound/30min)。欢迎随意分享此演示文稿，无论是部分还是全部内容。
* 我与基金会同事合作，为向行业分析师的演示制作了多份行业特定的使用案例幻灯片。
* 我还在寻求包括以下机构的资助机会：
  * NSF 安全与可信赖网络空间（SaTC）
  * 主权科技基金（Sovereign Tech Fund）
  * NGI

在研究方面，我的总体目标是确保社区的所有专业知识能够在全球关于计算性能、安全性和能源效率的讨论中得到体现。作为一个社区，我们有很多内容可以贡献。

到目前为止，我一直在跟踪并参与以下讨论：

* [欧洲开放论坛](https://openforumeurope.org/open-source/)
* [CHIPS 研究与开发](https://www.nist.gov/chips/research-and-development-program)

如果你有研究想法或希望在该领域合作，请 [发邮件给我](mailto:greg@freebsdfoundation.org) 或 [安排通话](https://calendly.com/greg-freebsdfound/30min)。

#### 改进操作系统

在 2023 年第二季度，共有 339 个 src、155 个 Ports 和 20 个 doc 树提交标注 FreeBSD 基金会为赞助方。其中部分及其他基金会赞助的工作在单独报告条目中有所描述：

* [持续集成](https://www.freebsd.org/status/report-2023-04-2023-06/#_continuous_integration)
* [作为一级 cloud-init 平台的 FreeBSD](https://www.freebsd.org/status/report-2023-04-2023-06/#_freebsd_as_a_tier_1_cloud_init_platform)
* [基本系统中的 OpenSSL 3](https://www.freebsd.org/status/report-2023-04-2023-06/#_openssl_3_in_base)
* [FreeBSD 上的 OpenStack](https://www.freebsd.org/status/report-2023-04-2023-06/#_openstack_on_freebsd)
* [使用 ktrace(1) 的安全沙箱](https://www.freebsd.org/status/report-2023-04-2023-06/#_security_sandboxing_using_ktrace1)
* [amd64 SIMD 增强](https://www.freebsd.org/status/report-2023-04-2023-06/#_simd_enhancements_for_amd64)

以下是其他基金会赞助工作的示例：

* 修复 \[fsck\_ffs(8)(<https://man.freebsd.org/cgi/man.cgi?query=fsck\\_ffs\\&sektion=8\\&format=html>) 的 Bug
* 修复 \[killpg(2)(<https://man.freebsd.org/cgi/man.cgi?query=killpg\\&sektion=2\\&format=html>) 的 Bug
* 改进 hwpmc
* 改进 vmm
* LLVM 16 与 OpenSSL 3.0 的 Ports 修复与解决方案
* 将 Port kinst 移植到 RISC-V 及相关 DTrace 工作
* 更新 libfido2 到版本 1.9.0
* 各类 LinuxKPI 802.11 改进
* 各类 RISC-V 改进
* 从版本 4.9.3 更新并导入 tcpdump 至版本 4.99.4

可在 [基金会项目页面](https://freebsdfoundation.org/our-work/projects/) 查看当前及以往基金会承包工作的状态。

基金会技术团队成员于 5 月 17–18 日在加拿大渥太华举行的开发者峰会上进行了展示，包括主持谷歌编程之夏、[FreeBSD 基金会](https://wiki.freebsd.org/DevSummit/202305?action=AttachFile\&do=view\&target=FreeBSD_Foundation_Devsummit_Spring_2023_Day_2.pdf) [技术评审](https://wiki.freebsd.org/DevSummit/202305?action=AttachFile\&do=view\&target=FreeBSD_Foundation_Devsummit_Spring_2023_Day_2_part1.pdf) 和 [工作流](https://docs.google.com/presentation/d/e/2PACX-1vSnEW5Z0ttQOAeqEEY8KHkfiRGeFUm4i8XrYsfY8TNYD%E2%80%94%E2%80%8Byx1P6MUu2_u-mCcpe6PMMITjeDIgT31CC/pub) 工作组会议。Pierre Pronchery 介绍了 [BSD 驱动程序协调](https://www.bsdcan.org/events/bsdcan_2023/schedule/speaker/89-pierre-pronchery/)，En-Wei Wu 讨论了与基金会合同完成的 [wtap 工作](https://www.bsdcan.org/events/bsdcan_2023/schedule/session/139-add-operating-modes-to-wtap4/)。

#### 持续集成与质量保证

基金会提供全职员工并资助项目，以改进 FreeBSD 项目的持续集成、自动化测试及整体质量保证工作。关于持续集成的工作，可在专门报告条目中阅读更多内容。

#### 宣传工作

我们的大部分工作都致力于 FreeBSD 项目的推广。这可能包括突出展示有趣的 FreeBSD 工作、制作文献和视频教程、参加活动或进行演讲。我们制作的文献旨在教授人们 FreeBSD 基础知识，并帮助他们更轻松地采纳或贡献 FreeBSD。除了参加和演讲外，我们还鼓励并协助社区成员举办自己的 FreeBSD 活动、做演讲或管理 FreeBSD 展台。

FreeBSD 基金会在全球范围内赞助许多会议、活动和峰会。这些活动可能与 BSD 相关、开源相关，或是面向弱势群体的技术活动。我们支持以 FreeBSD 为中心的活动，以提供知识分享、项目协作和促进开发者与商业用户合作的平台，从而维持健康的生态系统。我们支持非 FreeBSD 活动，以宣传和提高 FreeBSD 的认知度，增加其在不同应用中的使用，并招募更多贡献者加入项目。我们很高兴大部分活动能够回归线下参与。除了参加和策划活动，我们还在持续开展新的培训计划，并更新我们的 [使用指南](https://freebsdfoundation.org/freebsd-project/resources/)，以方便更多人尝试 FreeBSD。

以下是我们在推广和教育方面的一些工作：

* 协助组织并参加了 2023 年 5 月 17-18 日在加拿大安大略渥太华举办的 [开发者峰会](https://wiki.freebsd.org/DevSummit/202305)
* 在 2023 年 5 月 17-20 日举办的 [BSDCan](https://www.bsdcan.org/2023/) 中设立展台并赞助手提袋
  * 可在 [博客](https://freebsdfoundation.org/our-work/latest-updates/) 查看行程报告
* 在 BSDCan 庆祝项目 30 周年，提供蛋糕及特刊 [FreeBSD 期刊 30 周年纪念版](https://freebsdfoundation.org/past-issues/freebsd-30th-anniversary-special-edition/)
* 在 2023 年 7 月 13-16 日于美国俄勒冈州波特兰的 [FOSSY](https://sfconservancy.org/fossy/) 安排 FreeBSD 研讨会与讲座
* 确认对 2023 年 9 月 14-17 日在葡萄牙科英布拉举行的 [EuroBSDCon 2023](https://2023.eurobsdcon.org/) 的银级赞助
* 确认对 2023 年 10 月 15-17 日在美国北卡罗来纳州罗利举行的 [All Things Open](https://2023.allthingsopen.org/) 展位支持
* 开始规划 FreeBSD 秋季厂商峰会
* 欢迎两位 [新团队成员](https://freebsdfoundation.org/blog/freebsd-foundation-welcomes-new-team-members/)：Greg Wallace 和 Pierre Pronchery
* 发布 [4 月](https://freebsdfoundation.org/news-and-events/newsletter/freebsd-foundation-update-april-2023/) 和 [6 月](https://freebsdfoundation.org/news-and-events/newsletter/12518/) 通讯
* 通过特别视频和博客文章庆祝 [FreeBSD 日](https://freebsdfoundation.org/national-freebsd-day/) 及项目 30 周年纪念，活动日期为 6 月 19 日及当周
* 其他博客文章：
  * [EuroBSDCon 2023 差旅补助申请开启](https://freebsdfoundation.org/blog/eurobsdcon-2023-travel-grant-application-now-open/) - 注意：申请截止日期为 2023 年 8 月 2 日
  * [AsiaBSDcon 行程报告](https://freebsdfoundation.org/blog/asiabsdcon-2023-trip-report/)
* FreeBSD 新闻报道：
  * [信息世界：FreeBSD 30 周年快乐！](https://freebsdfoundation.org/news-and-events/latest-news/infoworld-happy-30th-freebsd/)

我们通过发布专业制作的 FreeBSD 期刊，帮助全球了解 FreeBSD。正如之前提到的，FreeBSD 期刊现免费发行。了解更多信息及访问最新期刊，请访问 <https://www.freebsdfoundation.org/journal/>。

更多关于我们参加的活动及即将举办的活动信息，可访问 [https://www.FreeBSDfoundation.org/news-and-events/](https://www.freebsdfoundation.org/news-and-events/)。

#### 法律/FreeBSD 知识产权

基金会持有 FreeBSD 商标，并负责保护其权益。我们还为核心团队提供法律支持，以调查出现的问题。

访问 [https://www.freebsdfoundation.org](https://www.freebsdfoundation.org/) 了解更多关于我们如何支持 FreeBSD 及如何提供帮助的信息。

### FreeBSD 发布工程团队

链接：

[FreeBSD 13.2-RELEASE 时间表](https://www.freebsd.org/releases/13.2R/schedule/) URL: <https://www.freebsd.org/releases/13.2R/schedule/>

[FreeBSD 14.0-RELEASE 时间表](https://www.freebsd.org/releases/14.0R/schedule/) URL: <https://www.freebsd.org/releases/14.0R/schedule/>

[FreeBSD 发行版](https://download.freebsd.org/releases/ISO-IMAGES/) URL: <https://download.freebsd.org/releases/ISO-IMAGES/>

[FreeBSD 开发快照](https://download.freebsd.org/snapshots/ISO-IMAGES/) URL: <https://download.freebsd.org/snapshots/ISO-IMAGES/>

联系方式：FreeBSD 发布工程团队 <re@FreeBSD.org>

FreeBSD 发布工程团队负责制定和公布官方项目版本的发布计划、宣布代码冻结、维护相应分支等工作。

在 2023 年第二季度，团队继续推进 13.2-RELEASE 工作。13.2 周期严格遵循预定计划，最终在四月中旬完成了三次额外 RC 构建及 RELEASE 构建和公告。

在与项目管理内各团队协调后，发布工程团队重新审视了即将到来的 14.0-RELEASE 原始计划，主要因部分工作尚在进行中。更新后的计划经过讨论和微调，以应对部分问题，并最终在 FreeBSD 项目网站上发布。新计划将 14.0-RELEASE 目标定于 2023 年 10 月。

团队继续为 `main`、`stable/13` 和 `stable/12` 分支提供每周开发快照构建。注意，今后将不再针对 `stable/12` 提供快照构建。

赞助方：Tarsnap

赞助方：FreeBSD 基金会

### 集群管理团队

链接：

[集群管理团队成员](https://www.freebsd.org/administration/#t-clusteradm) URL: <https://www.freebsd.org/administration/#t-clusteradm>

联系方式：集群管理团队 <clusteradm@FreeBSD.org>

FreeBSD 集群管理团队成员负责管理项目依赖的机器，用于同步其分布式工作和通信。

本季度，团队完成了以下工作：

* 定期支持 FreeBSD.org 用户账户。
* 定期维护（含替换）所有物理主机和镜像的磁盘及部件。
* 启用 FreeBSD 项目管理镜像对 [https://www.FreeBSD.org](https://www.freebsd.org/) 和 [https://docs.FreeBSD.org](https://docs.freebsd.org/) 的镜像同步。
* 集群刷新，将所有主机和 jail 升级至 14-CURRENT、13-STABLE 和 12-STABLE 的最新版本。

#### 正在进行的工作

* 主要站点的大规模网络升级
  * 新的 [Juniper](https://www.juniper.net/) 交换机已到达主站点以替换旧设备。感谢 Juniper 的捐赠。
* 更换主站点及部分镜像的旧服务器
  * 除了损坏的 CI 服务器外，还有几台旧服务器存在损坏磁盘和故障电源问题。此任务与 FreeBSD 基金会及捐助方/赞助方合作完成。
* 安装新的 CI（持续集成）机器，这些机器由包构建器重新利用。
* 审查运行在 FreeBSD 集群中的服务的备份配置。

#### FreeBSD 官方镜像概览

当前镜像位置包括：澳大利亚、巴西、德国、日本（两个完整镜像站）、马来西亚、南非、中国台湾、英国（完整镜像站）、美国—加利福尼亚、新泽西（主站）、华盛顿。

硬件及网络连接由以下机构慷慨提供：

* [Bytemark Hosting](https://www.bytemark.co.uk/)
* [BroadBand Tower, Inc 云与 SDN 实验室](https://www.bbtower.co.jp/en/corporate/)
* [國立陽明交通大學資訊工程學系](https://www.cs.nycu.edu.tw/)
* [Equinix](https://deploy.equinix.com/)
* [澳大利亚互联网协会](https://internet.asn.au/)
* [互联网系统联盟](https://www.isc.org/)
* [INX-ZA](https://www.inx.net.za/)
* [KDDI Web Communications Inc](https://www.kddi-webcommunications.co.jp/english/)
* [马来西亚研究与教育网络](https://www.mohe.gov.my/en/services/research/myren)
* [Metapeer](https://www.metapeer.com/)
* [NIC.br](https://nic.br/)
* [Your.Org](https://your.org/)
* [365 Data Centers](https://365datacenters.com/)

法兰克福单服务器镜像是欧洲主要镜像站，在带宽和使用量上居首。

我们仍在欧洲寻找额外完整镜像站（五台服务器），以替换英国完整镜像站的旧服务器。

在全球互联网交换点（澳大利亚、巴西、南非）设立单镜像的模式效果良好；如果你了解或就职于相关机构并能赞助单镜像服务器，请联系我们。美国（西海岸）和欧洲（任意地点）为优选地点。

请参阅 [通用镜像布局](https://wiki.freebsd.org/Teams/clusteradm/generic-mirror-layout) 获取完整镜像站规格，以及 [tiny-mirror](https://wiki.freebsd.org/Teams/clusteradm/tiny-mirror) 获取单镜像站信息。

### 持续集成

链接：

[FreeBSD Jenkins 实例](https://ci.freebsd.org/) URL: [https://ci.FreeBSD.org](https://ci.freebsd.org/)

[FreeBSD CI 构建产物归档](https://artifact.ci.freebsd.org/) URL: [https://artifact.ci.FreeBSD.org](https://artifact.ci.freebsd.org/)

[FreeBSD Jenkins wiki](https://wiki.freebsd.org/Jenkins) URL: [https://wiki.FreeBSD.org/Jenkins](https://wiki.freebsd.org/Jenkins)

[托管 CI wiki](https://wiki.freebsd.org/HostedCI) URL: [https://wiki.FreeBSD.org/HostedCI](https://wiki.freebsd.org/HostedCI)

[第三方软件 CI](https://wiki.freebsd.org/3rdPartySoftwareCI) URL: [https://wiki.FreeBSD.org/3rdPartySoftwareCI](https://wiki.freebsd.org/3rdPartySoftwareCI)

[与 freebsd-testing@ 相关的工单](https://bugs.freebsd.org/bugzilla/buglist.cgi?bug_status=%3Cem%3Eopen%3C/em%3E\&email1=testing%40FreeBSD.org\&emailassigned_to1=1\&emailcc1=1\&emailtype1=equals) URL: [https://bugs.freebsd.org/bugzilla/buglist.cgi?bug\_status=*open*\&email1=testing%40FreeBSD.org\&emailassigned\_to1=1\&emailcc1=1\&emailtype1=equals](https://bugs.freebsd.org/bugzilla/buglist.cgi?bug_status=%3Cem%3Eopen%3C/em%3E\&email1=testing%40FreeBSD.org\&emailassigned_to1=1\&emailcc1=1\&emailtype1=equals)

[FreeBSD CI 仓库](https://github.com/freebsd/freebsd-ci) URL: <https://github.com/freebsd/freebsd-ci>

[dev-ci 邮件列表](https://lists.freebsd.org/subscription/dev-ci) URL: [https://lists.FreeBSD.org/subscription/dev-ci](https://lists.freebsd.org/subscription/dev-ci)

联系方式：Jenkins 管理员 <jenkins-admin@FreeBSD.org>

联系方式：許立文 <lwhsu@FreeBSD.org>

联系方式：[freebsd-testing 邮件列表](https://lists.freebsd.org/mailman/listinfo/freebsd-testing)

联系方式：EFNet IRC #freebsd-ci 频道

在 2023 年第二季度，我们与项目贡献者和开发者合作，满足其测试需求。同时，我们也与外部项目和公司合作，通过在 FreeBSD 上进行更多测试来提升他们的产品质量。

已完成的重要任务：

* 新增 [FreeBSD-stable-13-amd64-gcc12\_build](https://ci.freebsd.org/job/FreeBSD-stable-13-amd64-gcc12_build/) 作业。
* main 和 stable/13 分支的构建环境已更新到 13.2-RELEASE，stable/12 分支更新为 12.4-RELEASE。
* 使用 gcc12 的 \*-build 作业已将失败报告发送至 [dev-ci 邮件列表](https://lists.freebsd.org/subscription/dev-ci)。
* 在 [BSDCan 2023 开发者峰会](https://wiki.freebsd.org/DevSummit/202305) 上展示 Testing/CI 状态更新。

正在进行的任务：

* 设计并实现 pre-commit CI 构建和测试（支持 [workflow 工作组](https://gitlab.com/bsdimp/freebsd-workflow)）
* 设计并实现使用 CI 集群构建发行产物（如发布工程操作）
* 简化贡献者和开发者的 CI/测试环境配置
* 设置 CI 阶段环境并运行实验性作业
* 整理 freebsd-ci 仓库脚本，为合并到 src 仓库做准备
* 改进硬件测试实验室并增加测试硬件
* 合并 [D38815](https://reviews.freebsd.org/D38815)
* 合并 [D36257](https://reviews.freebsd.org/D36257)

开放或排队任务：

* 收集并整理 [CI 任务和想法](https://hackmd.io/@FreeBSD-CI/freebsd-ci-todo)
* 为运行测试的虚拟机提供公共网络访问
* 使用裸机硬件运行测试套件
* 为 -CURRENT 构建 drm ports 测试
* 计划运行 ztest 测试
* 帮助更多软件在其 CI 流程中支持 FreeBSD（Wiki 页面：[3rdPartySoftwareCI](https://wiki.freebsd.org/3rdPartySoftwareCI)、[HostedCI](https://wiki.freebsd.org/HostedCI)）
* 与托管 CI 提供商合作，提升 FreeBSD 支持

更多 WIP 信息请参见 [freebsd-testing@ 相关工单](https://bugs.freebsd.org/bugzilla/buglist.cgi?bug_status=%3Cem%3Eopen%3C/em%3E\&email1=testing%40FreeBSD.org\&emailassigned_to1=1\&emailcc1=1\&emailtype1=equals)，欢迎加入我们的工作！

赞助方：FreeBSD 基金会

### Ports

链接：

[关于 FreeBSD Ports](https://www.freebsd.org/ports/) URL: [https://www.FreeBSD.org/ports/](https://www.freebsd.org/ports/)

[Ports 贡献指南](https://docs.freebsd.org/en/articles/contributing/#ports-contributing) URL: <https://docs.freebsd.org/en/articles/contributing/#ports-contributing>

[FreeBSD Ports 监控](http://portsmon.freebsd.org/) URL: <http://portsmon.freebsd.org/>

[Ports 管理团队](https://www.freebsd.org/portmgr/) URL: <https://www.freebsd.org/portmgr/>

[Ports 压缩包](http://ftp.freebsd.org/pub/FreeBSD/ports/ports/) URL: <http://ftp.freebsd.org/pub/FreeBSD/ports/ports/>

联系方式：René Ladan <portmgr-secretary@FreeBSD.org>

联系方式：FreeBSD Ports 管理团队 <portmgr@FreeBSD.org>

Ports 管理团队负责把控 Ports 的整体方向、构建包以及人员事务。本季度工作情况如下：

当前 Ports 中共有 34,400 余款 port。现有 3,019 个开放的 ports PR，其中 746 个尚未分配。本季度 `main` 分支由 151 名提交者完成 10,439 次提交，`2023Q2` 分支由 55 名提交者完成 745 次提交。与上一季度相比，ports 数量略有增加，开放 PR 数量略有减少，ports 提交数量有所增加。

本季度，我们欢迎 Tom Judge（tj@）回归，同时告别 Steve Wills（swills@），Steve 也曾是 portmgr 成员。作为 portmgr 潜水者项目的一部分，我们欢迎 Ronald Klop（ronald@）、Renato Botelho（garga@）和 Matthias Andree（mandree@）加入。

Portmgr 已恢复在源码中引入子包的工作，但仍有多项内容需要完善。

在软件方面，pkg 更新至 1.19.2，Firefox 更新至 114.0.2，Chromium 更新至 114.0.5735.198，KDE Gear 更新至 23.04.2。本季度，antoine@ 进行了 23 次 exp-run 来测试包更新，调整 CPU\_MAXSIZE 至 1024，修复 devel/cmake-core 在 armv7 上的失败，并为 USES=meson 添加 `--auto-features=enabled`。最后，Ports Tree 已更新以支持 FreeBSD-CURRENT 上的 LLVM 16 和 OpenSSL 3。

### 项目

这些项目跨越多个类别，从内核和用户空间到 Ports 和第三方项目。

### Cirrus-CI

链接： [FreeBSD Cirrus-CI 仓库](https://cirrus-ci.com/github/freebsd/) URL: <https://cirrus-ci.com/github/freebsd/>

[FreeBSD src CI](https://cirrus-ci.com/github/freebsd/freebsd-src) URL: <https://cirrus-ci.com/github/freebsd/freebsd-src>

[FreeBSD doc CI](https://cirrus-ci.com/github/freebsd/freebsd-doc) URL: <https://cirrus-ci.com/github/freebsd/freebsd-doc>

联系方式：Brooks Davis <brooks@FreeBSD.org>

联系方式：Ed Maste <emaste@FreeBSD.org>

联系方式：許立文 <lwhsu@FreeBSD.org>

Cirrus-CI 是一项托管的持续集成服务，为开源项目提供 Linux、Windows、macOS 和 FreeBSD 上的 CI 服务。它补充了我们的 Jenkins CI 基础设施，支持包括 GitHub RP 和 FreeBSD fork 测试在内的其他用例。我们在 2019 年将 Cirrus-CI 配置添加到 FreeBSD src 源码，在 2020 年添加到 doc。许多托管在 GitHub 的 FreeBSD 项目（如 drm-kmod、kyua、pkg 和 poudriere）也使用 Cirrus-CI。

Cirrus-CI 配置持续进行维护更新（迁移至最新 FreeBSD 发行镜像）。在 src tree 中，我们增加了一些额外检查，确保在需要时更新生成的文件（`make sysent` 和 `make makeman`），并检查缺失目录。我们还增加了使用 Clang/LLVM 16 工具链包进行构建的作业，与基本系统中 Clang 版本保持一致。GCC 作业现在默认在 GitHub 镜像上运行，适用于所有提交。

赞助方：美国国防高级研究计划局

赞助方：FreeBSD 基金会

### FreeBSD 内核中的 BATMAN 支持

链接：

[Wiki 页面](https://wiki.freebsd.org/SummerOfCode2023Projects/CallingTheBatmanFreeNetworksOnFreeBSD) URL: <https://wiki.freebsd.org/SummerOfCode2023Projects/CallingTheBatmanFreeNetworksOnFreeBSD>

\[源代码（RP)(<https://github.com/obiwac/freebsd-gsoc/pull/1>) URL: <https://github.com/obiwac/freebsd-gsoc/pull/1>

联系方式：Aymeric Wibo <obiwac@FreeBSD.org>

BATMAN（Better Approach to Mobile Ad-hoc Networking，即连网络优化方案）是 Freifunk 项目开发并使用的路由协议，用于（主要是无线）多跳自组网络。Freifunk 是一项由德国发起的城市级开放 WiFi 网络计划，基于网络中立性原则。BATMAN 的目标是完全去中心化协议；网络中的任何节点都无需了解或关心整个网络的拓扑结构。

该协议在 Linux 上通过内核模块 `batman-adv` 提供支持，本项目旨在将其引入 FreeBSD，包括内核模块本身，以及创建 BATMAN 网络所需的用户空间网络库和工具。

目前，接口创建及交互（Linux 和 FreeBSD 用户空间均支持）已可工作，数据包传输功能部分可用，但尚不完整。batadv 接口的支持已加入 \[ifconfig(8)(<https://man.freebsd.org/cgi/man.cgi?query=ifconfig\\&sektion=8\\&format=html)。>

导师：[Mahdi Mokhtari](mailto:mmokhi@FreeBSD.org)

赞助方：2023 谷歌编程之夏

### 使 LinuxBoot 支持 FreeBSD

联系方式：Warner Losh <imp@bsdimp.com>

链接：

[LinuxBoot 项目](https://www.linuxboot.org/) URL: <https://www.linuxboot.org/>

[BSDCan 2023 kboot 演讲幻灯片](https://docs.google.com/presentation/d/1N5Jp6XzYWv9Z9RhhETC-e6tFkqRHvp-ldRDW_9h2JCw/edit?usp=sharing) URL: <https://docs.google.com/presentation/d/1N5Jp6XzYWv9Z9RhhETC-e6tFkqRHvp-ldRDW_9h2JCw/edit?usp=sharing>

LinuxBoot 是一项旨在创建清洁、稳健、可审计且可重复的启动固件的项目。最初作为谷歌的一个特定项目，它已经发展为支持所有使用 Linux 启动最终操作系统的启动环境。许多平台现在支持该环境，有时甚至是唯一可用的启动环境。此外，一些嵌入式设备的 LinuxBoot 环境是硬编码的，难以更改，因此能够从 Linux 启动 FreeBSD 是非常有价值的。

旧的 Sony PlayStation 3 平台使用名为 `kboot` 的引导加载器从其 Linux 内核启动 FreeBSD（所有这些都早于 LinuxBoot 项目）。该代码已被大幅增补，并通过可替换的每架构插件变得通用。正常的 FreeBSD **/boot/loader** 被构建为 Linux 二进制文件，用于读取 FreeBSD 内核、模块和可调参数，将它们放入内存，就像运行在预启动环境中一样，然后使用 \[kexec\_load(2)(<https://man.freebsd.org/cgi/man.cgi?query=kexec\\_load\\&sektion=2\\&format=html>) 将映像加载到 Linux 内核并执行特殊重启。对于支持 UEFI 的系统，它会将 UEFI 内存表和指向 UEFI 运行时服务的指针传递给新内核。

它支持从主机文件系统、主机块设备上的任意 \[loader(8)(<https://man.freebsd.org/cgi/man.cgi?query=loader\\&sektion=8\\&format=html>) 支持的文件系统（包括跨多个设备的 pool）、内存盘映像以及通过网络下载的文件加载数据。可任意混合使用。例如，配置覆盖可以从主机文件系统加载，而内核从专用存储（如 NVME）或 RAM 磁盘映像加载。它支持通过 stdin/stdout 运行的主机控制台，并支持显式指定路径，例如 `/dev/nvme0ns1:/boot/loader/gerbil.conf`。还支持 ZFS 启动环境，包括一次性启动功能。

现在 FreeBSD/aarch64 可以在 LinuxBoot 环境中从 Linux 启动，功能与 \[loader.efi(8)(<https://man.freebsd.org/cgi/man.cgi?query=loader.efi\\&sektion=8\\&format=html>) 相当。为 GICv3 提供了内存布局工作补丁 ([D40902](https://reviews.freebsd.org/D40902))。

FreeBSD/amd64 支持正在进行中，约完成 80%。由于 amd64 是较早的平台，它对引导加载器提供内核所需数据的要求更多。在 BIOS 环境中，内核无法从长模式获取这些数据，因此必须由引导加载器提供。尽管 UEFI 和 ACPI 提供了获取方式，但许多数据仍需引导加载器提供。内核初始化时可能会 panic，因为尚未发现和实现所有前提条件。

PowerPC 可以构建，但其状态未知。尝试获取合适的 PlayStation 3 对作者来说过于耗时。

#### 需要帮助

1. 编写 \[loader.kboot(8)(<https://man.freebsd.org/cgi/man.cgi?query=loader.kboot\\&sektion=8\\&format=html>) 文档，包括使用方法、镜像创建方式及当前可行的用例。
2. 完成 amd64 支持。
3. 统一 kboot 与 efi 的 elf 架构特定元数据代码，解决编译时差异和构建基础设施问题。
4. 增加 riscv64 支持。
5. PowerPC 测试（自重构开始后未测试）。
6. 编写脚本，将 EDK-II 镜像（例如从 QEMU）重新打包为带 FreeBSD Linux 内核的 linux-boot 镜像，用于 CI 测试。
7. 在 coreboot LinuxBoot 上测试。

赞助方：奈飞

### 改进内核模块 LLDB

链接：

[谷歌编程之夏 Wiki 项目](https://wiki.freebsd.org/SummerOfCode2023Projects/LLDBKernelModuleImprovement) URL: <https://wiki.freebsd.org/SummerOfCode2023Projects/LLDBKernelModuleImprovement>

[项目代码库](https://github.com/aokblast/freebsd-src/tree/lldb_dynamicloader_freebsd_kernel) URL: <https://github.com/aokblast/freebsd-src/tree/lldb_dynamicloader_freebsd_kernel>

联系方式：Sheng-Yi Hong <aokblast@FreeBSD.org>

FreeBSD 项目使用 LLVM 作为工具链，LLVM 自带 LLDB 调试器。用户空间调试功能已完善，但内核空间仍需改进，其中之一是 LLDB 内核模块调试功能——解析内核核心转储提供的已加载模块数据并加载模块对象。目标是为 LLDB 实现此插件，目前作为谷歌编程之夏项目进行中。

当前仍在进行调试和开发中。

赞助方：2023 谷歌编程之夏

## 用户空间

对基本系统及其程序的变更。

### 基本系统中的 OpenSSL 3

链接：

[OpenSSL 下载](https://www.openssl.org/source/) URL: <https://www.openssl.org/source/>

[OpenSSL 3.0 发布](https://www.openssl.org/blog/blog/2021/09/07/OpenSSL3.Final/) URL: <https://www.openssl.org/blog/blog/2021/09/07/OpenSSL3.Final/>

[openssl-fipsinstall](https://www.openssl.org/docs/man3.0/man1/openssl-fipsinstall.html) URL: <https://www.openssl.org/docs/man3.0/man1/openssl-fipsinstall.html>

联系方式：Pierre Pronchery <pierre@freebsdfoundation.org>

Pierre 负责将 OpenSSL 3 导入基本系统。OpenSSL 提供了通用加密和安全通信库，是 SSL/TLS 协议的开源实现。其广泛应用于邮件、即时通讯、VoIP 和全球 Web（HTTPS）服务。Apache 和 nginx 等 Web 服务器使用 OpenSSL，其合计市场份额超过 50%，凸显 OpenSSL 在互联网基础设施中的重要性。

OpenSSL 1.1 自 2016 年 8 月发布以来，已被大多数 Linux 和 BSD 系统采用，并通过 LTS 支持。然而官方支持将在今年 9 月中旬结束，因此紧急需要采用其继任者 3.0 分支。

OpenSSL 3 完全切换至 Apache License 2.0，增加了 provider 模块概念，将过时算法隔离到 *legacy* 模块，可通过 *fips* 模块使用标准 FIPS 功能并获得认证。更新的库需要应用重新编译，部分 API 已弃用，但可显式调用旧 API 以支持过渡。FreeBSD 已配置部分库和应用请求 OpenSSL 1.1 API，以便平滑迁移至 OpenSSL 3 原生 API。

虽然更新对小块输入的性能有一定影响，但 1 KB 及以上块影响不大。FIPS provider 仍需手动步骤，FreeBSD 正在寻找默认可用的解决方案。

赞助方：FreeBSD 基金会

### Linux 兼容层更新

链接：

[Linux 兼容层状态 Wiki](https://wiki.freebsd.org/Linuxulator) URL: <https://wiki.freebsd.org/Linuxulator>

[Linux 应用状态 Wiki](https://wiki.freebsd.org/LinuxApps) URL: <https://wiki.freebsd.org/LinuxApps>

联系方式：Dmitry Chagin <dchagin@FreeBSD.org>

该项目旨在提升 FreeBSD 执行未修改 \[linux(4)(<https://man.freebsd.org/cgi/man.cgi?query=linux\\&sektion=4\\&format=html>) 二进制程序的能力。

自 [cbbac5609115](https://cgit.freebsd.org/src/commit/?id=cbbac5609115) 起，实现了在 amd64 上跨信号传递保留 FPU xsave 状态，从而支持带抢占调度的现代 golang 程序。

新增功能允许在 \[namei(9)(<https://man.freebsd.org/cgi/man.cgi?query=namei&>

### Service Jail — rc.d 服务的自动 jail

链接：

[D40369: 扩展 /usr/bin/service 以支持设置 ENV 变量](https://reviews.freebsd.org/D40369) URL: <https://reviews.freebsd.org/D40369>

[D40370: rc.d 服务自动 jail 的基础设施](https://reviews.freebsd.org/D40370) URL: <https://reviews.freebsd.org/D40370>

[D40371: 自动 service jail：为服务在自动 jail 中的完整功能做一些配置](https://reviews.freebsd.org/D40371) URL: <https://reviews.freebsd.org/D40371>

联系方式：Alexander Leidinger <netchild@FreeBSD.org>

Service jail 扩展了 \[rc(8)(<https://man.freebsd.org/cgi/man.cgi?query=rc\\&sektion=8\\&format=html>) 系统，使 rc.d 服务可以自动被 jail。服务 jail 会继承父主机或父 jail 的文件系统，但默认使用 jail 的其他所有限制（进程可见性、受限网络访问、文件系统挂载权限、sysvipc 等）。额外配置可以允许继承父节点的 IP、sysvipc、内存页锁定，以及使用 bhyve 虚拟机监控器 (\[vmm(4)(<https://man.freebsd.org/cgi/man.cgi?query=vmm\\&sektion=4\\&format=html))。>

例如，如果想将 `local_unbound` 放入 service jail 并可通过 IPv4 和 IPv6 访问，只需在 \[rc.conf(5)(<https://man.freebsd.org/cgi/man.cgi?query=rc.conf\\&sektion=5\\&format=html>) 中添加：

```ini
local_unbound_svcj_options=net_basic
local_unbound_svcj=YES
```

虽然这种方式不具备使用独立文件系统和 IP/VNET 的手动 jail 的全部安全优势，但配置更加简单，同时提供了一些 jail 的安全好处，例如隐藏同一用户的其他进程。

上述链接中的补丁是对 [2019 年我所展示内容](https://lists.freebsd.org/pipermail/freebsd-jail/2019-February/003710.html) 的重写。主要区别在于引入了 ENV 变量以便更合理地追踪，这也需要修改 \[service(8)(<https://man.freebsd.org/cgi/man.cgi?query=service\\&sektion=8\\&format=html)。>

作者计划在 `stable/14` 分支之前提交 [D40369](https://reviews.freebsd.org/D40369)。[D40370](https://reviews.freebsd.org/D40370) 和 [D40371](https://reviews.freebsd.org/D40371) 将在 14.0 发布后提交，并希望获得更多审查意见。

### 使用 [ktrace(1)](https://man.freebsd.org/cgi/man.cgi?query=ktrace\&sektion=1\&format=html) 的安全沙箱

链接：

[ktrace 分支](https://github.com/jakesfreeland/freebsd-src/tree/ff/ktrace) URL: <https://github.com/jakesfreeland/freebsd-src/tree/ff/ktrace>

联系方式：Jake Freeland <jfree@FreeBSD.org>

#### 使用 [ktrace(1)](https://man.freebsd.org/cgi/man.cgi?query=ktrace\&sektion=1\&format=html) 进行 Capsicum 化

本报告介绍了对 [ktrace(1)](https://man.freebsd.org/cgi/man.cgi?query=ktrace\&sektion=1\&format=html) 的扩展，该扩展可记录尚未进行 Capsicum 化的程序的能力（capability）违规行为。

Capsicum 化的第一步逻辑是确定程序在哪些地方触发了能力违规。可以通过查看源码并移除与 Capsicum 不兼容的代码来解决，但这种方法既繁琐，又要求开发者熟悉所有能力模式下不允许的操作。

另一种方法是使用 [ktrace(1)](https://man.freebsd.org/cgi/man.cgi?query=ktrace\&sektion=1\&format=html) 自动发现违规行为。[ktrace(1)](https://man.freebsd.org/cgi/man.cgi?query=ktrace\&sektion=1\&format=html) 工具可以记录指定进程的内核活动。Capsicum 违规发生在内核内部，因此 [ktrace(1)](https://man.freebsd.org/cgi/man.cgi?query=ktrace\&sektion=1\&format=html) 可通过 `-t p` 选项记录并返回程序违规的额外信息。

传统上，程序必须进入能力模式才能报告违规。当调用受限系统调用时，它会失败并返回 `ECAPMODE: Not permitted in capability mode`。如果开发者在做错误检查，程序很可能因此终止。这使得违规追踪不太方便，因为 [ktrace(1)](https://man.freebsd.org/cgi/man.cgi?query=ktrace\&sektion=1\&format=html) 只能报告第一个能力违规，之后程序就会结束。

幸运的是，新的 [ktrace(1)](https://man.freebsd.org/cgi/man.cgi?query=ktrace\&sektion=1\&format=html) 扩展可以在程序 **未** 进入能力模式时记录违规。这意味着开发者无需修改程序即可进行能力违规追踪，程序仍能正常获取资源并执行。

#### 违规追踪示例

下面的 `cap_violate` 程序尝试触发 [ktrace(1)](https://man.freebsd.org/cgi/man.cgi?query=ktrace\&sektion=1\&format=html) 可以捕获的每一种违规行为：

```sh
# ktrace -t p ./cap_violate
# kdump
1603 ktrace   CAP   system call not allowed: execve
1603 foo      CAP   system call not allowed: open
1603 foo      CAP   system call not allowed: open
1603 foo      CAP   system call not allowed: open
1603 foo      CAP   system call not allowed: open
1603 foo      CAP   system call not allowed: readlink
1603 foo      CAP   system call not allowed: open
1603 foo      CAP   cpuset_setaffinity: restricted cpuset operation
1603 foo      CAP   openat: restricted VFS lookup: AT_FDCWD
1603 foo      CAP   openat: restricted VFS lookup: /
1603 foo      CAP   system call not allowed: bind
1603 foo      CAP   sendto: restricted address lookup: struct sockaddr { AF_INET, 0.0.0.0:5000 }
1603 foo      CAP   socket: protocol not allowed: IPPROTO_ICMP
1603 foo      CAP   kill: signal delivery not allowed: SIGCONT
1603 foo      CAP   system call not allowed: chdir
1603 foo      CAP   system call not allowed: fcntl, cmd: F_KINFO
1603 foo      CAP   operation requires CAP_WRITE, descriptor holds CAP_READ
1603 foo      CAP   attempt to increase capabilities from CAP_READ to CAP_READ,CAP_WRITE
```

前七条“system call not allowed”记录并非直接源自程序代码 `cap_violate`，而是由 FreeBSD 的 C 运行时库触发的。当你使用 `-t np` 选项同时追踪 namei 转换和能力违规时，这一点就显而易见：

```sh
# ktrace -t np ./cap_violate
# kdump
1632 ktrace   CAP   system call not allowed: execve
1632 ktrace   NAMI  "./cap_violate"
1632 ktrace   NAMI  "/libexec/ld-elf.so.1"
1632 foo      CAP   system call not allowed: open
1632 foo      NAMI  "/etc/libmap.conf"
1632 foo      CAP   system call not allowed: open
1632 foo      NAMI  "/usr/local/etc/libmap.d"
1632 foo      CAP   system call not allowed: open
1632 foo      NAMI  "/var/run/ld-elf.so.hints"
1632 foo      CAP   system call not allowed: open
1632 foo      NAMI  "/lib/libc.so.7"
1632 foo      CAP   system call not allowed: readlink
1632 foo      NAMI  "/etc/malloc.conf"
1632 foo      CAP   system call not allowed: open
1632 foo      NAMI  "/dev/pvclock"
1632 foo      CAP   cpuset_setaffinity: restricted cpuset operation
1632 foo      NAMI  "ktrace.out"
1632 foo      CAP   openat: restricted VFS lookup: AT_FDCWD
1632 foo      NAMI  "/"
1632 foo      CAP   openat: restricted VFS lookup: /
1632 foo      CAP   system call not allowed: bind
1632 foo      CAP   sendto: restricted address lookup: struct sockaddr { AF_INET, 0.0.0.0:5000 }
1632 foo      CAP   socket: protocol not allowed: IPPROTO_ICMP
1632 foo      CAP   kill: signal delivery not allowed: SIGCONT
1632 foo      CAP   system call not allowed: chdir
1632 foo      NAMI  "."
1632 foo      CAP   system call not allowed: fcntl, cmd: F_KINFO
1632 foo      CAP   operation requires CAP_WRITE, descriptor holds CAP_READ
1632 foo      CAP   attempt to increase capabilities from CAP_READ to CAP_READ,CAP_WRITE
```

实际上，能力模式总是在 C 运行时库初始化之后才会进入，因此程序永远不会触发那前七条违规记录。我们之所以看到它们，是因为 [ktrace(1)](https://man.freebsd.org/cgi/man.cgi?query=ktrace\&sektion=1\&format=html) 在程序启动前就开始记录违规信息。

这个演示清楚地表明，违规追踪并不总是完美的。它是检测受限系统调用的有用指南，但不一定完全反映程序在能力模式下的实际行为。在能力模式中，违规等同于错误；它们提示应停止执行。而违规追踪忽略了这一建议，仍然继续执行，因此可能会报告无效的违规。

下方示例追踪了工具 \[unzip(1)(<https://man.freebsd.org/cgi/man.cgi?query=unzip\\&sektion=1\\&format=html)（未进行> Capsicum 化）的违规情况：

```sh
# ktrace -t np unzip foo.zip
Archive:  foo.zip
creating: bar/
extracting: bar/bar.txt
creating: baz/
extracting: baz/baz.txt
# kdump
1926 ktrace   CAP   system call not allowed: execve
1926 ktrace   NAMI  "/usr/bin/unzip"
1926 ktrace   NAMI  "/libexec/ld-elf.so.1"
1926 unzip    CAP   system call not allowed: open
1926 unzip    NAMI  "/etc/libmap.conf"
1926 unzip    CAP   system call not allowed: open
1926 unzip    NAMI  "/usr/local/etc/libmap.d"
1926 unzip    CAP   system call not allowed: open
1926 unzip    NAMI  "/var/run/ld-elf.so.hints"
1926 unzip    CAP   system call not allowed: open
1926 unzip    NAMI  "/lib/libarchive.so.7"
1926 unzip    CAP   system call not allowed: open
1926 unzip    NAMI  "/usr/lib/libarchive.so.7"
1926 unzip    CAP   system call not allowed: open
1926 unzip    NAMI  "/lib/libc.so.7"
1926 unzip    CAP   system call not allowed: open
1926 unzip    NAMI  "/lib/libz.so.6"
1926 unzip    CAP   system call not allowed: open
1926 unzip    NAMI  "/lib/libbz2.so.4"
1926 unzip    CAP   system call not allowed: open
1926 unzip    NAMI  "/usr/lib/libbz2.so.4"
1926 unzip    CAP   system call not allowed: open
1926 unzip    NAMI  "/lib/liblzma.so.5"
1926 unzip    CAP   system call not allowed: open
1926 unzip    NAMI  "/usr/lib/liblzma.so.5"
1926 unzip    CAP   system call not allowed: open
1926 unzip    NAMI  "/lib/libbsdxml.so.4"
1926 unzip    CAP   system call not allowed: open
1926 unzip    NAMI  "/lib/libprivatezstd.so.5"
1926 unzip    CAP   system call not allowed: open
1926 unzip    NAMI  "/usr/lib/libprivatezstd.so.5"
1926 unzip    CAP   system call not allowed: open
1926 unzip    NAMI  "/lib/libcrypto.so.111"
1926 unzip    CAP   system call not allowed: open
1926 unzip    NAMI  "/lib/libmd.so.6"
1926 unzip    CAP   system call not allowed: open
1926 unzip    NAMI  "/lib/libthr.so.3"
1926 unzip    CAP   system call not allowed: readlink
1926 unzip    NAMI  "/etc/malloc.conf"
1926 unzip    CAP   system call not allowed: open
1926 unzip    NAMI  "/dev/pvclock"
1926 unzip    NAMI  "foo.zip"
1926 unzip    CAP   openat: restricted VFS lookup: AT_FDCWD
1926 unzip    CAP   system call not allowed: open
1926 unzip    NAMI  "/etc/localtime"
1926 unzip    NAMI  "bar"
1926 unzip    CAP   fstatat: restricted VFS lookup: AT_FDCWD
1926 unzip    CAP   system call not allowed: mkdir
1926 unzip    NAMI  "bar"
1926 unzip    NAMI  "bar"
1926 unzip    CAP   fstatat: restricted VFS lookup: AT_FDCWD
1926 unzip    NAMI  "bar/bar.txt"
1926 unzip    CAP   fstatat: restricted VFS lookup: AT_FDCWD
1926 unzip    NAMI  "bar/bar.txt"
1926 unzip    CAP   openat: restricted VFS lookup: AT_FDCWD
1926 unzip    NAMI  "baz"
1926 unzip    CAP   fstatat: restricted VFS lookup: AT_FDCWD
1926 unzip    CAP   system call not allowed: mkdir
1926 unzip    NAMI  "baz"
1926 unzip    NAMI  "baz"
1926 unzip    CAP   fstatat: restricted VFS lookup: AT_FDCWD
1926 unzip    NAMI  "baz/baz.txt"
1926 unzip    CAP   fstatat: restricted VFS lookup: AT_FDCWD
1926 unzip    NAMI  "baz/baz.txt"
1926 unzip    CAP   openat: restricted VFS lookup: AT_FDCWD
```

对于 \[unzip(1)(<https://man.freebsd.org/cgi/man.cgi?query=unzip\\&sektion=1\\&format=html>) 的违规追踪输出，更接近开发者第一次对自己程序进行追踪时所看到的情况。大多数程序都会链接到库。在此例中，\[unzip(1)(<https://man.freebsd.org/cgi/man.cgi?query=unzip\\&sektion=1\\&format=html>) 链接了 \[libarchive(3)(<https://man.freebsd.org/cgi/man.cgi?query=libarchive\\&sektion=3\\&format=html)，这一点在追踪结果中得到了体现：>

```sh
1926 unzip    CAP   system call not allowed: open
1926 unzip    NAMI  "/lib/libarchive.so.7"
1926 unzip    CAP   system call not allowed: open
1926 unzip    NAMI  "/usr/lib/libarchive.so.7"
```

\[unzip(1)(<https://man.freebsd.org/cgi/man.cgi?query=unzip\\&sektion=1\\&format=html>) 的违规记录出现在 C 运行时违规之后：

```sh
1926 unzip    NAMI  "foo.zip"
1926 unzip    CAP   openat: restricted VFS lookup: AT_FDCWD
1926 unzip    CAP   system call not allowed: open
1926 unzip    NAMI  "/etc/localtime"
1926 unzip    NAMI  "bar"
1926 unzip    CAP   fstatat: restricted VFS lookup: AT_FDCWD
1926 unzip    CAP   system call not allowed: mkdir
1926 unzip    NAMI  "bar"
1926 unzip    NAMI  "bar"
1926 unzip    CAP   fstatat: restricted VFS lookup: AT_FDCWD
1926 unzip    NAMI  "bar/bar.txt"
1926 unzip    CAP   fstatat: restricted VFS lookup: AT_FDCWD
1926 unzip    NAMI  "bar/bar.txt"
1926 unzip    CAP   openat: restricted VFS lookup: AT_FDCWD
1926 unzip    NAMI  "baz"
1926 unzip    CAP   fstatat: restricted VFS lookup: AT_FDCWD
1926 unzip    CAP   system call not allowed: mkdir
1926 unzip    NAMI  "baz"
1926 unzip    NAMI  "baz"
1926 unzip    CAP   fstatat: restricted VFS lookup: AT_FDCWD
1926 unzip    NAMI  "baz/baz.txt"
1926 unzip    CAP   fstatat: restricted VFS lookup: AT_FDCWD
1926 unzip    NAMI  "baz/baz.txt"
1926 unzip    CAP   openat: restricted VFS lookup: AT_FDCWD
```

在这个例子中，\[unzip(1)(<https://man.freebsd.org/cgi/man.cgi?query=unzip\\&sektion=1\\&format=html>) 正在重建压缩包中的文件结构。违规产生的原因是 `AT_FDCWD` 值在 capability 模式下不能使用。这些违规的大部分可以通过在进入 capability 模式前先打开 `AT_FDCWD`（当前目录），然后将该描述符传递给 \[openat(2)(<https://man.freebsd.org/cgi/man.cgi?query=openat\\&sektion=2\\&format=html)、\\[fstatat(2)(https://man.freebsd.org/cgi/man.cgi?query=fstatat\\&sektion=2\\&format=html>) 和 \[mkdirat(2)(<https://man.freebsd.org/cgi/man.cgi?query=mkdirat\\&sektion=2\\&format=html>) 作为相对引用来解决。

违规追踪虽然不能自动 Capsicumize 程序，但它是开发者工具箱中的另一种工具。使用 [ktrace(1)](https://man.freebsd.org/cgi/man.cgi?query=ktrace\&sektion=1\&format=html) 对程序进行追踪只需几秒钟，结果几乎总是 Capsicum 沙箱化程序的良好起点。

赞助方：FreeBSD 基金会

### NVMe-oF（NoF，基于 Fabrics 的 NVMe）

链接：

[nvmf2 分支](https://github.com/bsdjhb/freebsd/tree/nvmf2) URL: <https://github.com/bsdjhb/freebsd/tree/nvmf2>

联系人：John Baldwin <jhb@FreeBSD.org>

NVMe-oF 能通过网络 fabric 使用 NVMe 协议与存储设备通信。这类似于使用 iSCSI 通过网络导出存储设备。

目前 NVMe-oF 定义了 Fibre Channel、RDMA 和 TCP 的网络传输方式。

nvmf2 分支的工作包括用户态库 (**lib/libnvmf**)，该库包含传输抽象及 TCP 传输实现。还修改了 \[nvmecontrol(8)(<https://man.freebsd.org/cgi/man.cgi?query=nvmecontrol\\&sektion=8\\&format=html)，添加> 'discover'、'connect' 和 'disconnect' 命令来管理远程控制器连接。

分支还包含内核态的 Fabric 实现。**nvmf\_transport.ko** 提供传输抽象，位于 nvmf 主机（SCSI 术语中的 initiator）与各个传输之间。**nvmf\_tcp.ko** 实现 TCP 传输层。**nvmf.ko** 实现 NVMe over Fabrics host（initiator），连接远程控制器并将远程命名空间导出为磁盘设备。与 NVMe PCI-e 驱动 \[nvme(4)(<https://man.freebsd.org/cgi/man.cgi?query=nvme\\&sektion=4\\&format=html>) 类似，命名空间通过 **/dev/nvmeXnsY** 设备导出，仅支持简单操作，同时通过 CAM 导出为 ndaX 磁盘设备。不同于 \[nvme(4)(<https://man.freebsd.org/cgi/man.cgi?query=nvme\\&sektion=4\\&format=html)，\\[nvmf(4)(https://man.freebsd.org/cgi/man.cgi?query=nvmf\\&sektion=4\\&format=html>) 不支持 \[nvd(4)(<https://man.freebsd.org/cgi/man.cgi?query=nvd\\&sektion=4\\&format=html>) 驱动。\[nvmecontrol(8)(<https://man.freebsd.org/cgi/man.cgi?query=nvmecontrol\\&sektion=8\\&format=html>) 可用于远程命名空间和控制器，例如获取日志页、显示 identify 信息等。

需要注意的是，\[nvmf(4)(<https://man.freebsd.org/cgi/man.cgi?query=nvmf\\&sektion=4\\&format=html>) 当前实现较简单，一些错误处理仍为待办事项 O。如果发生错误，队列（及其网络连接）会被丢弃，但设备仍保留，I/O 请求暂停。可使用 `nvmecontrol reconnect` 重新连接网络连接以恢复操作。与 iSCSI 使用持久守护进程 (\[iscsid(8)(<https://man.freebsd.org/cgi/man.cgi?query=iscsid\\&sektion=8\\&format=html>)) 不同，重连需手动进行。

当前代码非常新，可能不够健壮，尚不适合生产环境。经验丰富且愿意承担内核 panic 导致数据丢失风险的用户，可自行测试 NVMe-oF。

下一主要任务是实现 Fabrics 控制器（SCSI 术语中的 target），可能先在用户态实现简单版本，再实现内核 offload 数据处理的“真实”版本，并与 \[ctld(8)(<https://man.freebsd.org/cgi/man.cgi?query=ctld\\&sektion=8\\&format=html>) 集成，以便通过单个配置文件和守护进程导出 iSCSI 或 NVMe 磁盘设备。这可能需要对 ctld 进行重构，以降低 iSCSI 特定性。控制器端开发还可验证传输独立层中当前未充分测试的 API 设计。预计在此步骤完成前，不会将 NVMe over Fabrics 的更改合并到主树。

赞助方：Chelsio Communications

### 内核

更新内核子系统/功能、驱动支持、文件系统等。

### 改进启动性能

链接：

[Wiki 页面](https://wiki.freebsd.org/BootTime) URL: <https://wiki.freebsd.org/BootTime>

[BSDCan 演讲幻灯片](https://www.bsdcan.org/events/bsdcan_2023/sessions/session/116/slides/44/BSDCan23-Firecracker.pdf) URL: \[<https://www.bsdcan.org/events/bsdcan\\_2023/sessions/session/116/slides/44/BSDCan23->

Firecracker.pdf]\(<https://www.bsdcan.org/events/bsdcan\\_2023/sessions/session/116/slides/44/BSDCan23-Firecracker.pdf>)

联系人：Colin Percival <cperciva@FreeBSD.org>

Colin 正在协调加速 FreeBSD 启动过程的工作。

近期的工作从 EC2 转向 Firecracker 虚拟机管理器，其提供非常简化的环境；将启动流程精简到最低限度，更容易识别剩余耗时并进一步优化。

通过对 FreeBSD 和 Firecracker 的一些实验性补丁，现在可以在 20 毫秒内启动 FreeBSD 内核。

部分近期改进在 Colin 的 *Porting FreeBSD to Firecracker* BSDCan 演讲中有讨论。

赞助方：<https://www.patreon.com/cperciva>

### 启动加载程序的 CI 测试平台

链接：

[FreeBSD 谷歌编程之夏 Wiki 页面](https://wiki.freebsd.org/SummerOfCode2023Projects/CITestHarnessForBootloader) URL: <https://wiki.freebsd.org/SummerOfCode2023Projects/CITestHarnessForBootloader>

[GitHub 项目链接](https://github.com/mightyjoe781/freebsd-src/tree/bootloader-smk/tools/boot/bootloader_test) URL: <https://github.com/mightyjoe781/freebsd-src/tree/bootloader-smk/tools/boot/bootloader_test>

联系人：Sudhanshu Mohan Kashyap <smk@FreeBSD.org>

FreeBSD 支持多种架构、文件系统和磁盘分区方案。该项目旨在编写 Lua 脚本，用于测试所有一、二线支持架构组合的启动加载程序，并报告任何损坏的组合和预期功能。如果时间允许，脚本还可进一步集成到现有构建基础设施（Jenkins 或 GitHub Actions），生成测试结果的综合报告。

当前，开发者的修改可能会影响操作系统在特定环境下的启动能力。这些脚本可以保证修改不会导致测试环境出现回退问题。脚本设计高效，成本远低于现有的完整的 `make universe` 测试，因此开发者可以经常使用，并能无成本地集成到 CI 流程中。

目前脚本开发进展顺利，但仍需收集各类 QEMU 配置以测试不同环境。如有可用的 FreeBSD 版本 QEMU 配置，请发送至 <smk@FreeBSD.org>。

赞助方：2023 谷歌编程之夏项目

### FreeBSD 内核物理内存压缩

链接：

[谷歌编程之夏项目 Wiki 页面](https://wiki.freebsd.org/SummerOfCode2023Projects/PhysicalMemoryAntiFragmentationMechanisms) URL: <https://wiki.freebsd.org/SummerOfCode2023Projects/PhysicalMemoryAntiFragmentationMechanisms>

[差异修订 D40575](https://reviews.freebsd.org/D40575) URL: <https://reviews.freebsd.org/D40575>

[差异修订 D40772](https://reviews.freebsd.org/D40772) URL: <https://reviews.freebsd.org/D40772>

联系人：Bojan Novković <bnovkov@FreeBSD.org>(%[bnovkov@FreeBSD.org](mailto:5Bbnovkov@FreeBSD.org)(mailto:<bnovkov@FreeBSD.org>))

现代 CPU 架构通过支持大页提升性能，但由于物理内存碎片严重，大页分配可能失败。本项目实现物理内存压缩，以在运行系统中主动减少碎片化，作为谷歌编程之夏项目的一部分，目标是在虚拟内存子系统中增加多种防碎片机制。

差异修订 [D40575](https://reviews.freebsd.org/D40575) 实现了量化物理内存碎片程度的指标。[D40772](https://reviews.freebsd.org/D40772) 实现了物理内存压缩，并添加了守护进程，用于监控系统并在需要时执行压缩。

未来计划包括设计基准测试套件、运行测试，并根据评审和测试结果调整代码。该项目仍在进行中，欢迎测试、评审和反馈。

赞助方：2023 谷歌编程之夏项目

### 提高 MAXCPU

链接：

[Review D36838: amd64: 将 MAXCPU 从 256 提升至 1024](https://reviews.freebsd.org/D36838) URL: <https://reviews.freebsd.org/D36838>

联系人：Ed Maste <emaste@FreeBSD.org>(%[emaste@FreeBSD.org](mailto:5Bemaste@FreeBSD.org)(mailto:<emaste@FreeBSD.org>))

当前 amd64 和 arm64 FreeBSD 内核默认支持最多 256 个 CPU。通过设置 `MAXCPU` 内核选项，可为自定义内核增加更多核心支持。但未来 FreeBSD 14 生命周期中，更高核数的系统将越来越常见，因此计划将默认 MAXCPU 提升至 1024，以支持大核数系统“开箱即用”。

已完成的修改包括修复 `cpuset_t` 的用户态最大值为 1024，并避免使用静态 MAXCPU 大小数组，改为按需分配内存。

后续工作包括继续减少静态 MAXCPU 分配，并解决超高核数系统的可扩展性瓶颈，目标是在 FreeBSD 14 发布时提供稳定 ABI 和 KBI，支持大 CPU 数量。

赞助方：FreeBSD 基金会

### 移植 SquashFS 到 FreeBSD 内核

链接：

[Wiki 页面](https://wiki.freebsd.org/SummerOfCode2023Projects/PortSquashFuseToTheFreeBSDKernel) URL: <https://wiki.freebsd.org/SummerOfCode2023Projects/PortSquashFuseToTheFreeBSDKernel>

[源码](https://github.com/Mashijams/freebsd-src/tree/gsoc/squashfs) URL: <https://github.com/Mashijams/freebsd-src/tree/gsoc/squashfs>

联系人：Raghav Sharma <raghav@FreeBSD.org>

SquashFS 是一种只读文件系统，可高效压缩整个文件系统或单个目录，自 2009 年起 Linux 内核内置支持，在嵌入式 Linux 中广泛使用。该项目目标是为 FreeBSD 内核增加 SquashFS 支持，使其能够从内存中的 SquashFS 文件系统启动。

当前驱动兼容 FreeBSD 13.2，能正确解析 SquashFS 磁盘文件，并支持 \[mount(8)(<https://man.freebsd.org/cgi/man.cgi?query=mount\\&sektion=8\\&format=html)。该驱动支持多种压缩方式（zstd、lzo2、zlib> 等），与 Linux SquashFS 兼容。

未来计划包括添加目录、文件、扩展属性和符号链接的读取支持。项目仍在进行中，由 [Chuck Tuffli](mailto:chuck@FreeBSD.org) 指导，预计在谷歌编程之夏项目结束前完成。

赞助方：2023 谷歌编程之夏项目

### 改进 Pf

链接：

[D40911](https://reviews.freebsd.org/D40911) URL: <https://reviews.freebsd.org/D40911>

[D40861](https://reviews.freebsd.org/D40861) URL: <https://reviews.freebsd.org/D40861>

[D40862](https://reviews.freebsd.org/D40862) URL: <https://reviews.freebsd.org/D40862>

[D40863](https://reviews.freebsd.org/D40863) URL: <https://reviews.freebsd.org/D40863>

[D40864](https://reviews.freebsd.org/D40864) URL: <https://reviews.freebsd.org/D40864>

[D40865](https://reviews.freebsd.org/D40865) URL: <https://reviews.freebsd.org/D40865>

[D40866](https://reviews.freebsd.org/D40866) URL: <https://reviews.freebsd.org/D40866>

[D40867](https://reviews.freebsd.org/D40867) URL: <https://reviews.freebsd.org/D40867>

[D40868](https://reviews.freebsd.org/D40868) URL: <https://reviews.freebsd.org/D40868>

[D40869](https://reviews.freebsd.org/D40869) URL: <https://reviews.freebsd.org/D40869>

[D40870](https://reviews.freebsd.org/D40870) URL: <https://reviews.freebsd.org/D40870>

联系人：Kajetan Staszkiewicz <vegeta@tuxpowered.net>

联系人：Naman Sood <naman@freebsdfoundation.org>

联系人：Kristof Provost <kp@FreeBSD.org>

\[pf(4)(<https://man.freebsd.org/cgi/man.cgi?query=pf\\&sektion=4\\&format=html>) 是 FreeBSD 中的防火墙之一，也是最流行的防火墙之一，由 OpenBSD 项目创建并移植到 FreeBSD。

#### 回溯 OpenBSD 语法

Kajetan 引入了 OpenBSD 风格的“scrub”操作语法，可用于“match”和“pass”规则。现有规则仍受支持，但现在也支持 OpenBSD 风格的“scrub”配置。

#### pfsync 协议版本控制

现在可以配置 \[pfsync(4)(<https://man.freebsd.org/cgi/man.cgi?query=pfsync\\&sektion=4\\&format=html>) 的协议版本，能在不同内核版本之间进行状态同步的同时进行协议更改，从而支持新功能。

#### pfsync: IPv6 传输

现在也可以通过 IPv6 传输 pfsync 流量。该功能由 Naman 完成 Luiz Amaral 开始的工作。

#### SCTP

pf 正在进行对 SCTP 的支持，包括端口号过滤、状态跟踪、pfsync 故障切换以及对被拒绝连接返回 ABORT 数据块。

赞助方：InnoGames GmbH

赞助方：Orange Business Services

赞助方：FreeBSD 基金会

### 网络接口 API（IfAPI）

链接：

[原项目页面](https://wiki.freebsd.org/projects/ifnet) URL: <https://wiki.freebsd.org/projects/ifnet>

联系人：Justin Hibbits <jhibbits@FreeBSD.org>

IfAPI（前身为 DrvAPI）始于 2014 年，目标是隐藏 \[ifnet(9)(<https://man.freebsd.org/cgi/man.cgi?query=ifnet\\&sektion=9\\&format=html>) 结构，使网络驱动通过访问器函数访问成员，从而无需重新编译驱动即可更改网络栈，并可能允许单个驱动支持多个 FreeBSD 版本。

该目标已在基本系统中实现，但仍需更新一些 ports 以使用 IfAPI。可使用 **tools/ifnet/convert\_ifapi.sh** 自动完成大部分转换。文档尚在编写中，但仍需协助整理 \[ifnet(9)(<https://man.freebsd.org/cgi/man.cgi?query=ifnet\\&sektion=9\\&format=html>) 的内容，目前部分信息已过时。

赞助方：Juniper Networks, Inc.

### 让 Netgraph 无锁化

链接：

[Wiki 页面](https://wiki.freebsd.org/SummerOfCode2023Projects/LocklessSynchronizationBetweenNodesInNetgraph) URL: <https://wiki.freebsd.org/SummerOfCode2023Projects/LocklessSynchronizationBetweenNodesInNetgraph>

[代码仓库](https://github.com/zinh88/epoch-netgraph) URL: <https://github.com/zinh88/epoch-netgraph>

联系人：Zain Khan <zain@FreeBSD.org>

Netgraph 通过将内核对象（节点）组织为图并使用 hook 连接，实现自定义或复杂网络功能。节点可对输入数据包执行操作，并将输出发送给其他节点。在 SMP 前的环境中，线程总能立即调用节点函数，但并发引入了节点忙碌的可能性，同时数据包路径可能因节点或 hook 被移除而引用已释放对象。

现有代码通过拓扑读写互斥锁防止结构重组导致的问题。项目目标是恢复类似单线程时的流畅数据流，使数据在重组事件中无需等待，同时保证内核安全。

FreeBSD 提供了基于 Epoch 的并发安全数据结构和机制，该项目利用 Epoch 实现安全回收。由于修改基本系统，还会影响消息队列、引用计数等设计。

项目涉及大量测试，目前只移除了部分拓扑保护锁并在 VM 上测试简单图，硬件测试将在 4 核以上系统进行。

赞助方：2023 谷歌编程之夏项目

### 架构

更新平台特定功能并支持新硬件平台。

### amd64 SIMD 增强

链接：

[SIMD 调度框架草案](https://reviews.freebsd.org/D40693) URL: <https://reviews.freebsd.org/D40693>

[项目提案](http://fuz.su/~fuz/freebsd/2023-04-05_libc-proposal.txt) URL: <http://fuz.su/~fuz/freebsd/2023-04-05_libc-proposal.txt>

联系人：Robert Clausecker <clausecker@FreeBSD.org>

SIMD 指令集（如 SSE、AVX、NEON）在现代计算机中广泛使用，可为许多应用提供性能优势。本项目旨在提供常用 libc 函数（主要为 \[string(3)(<https://man.freebsd.org/cgi/man.cgi?query=string\\&sektion=3\\&format=html)）的> SIMD 加速版本，加速大部分 C 程序。

每个函数将提供最多四个实现：

* **标量**：为 amd64 优化，但不使用 SIMD
* **基线**：使用 SSE 和 SSE2，或 **x86-64-v2** 实现，使用 SSE4.2 前所有扩展
* **x86-64-v3**：使用 AVX 和 AVX2
* **x86-64-v4**：使用 AVX-512F/BW/CD/DQ

用户可通过设置 `AMD64_ARCHLEVEL` 环境变量选择 SIMD 增强级别。

当前项目仅针对 amd64，但未来可能扩展至 arm64 等架构。

赞助方：FreeBSD 基金会

### 将 mfsBSD 集成到发布构建工具中

链接：

[Wiki 文章](https://wiki.freebsd.org/SummerOfCode2023Projects/IntegrateMfsBSDIntoTheReleaseBuildingTools) URL: <https://wiki.freebsd.org/SummerOfCode2023Projects/IntegrateMfsBSDIntoTheReleaseBuildingTools>

\[项目仓库（integrate-mfsBSD-building 分支)(<https://github.com/soobinrho/freebsd-src/tree/integrate-mfsBSD-building>) URL: <https://github.com/soobinrho/freebsd-src/tree/integrate-mfsBSD-building>

联系人：Soobin Rho <soobinrho@FreeBSD.org>

#### 什么是 mfsBSD？

“mfsBSD 是一套工具，用于创建小型但功能完整的基于 mfsroot 的 FreeBSD 发行版，将所有文件存储在内存（MFS，Memory File System）中，并可从硬盘、USB 存储设备或光盘加载。它可用于无盘系统、恢复分区以及远程覆盖其他操作系统等多种用途。”

[Martin Matuska](mailto:mm@FreeBSD.org) 是 [mfsBSD 白皮书](https://people.freebsd.org/~mm/mfsbsd/mfsbsd.pdf) 的作者，同时也是 [mfsBSD 仓库](https://github.com/mmatuska/mfsbsd) 的维护者。

#### 目标

本项目在 src/release makefile 中为 -current 和 -stable 版本的 mfsBSD 镜像创建每周快照的额外目标。目前仅生成发布版本的 mfsBSD 镜像，这可能导致其与基础工具不同步。本项目旨在解决这一问题。

#### 时间与地点

这是 2023 谷歌编程之夏项目，官方编码周期为 2023 年 5 月 29 日至 2023 年 8 月 28 日。作为开源社区的新手，作者欢迎在项目仓库中提供所有评论、建议或 RP，期间所有代码均在此维护。

导师：[Juraj Lutter](mailto:otis@FreeBSD.org) 和 [Joseph Mingone](mailto:jrm@FreeBSD.org)

赞助方：2023 谷歌编程之夏项目

## 云计算

更新云相关功能并支持新云平台。

### 作为 cloud-init 一级平台的 FreeBSD

链接：

[cloud-init 官网](https://cloud-init.io/) URL: <https://cloud-init.io/>

[cloud-init 文档](https://cloudinit.readthedocs.io/en/latest/) URL: <https://cloudinit.readthedocs.io/en/latest/>

[cloud-init 持续重构](https://github.com/canonical/cloud-init/blob/main/WIP-ONGOING-REFACTORIZATION.rst) URL: <https://github.com/canonical/cloud-init/blob/main/WIP-ONGOING-REFACTORIZATION.rst>

联系人：Mina Galić <freebsd@igalic.co>

cloud-init 是云服务器的标准初始化方式，但对非 Linux 系统支持较差，FreeBSD 缺乏 cloud-init 支持阻碍了其成为一级平台。本项目旨在使 FreeBSD 的 cloud-init 支持与 Linux 持平，并计划逐步覆盖所有 BSD 系统。

本季度进展：

* 临时网络类已重写并实现平台无关，可用于多个云提供商初始化临时网络。
* cloud-init 已在 Vultr 成功测试，希望下一版本可推动 Vultr 将 FreeBSD 镜像切换为 cloud-init。
* 扩展了 BSD 的 rsyslog 支持，并为 cloud-init 的 ds-identify 添加了 rc 脚本，实现零配置启动速度大幅提升：ds-identify 首先快速猜测云提供商，cloud-init 使用该猜测而非遍历全部提供商。用户可通过删除 `/usr/local/etc/rc.d/dsidentify` 禁用，并提供自定义列表，进一步节省启动时间。

下一步计划包括继续网络重构任务，并为 FreeBSD 添加 LXD 支持，以纳入 CI 测试，这涉及 [LXD](https://github.com/canonical/lxd/pull/11761) 和 [FreeBSD virtio 子系统](https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=271793) 的工作。

欢迎早期测试者访问 [net/cloud-init-devel](https://cgit.freebsd.org/ports/tree/net/cloud-init-devel/) 并报告 bug。自上次报告以来，cloud-init 的 bug 跟踪已从 Launchpad 转移到 GitHub。

赞助方：FreeBSD 基金会

### FreeBSD 上的 OpenStack

链接：

[OpenStack](https://www.openstack.org/) URL: <https://www.openstack.org/>

[FreeBSD 上的 OpenStack](https://github.com/openstack-on-freebsd) URL: <https://github.com/openstack-on-freebsd>

联系人：Chih-Hsin Chang <starbops@hey.com>

联系人：許立文 <lwhsu@FreeBSD.org>

项目目标是移植 OpenStack 核心组件（如 keystone、nova、neutron），使 FreeBSD 可作为 OpenStack 主机。

本季度成果：

* 移植 `nova-novncproxy` 和 `nova-serialproxy`，增加实例控制台访问方式
* 将开发环境从物理机迁移至虚拟机
* 解决实例内部网络连接问题
* 可启动多个实例
* 从 Python 3.8 移植至 3.9

下季度计划继续优化控制台代理服务，使整体流程更流畅。

POC 构建指南可在 [docs 仓库](https://github.com/openstack-on-freebsd/docs) 查阅，每个 OpenStack 组件的补丁版本均在同一 GitHub 组织下。

欢迎项目贡献者先检查文档并提供反馈。

赞助方：FreeBSD 基金会

### 在 Microsoft HyperV 与 Azure 上的 FreeBSD

链接：

[微软 Azure FreeBSD wiki](https://wiki.freebsd.org/MicrosoftAzure) URL: <https://wiki.freebsd.org/MicrosoftAzure>

[微软 HyperV FreeBSD wiki](https://wiki.freebsd.org/HyperV) URL: <https://wiki.freebsd.org/HyperV>

联系人：微软 FreeBSD 集成服务团队 <bsdic@microsoft.com>

联系人：freebsd-cloud 邮件列表

联系人：FreeBSD Azure 发布工程团队 <releng-azure@FreeBSD.org>

联系人：Wei Hu <whu@FreeBSD.org>

联系人：Souradeep Chakrabarti <schakrabarti@microsoft.com>

联系人：許立文 <lwhsu@FreeBSD.org>

本季度工作重点为 ARM64 架构支持及向 [Azure community gallery](https://learn.microsoft.com/azure/virtual-machines/share-gallery-community) 构建和发布镜像。测试镜像示例：

* FreeBSD-CURRENT-testing
* FreeBSD-CURRENT-gen2-testing
* FreeBSD-CURRENT-arm64-testing

使用方法：创建虚拟机时，在“Select an Image”步骤选择“Community Images (PREVIEW)”并搜索 `FreeBSD`。

进行中的任务：

* 自动化镜像构建与发布并合并到 src/release/
* 构建和发布基于 ZFS 的 Azure Marketplace 镜像（已合并到 main，可通过 `VMFS=zfs` 创建）
* 构建并发布 Hyper-V gen2 VM 镜像至 Azure Marketplace
* 构建并发布快照版本至 Azure community gallery

上述任务由 FreeBSD 基金会赞助，微软提供部分资源。

微软的 Wei Hu 与 Souradeep Chakrabarti 承担以下任务：

* 将 Hyper-V 客户端支持移植至 aarch64
  * [Bug 267654](https://bugs.freebsd.org/267654)
  * [Bug 272461](https://bugs.freebsd.org/272461)

待完成任务：

* 更新微软 Learn 上 FreeBSD 相关文档
* 支持 [Azure Pipelines](https://azure.microsoft.com/products/devops/pipelines/) 的 FreeBSD
* 更新 [Azure agent port](https://www.freshports.org/sysutils/azure-agent) 至最新版本
* 回溯 [Azure agent 本地修改](https://github.com/Azure/WALinuxAgent/pull/1892)

赞助方：微软（针对 Microsoft 团队人员及资源）

赞助方：FreeBSD 基金会（其余任务）

### EC2 上的 FreeBSD

链接： [FreeBSD/EC2 Patreon](https://www.patreon.com/cperciva) URL: <https://www.patreon.com/cperciva>

联系人：Colin Percival <cperciva@FreeBSD.org>

可在 x86（Intel 与 AMD）和 ARM64（Graviton）EC2 实例上运行 FreeBSD。工作仍在继续，以确保新发布的实例类型能够得到支持，包括最近宣布的 M7a“EPYC”实例，这些实例将在 FreeBSD 14.0-RELEASE 中获得支持。

每周 FreeBSD 快照最近已从“UEFI”启动模式更改为“UEFI Preferred”启动模式，从而在支持“裸机”和“上一代”不兼容 UEFI 的实例类型的同时，享受 UEFI 带来的启动性能提升。此更改将在 FreeBSD 14.0-RELEASE 中体现。

EC2 启动脚本最近已更新以支持 IMDSv2，该更新也将在 FreeBSD 14.0-RELEASE 中生效。

若 FreeBSD 13.2 用户需要这些更新，作者可提供 FreeBSD“13.2-RELEASE plus updates”AMI。

此工作由 Colin 的 FreeBSD/EC2 Patreon 赞助。

## 文档

文档树、手册页或新外部书籍/文档中的显著变更。

### 文档工程团队

链接：

[FreeBSD 文档项目](https://www.freebsd.org/docproj/) URL: <https://www.freebsd.org/docproj>

[新贡献者文档指南](https://docs.freebsd.org/en/books/fdp-primer/) URL: <https://docs.freebsd.org/en/books/fdp-primer/>

[文档工程团队](https://www.freebsd.org/administration/#t-doceng) URL: <https://www.freebsd.org/administration/#t-doceng>

联系人：FreeBSD 文档工程团队 <doceng@FreeBSD.org>

文档工程团队负责处理与 FreeBSD 文档工程团队相关的元项目事务；更多信息请参见 [文档工程团队章程](https://www.freebsd.org/internal/doceng/)。

本季度：

* fernape@ 被任命为新成员
* [www/gohugo](https://cgit.freebsd.org/ports/tree/www/gohugo/) Port 维护权已转交给文档工程团队，因其是文档基础设施关键部分，该决定已与前维护者达成一致
* 改进了翻译工作流程（如下节所述）

#### Port 开发者手册

新增 [`USES=nextcloud`](https://cgit.freebsd.org/doc/commit/?id=634a34b7bb37650e4f8fcbea9fd7428b3f5b911a)。

#### FDP 指南

新增一章介绍 Weblate，用于 [新贡献者 FreeBSD 文档项目指南](https://docs.freebsd.org/en/books/fdp-primer/weblate/)。该章节详细说明加入 FreeBSD 翻译团队的步骤，包括在线 Weblate 和离线翻译，提供高效翻译、校对和测试的实用建议，并指导贡献者如何将翻译正式提交到文档仓库，实现无缝集成。

#### FreeBSD Weblate 翻译

链接：

[在 Weblate 翻译 FreeBSD](https://wiki.freebsd.org/Doc/Translation/Weblate) URL: <https://wiki.freebsd.org/Doc/Translation/Weblate>

[FreeBSD Weblate 实例](https://translate-dev.freebsd.org/) URL: <https://translate-dev.freebsd.org/>

**2023 年第二季度状态**

* 支持 15 种语言
* 注册用户 183 人
* [新 Weblate 服务器](https://lists.freebsd.org/archives/freebsd-translators/2023-April/000111.html)

FreeBSD Weblate 实例现运行在专用服务器上，显著提高速度和翻译效率，特别感谢 ebrandi@ 提供硬件升级。

**语言进展**

* 中文（简体）(zh-cn) 进度：7%
* 中文（繁体）(zh-tw) 进度：3%
* 荷兰语 (nl) 进度：1%
* 法语 (fr) 进度：1%
* 德语 (de) 进度：1%
* 印尼语 (id) 进度：1%
* 意大利语 (it) 进度：5%
* 韩语 (ko) 进度：32%
* 挪威语 (nb-no) 进度：1%
* 波斯语 (fa-ir) 进度：3%
* 波兰语 进度：1%
* 葡萄牙语 (pt-br) 进度：22%
* 僧伽罗语 (si) 进度：1%
* 西班牙语 (es) 进度：33%
* 土耳其语 (tr) 进度：2%

感谢所有参与翻译或审校文档的贡献者，也请在当地用户组中推广此工作，我们始终需要更多志愿者。

#### FreeBSD 手册工作组

联系人：Sergio Carlavilla <carlavilla@FreeBSD.org>

[正在重写网络章节](https://reviews.freebsd.org/D40546)。

#### FreeBSD 网站改版 - WebApps 工作组

联系人：Sergio Carlavilla <carlavilla@FreeBSD.org>

工作组负责创建新的 FreeBSD 文档门户和重新设计 FreeBSD 主网站及其组件。开发者可在 FreeBSD Slack 频道 #wg-www21 跟进并加入。工作分为四个阶段：

1. 文档门户重新设计 创建响应式新设计，并增加全局搜索功能。（*已完成*）
2. Web 上手册页重新设计 使用 mandoc 生成 HTML 页面脚本。（*已完成*）公共实例：[https://man-dev.FreeBSD.org](https://man-dev.freebsd.org/)
3. Web 上 Ports 页面重新设计 Ports 脚本创建应用门户。（*进行中*）
4. FreeBSD 主网站重新设计 新设计，响应式并支持暗色主题。（*进行中*）

## Ports

涉及 Ports 的变更，无论是影响整个树的重大变动，还是单个 Port 的更新。

### FreeBSD 上的 KDE

链接：

[KDE/FreeBSD initiative](https://freebsd.kde.org/) URL: <https://freebsd.kde.org/>

[FreeBSD — KDE Community Wiki](https://community.kde.org/FreeBSD) URL: <https://community.kde.org/FreeBSD>

联系人：Adriaan de Groot <kde@FreeBSD.org>

FreeBSD 上的 KDE 项目为 Ports 树打包了 CMake、Qt 以及 KDE 社区的软件。这些软件包括完整的桌面环境 KDE Plasma（支持 X11 与 Wayland）以及数百款可在任意 FreeBSD 机器上使用的应用程序。

KDE 团队 (kde@) 是 desktop@ 和 x11@ 的一部分，构建软件栈，使 FreeBSD 在日常使用中成为美观且可用的图形桌面工作站。下文主要介绍 KDE 相关的 Ports，但也包括对整个桌面栈重要的项目。

#### 基础设施

更新 Qt5 Ports：

* [devel/qt5-webengine](https://cgit.freebsd.org/ports/tree/devel/qt5-webengine/) 修复了在 Clang 16 下构建的问题，为即将发布的 FreeBSD 14 做准备。
* [devel/qt5-qmake](https://cgit.freebsd.org/ports/tree/devel/qt5-qmake/) 修复了在 Qt 未安装系统上安装 qmake 会引发异常的边缘情况。

更新 Qt6 Ports：

* [devel/qt6-tools](https://cgit.freebsd.org/ports/tree/devel/qt6-tools/) 修复了在 Clang 16 下构建的问题，为 FreeBSD 14 发布做准备。

[accessibility/at-spi2-core](https://cgit.freebsd.org/ports/tree/accessibility/at-spi2-core/) Port（桌面辅助技术关键组件）已更新至 2.48.0，并改进了对非 X11 桌面的支持，提升了 Wayland 系统兼容性。感谢 Jan Beich 的贡献。

[graphics/poppler](https://cgit.freebsd.org/ports/tree/graphics/poppler/) Port（许多 PDF 查看器的基础）更新至 23.05。

[ports-mgmt/packagekit-qt](https://cgit.freebsd.org/ports/tree/ports-mgmt/packagekit-qt/) Port 新增到树中，为 FreeBSD 图形化包管理器铺路。

#### KDE 栈

KDE Gear 每季度发布，KDE Plasma 每月更新，KDE Frameworks 也每月发布新版本。上述更新在上游发布后不久即可在 Ports 中体现。

* KDE Frameworks 更新到 5.105、5.106 与 5.107
* KDE Gear 更新至 23.04.0，并随即发布 .1 与 .2 修复版本
* KDE Plasma Desktop 更新至 5.27.4，随后发布 .5 与 .6 修复版本

#### 相关 Port

弃用：

* [graphics/ikona](https://cgit.freebsd.org/ports/tree/graphics/ikona/)（Rust + Qt 图标查看器）上游已放弃
* [polish/kadu](https://cgit.freebsd.org/ports/tree/polish/kadu/)（曾在波兰流行的聊天应用）已弃用
* [sysutils/plasma5-ksysguard](https://cgit.freebsd.org/ports/tree/sysutils/plasma5-ksysguard/)（系统监控应用）上游弃用，将不再更新

更新：

* [astro/kstars](https://cgit.freebsd.org/ports/tree/astro/kstars/) 更新至 3.6.4
* [devel/qcoro](https://cgit.freebsd.org/ports/tree/devel/qcoro/) 更新至 0.9.0
* [devel/qtcreator](https://cgit.freebsd.org/ports/tree/devel/qtcreator/) 更新至 10.0.2
* [games/gcompris-qt](https://cgit.freebsd.org/ports/tree/games/gcompris-qt/) 更新至 3.2
* [graphics/kphotoalbum](https://cgit.freebsd.org/ports/tree/graphics/kphotoalbum/) 更新至 5.10.0
* [net-im/tokodon](https://cgit.freebsd.org/ports/tree/net-im/tokodon/) 加入 KDE Gear
* [textproc/kdiff3](https://cgit.freebsd.org/ports/tree/textproc/kdiff3/) 更新至 1.10.1

新软件：

* [devel/kommit](https://cgit.freebsd.org/ports/tree/devel/kommit/)（Git 客户端）新增，为 gitklient 的重命名
* [multimedia/kasts](https://cgit.freebsd.org/ports/tree/multimedia/kasts/) KDE 社区新推出的播客收听应用
* [textproc/arianna](https://cgit.freebsd.org/ports/tree/textproc/arianna/) KDE 社区新推出的移动电子书阅读器，可用于阅读 FreeBSD 文档

### FreeBSD 上的 GCC

链接：

[GCC 项目](https://gcc.gnu.org/) URL: <https://gcc.gnu.org/>

[GCC 10 发行系列](https://gcc.gnu.org/gcc-10/) URL: <https://gcc.gnu.org/gcc-10/>

[GCC 11 发行系列](https://gcc.gnu.org/gcc-11/) URL: <https://gcc.gnu.org/gcc-11/>

[GCC 12 发行系列](https://gcc.gnu.org/gcc-12/) URL: <https://gcc.gnu.org/gcc-12/>

[GCC 13 发行系列](https://gcc.gnu.org/gcc-13/) URL: <https://gcc.gnu.org/gcc-13/>

联系人：Lorenzo Salvadore <salvadore@FreeBSD.org>

上游发布了 [GCC 13](https://gcc.gnu.org/gcc-13)。如上次报告所述，计划从 GCC 13 第一个版本开始尝试更新 GCC\_DEFAULT，因此本季度大部分工作为此做准备。

GCC 13.1（首个 GCC 13 版本）发布后，在 Ports 树中创建了两个新 Port：

* [lang/gcc13](https://cgit.freebsd.org/ports/tree/lang/gcc13/) 跟踪 GCC 13 发布
* [lang/gcc14-devel](https://cgit.freebsd.org/ports/tree/lang/gcc14-devel/) 跟踪 GCC 14 上游快照

#### \*-devel Ports

启用对 .init\_array 与 .fini\_array 的支持。FreeBSD 自提交 [83aa9cc00c2d](https://cgit.freebsd.org/src/commit/?id=83aa9cc00c2d83d05a0efe7a1496d8aab4a153bb) 起已支持。

i386、amd64 与 aarch64 默认 bootstrap 选项已从 LTO\_BOOTSTRAP 回退到 STANDARD\_BOOTSTRAP：

* LTO bootstrap 在这些架构上产生过多包构建失败
* LTO\_BOOTSTRAP 仍可供需要的用户使用

这些更改将向生产 Ports 推送。

#### 生产 Ports

上游已发布 GCC 13，新建 Port [lang/gcc13](https://cgit.freebsd.org/ports/tree/lang/gcc13/)。GCC 11 与 12 已更新，上游计划发布 GCC 10 新版本，所有对应 Ports 需更新。

为简化维护者和用户工作，计划同时测试并更新以下内容：

* [lang/gcc10](https://cgit.freebsd.org/ports/tree/lang/gcc10/)、[lang/gcc11](https://cgit.freebsd.org/ports/tree/lang/gcc11/)、[lang/gcc12](https://cgit.freebsd.org/ports/tree/lang/gcc12/) 更新
* 将 GCC\_DEFAULT 更新为 13
* 在生产 Ports 启用 .init\_array 与 .fini\_array
* 将生产 Ports 的 bootstrap 从 LTO\_BOOTSTRAP 切换回 STANDARD\_BOOTSTRAP

优势：

* 测试次数更多但实验运行更少
* Ports 用户构建次数更少

### Puppet

链接：

[Puppet](https://puppet.com/docs/puppet/latest/puppet_index.html) URL: <https://puppet.com/docs/puppet/latest/puppet_index.html>

联系人：Puppet 团队 <puppet@FreeBSD.org>

Puppet 是一款自由软件配置管理工具，由 Puppet Server 提供信任源，以领域特定语言描述机器的预期配置，Puppet Agent 在每个节点上确保实际配置与预期匹配。可选 PuppetDB 用于高级架构和配置依赖关系管理。

Puppet 团队维护 Puppet 及相关工具的 Ports。

* Puppet 8 最近发布，并已加入 Ports 树
* Puppet 6 已到达生命周期终点并弃用，建议用户升级到 Puppet 7 或 Puppet 8

目前，Puppet 7 仍为依赖 Puppet 的 Ports 默认版本。Puppet 社区正在努力确保各种模块与最新代码兼容，当前升级到 Puppet 8 可能存在挑战。随着模块更新完成，预计几个月后将 Puppet 8 设为默认版本。

### FreeBSD 上的 MITRE Caldera

链接：

[MITRE Caldera](https://caldera.mitre.org/) URL: <https://caldera.mitre.org/>

[Red Canary](https://www.redcanary.com/) URL: <https://www.redcanary.com/>

联系人：José Alonso Cárdenas Márquez <acm@FreeBSD.org>

MITRE Caldera 是一家网络安全平台，用于轻松自动化对手模拟、辅助红队手动操作以及自动化事件响应。

它基于 MITRE ATT\&CK® 框架构建，是 MITRE 的一项活跃研究项目。

MITRE Caldera ([security/caldera](https://cgit.freebsd.org/ports/tree/security/caldera/)) 于 2023 年 4 月加入 Ports 树。该 Port 支持 [Atomic Red Team Project](https://github.com/redcanaryco/atomic-red-team)，可通过 [MITRE Caldera atomic plugin](https://github.com/mitre/atomic) 使用。

该工作的主要目标是提升 FreeBSD 作为信息安全或网络安全平台的可见性。

此外，你可以使用 <https://github.com/alonsobsd/caldera-makejail> 或 <https://github.com/AppJail-makejails/caldera>（来自 [AppJail](https://github.com/DtxdF/AppJail)）轻松测试 MITRE Caldera 基础设施。AppJail 是一款便于从命令行管理 jail 容器的好工具。

欢迎有兴趣的人参与项目。

当前版本：4.2.0

#### 待办事项

* 增加 Caldera 测试基础设施 makejail
* 将 FreeBSD 添加到 MITRE Caldera 官方支持平台中，参见 <https://github.com/mitre/caldera/pull/2752>
* 将 FreeBSD 添加到 Red Canary 官方支持平台中，参见 <https://github.com/redcanaryco/atomic-red-team/pull/2450>

### FreeBSD 上的 Wazuh

链接：

[Wazuh](https://www.wazuh.com/) URL: <https://www.wazuh.com/>

联系人：José Alonso Cárdenas Márquez <acm@FreeBSD.org>

Wazuh 是一家免费开源平台，用于威胁预防、检测和响应，可保护本地、虚拟化、容器化及云环境中的工作负载。

Wazuh 解决方案由端点安全代理和管理服务器组成。管理服务器收集并分析代理收集的数据。Wazuh 与 [Elastic Stack](https://www.elastic.co/elastic-stack/) 和 [OpenSearch](https://opensearch.org/) 完全集成，提供搜索引擎和数据可视化工具，用户可通过其浏览安全告警。

将 Wazuh 移植到 FreeBSD 的工作开始于 [Michael Muenz](mailto:m.muenz@gmail.com)，他自 2021 年 9 月首次将 [security/wazuh-agent](https://cgit.freebsd.org/ports/tree/security/wazuh-agent/) 加入 Ports 树。2022 年 7 月，我接管该 Port，并开始移植其他 Wazuh 组件。

目前，所有 Wazuh 组件已移植或适配：[security/wazuh-manager](https://cgit.freebsd.org/ports/tree/security/wazuh-manager/)、[security/wazuh-agent](https://cgit.freebsd.org/ports/tree/security/wazuh-agent/)、[security/wazuh-server](https://cgit.freebsd.org/ports/tree/security/wazuh-server/)、[security/wazuh-indexer](https://cgit.freebsd.org/ports/tree/security/wazuh-indexer/)、[security/wazuh-dashboard](https://cgit.freebsd.org/ports/tree/security/wazuh-dashboard/)。

在 FreeBSD 上，[security/wazuh-manager](https://cgit.freebsd.org/ports/tree/security/wazuh-manager/) 与 [security/wazuh-agent](https://cgit.freebsd.org/ports/tree/security/wazuh-agent/) 从 Wazuh 源代码编译，[security/wazuh-indexer](https://cgit.freebsd.org/ports/tree/security/wazuh-indexer/) 基于 [textproc/opensearch](https://cgit.freebsd.org/ports/tree/textproc/opensearch/) 改编，用于存储代理数据。[security/wazuh-server](https://cgit.freebsd.org/ports/tree/security/wazuh-server/) 对配置文件进行了 FreeBSD 定向适配。运行时依赖包括 [security/wazuh-manager](https://cgit.freebsd.org/ports/tree/security/wazuh-manager/)、[sysutils/beats8](https://cgit.freebsd.org/ports/tree/sysutils/beats8/)（filebeat）和 [sysutils/logstash8](https://cgit.freebsd.org/ports/tree/sysutils/logstash8/)。[security/wazuh-dashboard](https://cgit.freebsd.org/ports/tree/security/wazuh-dashboard/) 使用适配的 [textproc/opensearch-dashboards](https://cgit.freebsd.org/ports/tree/textproc/opensearch-dashboards/) 以及从 Wazuh 源代码生成的 wazuh-kibana-app 插件。

该工作的主要目标同样是提升 FreeBSD 在信息安全或网络安全平台中的可见性。

此外，你可以使用 <https://github.com/alonsobsd/wazuh-makejail> 或 <https://github.com/AppJail-makejails/wazuh>（来自 [AppJail](https://github.com/DtxdF/AppJail)）轻松测试 Wazuh 单节点基础设施（All-in-one）。

欢迎有兴趣的人参与项目。

当前版本：4.4.4

#### 待办事项

* 增加 Wazuh 集群模式基础设施 makejail（进行中）
* 将 FreeBSD 添加到 Wazuh Inc 官方支持平台；参见 <https://github.com/wazuh/wazuh-kibana-app/pull/5413>
* 添加 FreeBSD SCA 策略（进行中）

## 第三方项目

许多项目基于 FreeBSD 构建或将 FreeBSD 组件整合到其项目中。由于这些项目可能对更广泛的 FreeBSD 社区有兴趣，我们有时会在季度报告中包含这些项目提交的简要更新。FreeBSD 项目不对这些提交内容的准确性或真实性作出任何保证。

### PkgBase.live

链接：

[网站](https://alpha.pkgbase.live/) URL: <https://alpha.pkgbase.live/>

[源码](https://codeberg.org/pkgbase) URL: <https://codeberg.org/pkgbase>

联系人：Mina Galić <freebsd@igalic.co>

PkgBase.live 是 FreeBSD [PkgBase 项目](https://wiki.freebsd.org/PkgBase) 的非官方仓库，目前已恢复服务。

该服务灵感来自 <https://up.bsd.lv/>，曾为 STABLE 与 CURRENT 分支提供 \[freebsd-update(8)(<https://man.freebsd.org/cgi/man.cgi?query=freebsd-update\\&sektion=8\\&format=html)。up.bsd.live> 暂停服务，使 PkgBase.live 恢复更显必要。

目前提供构建版本：

* FreeBSD 13.2-RELEASE
* FreeBSD 13-STABLE
* FreeBSD 14-CURRENT

支持平台：

* amd64
* aarch64
* armv7
* i386

RISCv64 暂时未提供。

硬件为 Vultr 的高性能 VPS。服务器与运行构建任务及提供包的 jails 均为“自托管”，安装并通过 PkgBase 保持最新。

由于尚未在 FreeBSD jails 中配置 Vultr IPv6，PkgBase.live 暂不支持 IPv6。如有经验，请联系管理员。

硬件由 FreeBSD 社区成员赞助。

### FreeBSD 容器管理：Pot、Potluck 与 Potman

链接：

[Pot GitHub 组织](https://github.com/bsdpot) URL: <https://github.com/bsdpot>

联系人：

Luca Pizzamiglio (Pot) <pizzamig@FreeBSD.org>

Bretton Vine (Potluck) <bv@honeyguide.eu>

Michael Gmelin (Potman) <grembo@FreeBSD.org>

Pot 是一款 jail 管理工具，同时支持通过 Nomad 进行编排 [详细](https://www.freebsd.org/news/status/report-2020-01-2020-03/#pot-and-the-nomad-pot-driver)。

本季度发布 [Pot 0.15.5](https://github.com/bsdpot/pot/releases/tag/0.15.5)，包含多项 bug 修复与 \[属性设置功能（如 jail sysctl 变量)(<https://github.com/bsdpot/pot/pull/263)，将在> 2023Q3 季度包集中提供。

Potluck 旨在成为 FreeBSD 与 Pot 的 Dockerhub，即提供 Pot 风格及完整容器镜像的仓库，可与 Pot 或 Nomad 一道使用。

所有 Potluck 容器已重新构建为基于 FreeBSD 13.2 的镜像，并通过 [Pot signify](https://github.com/bsdpot/pot/pull/242) 签名。

撰写了 [《在 FreeBSD 上使用 Ansible、Pot 等构建虚拟数据中心的初学者指南》](https://honeyguide.eu/posts/ansible-pot-foundation/)，说明如何通过 Ansible playbook 部署基于 Pot 与 Potluck 的复杂环境，包括示例节点如 MariaDB、Prometheus、Grafana、nginx、OpenLDAP 或 Traefik，以及由 Nomad 与 Consul 管理的容器编排。

Pot 团队提交的 [Nomad 安全性改进补丁](https://github.com/hashicorp/nomad/pull/13343) 已被上游接受，将作为 Nomad 1.6.0 的一部分。Nomad 是调度器与编排器，支持通过 [sysutils/nomad-pot-driver](https://cgit.freebsd.org/ports/tree/sysutils/nomad-pot-driver/) 使用 Pot。

欢迎反馈与补丁。

赞助商：Honeyguide Group


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://book.bsdcn.org/status/2023/2023-q2.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.