Alors que certains Les passionnés de Linux recommandent vivement aux utilisateurs de démarrer leurs systèmes avec le paramètre de noyau”mitigations=off”pour la désactivation à l’exécution de diverses atténuations de sécurité CPU pertinentes pour Spectre, Meltdown, L1TF, TAA, Retbleed et amis, avec le nouveau AMD Ryzen 7000″Zen Processeurs 4″tout en nécessitant encore quelques atténuations logicielles, il est étonnamment plus rapide pour la plupart en laissant les atténuations pertinentes activées.
Avec les processeurs AMD Zen 4 et les divulgations de sécurité actuellement publiques, Linux 6.0 sur les processeurs de la série Ryzen 7000 a le contournement spéculatif du magasin désactivé via prctl pour l’atténuation SSBD/Spectre V4 et les atténuations Spectre V1 de la copie utilisateur/Barrières SWAPGS et nettoyage du pointeur __user. Ensuite, pour Spectre V2, il existe des retpolines, des barrières conditionnelles de prédiction de branche indirecte (IBPB), un micrologiciel IBRS, des prédicteurs de branche indirecte à thread unique (STIBP) et un remplissage de tampon de pile de retour (RSB). Ce sont les seules mesures d’atténuation de la sécurité logicielle impliquées dans Zen 4 à l’heure actuelle, les nouveaux processeurs n’étant pas vulnérables à l’assortiment d’autres vulnérabilités connues affectant différents processeurs.
L’état d’atténuation de Zen 4 sur Linux 6.0
Avec Zen 4, vous pouvez toujours démarrer le noyau avec mitigations=off pour désactiver les atténuations SSB, Spectre V1 et Spectre V2 appliquées tout en laissant le système dans un état”vulnérable”. Alors que beaucoup optent pour l’approche mitigations=off pour éviter les pénalités de performances attribuées aux différentes atténuations, dans le cas d’AMD Zen 4 sur le Ryzen 9 7950X, ce n’est pas vraiment bénéfique.
À notre grande surprise, l’état par défaut/prêt à l’emploi avec les contrôles d’atténuation était généralement plus rapide que le démarrage avec atténuations=off. Voici les benchmarks avec une différence mesurable dans les deux sens :
L’exécution avec mitigations=off était plus rapide pour quelques benchmarks synthétiques comme Stress-NG, OSBench, Sockperf et les autres habituels. Mais le maintien de l’état d’atténuation par défaut entraînait étonnamment un avantage notable pour les benchmarks du navigateur Web, Stargate DAW, diverses charges de travail OpenJDK et d’autres charges de travail qui ont généralement subi des impacts sur les performances des différentes atténuations de sécurité des 4 dernières années.
Le maintien de l’état d’atténuation par défaut a été plus rapide pour la majorité des benchmarks testés.
Ou pour le large éventail de 190 benchmarks différents effectués, le maintien des atténuations par défaut était environ 3 % plus rapide dans l’ensemble que l’exécution avec atténuations=off. Fondamentalement, le contraire de ce que nous voyons normalement avec d’autres processeurs plus anciens. Quant à savoir pourquoi le maintien des atténuations par défaut conduit à un Ryzen 9 7950X plus rapide est une bonne question (normalement c’est le contraire !) mais une que je n’avais pas encore pris la peine d’approfondir avec le profilage du système en raison de contraintes de temps et finalement ne pas être trop important car pour les systèmes de production, vous devriez vraiment vous en tenir aux recommandations de sécurité par défaut.
Ceux qui souhaitent parcourir les 190 benchmarks dans leur intégralité peuvent trouver toutes mes données ici. Pour faire court, avec AMD Zen 4, il ne semble pas utile de démarrer avec”mitigations=off”, mais cela peut en fait avoir un impact négatif sur certaines charges de travail réelles.