Vor genau zehn Jahren hat Canonical mit Ubuntu Core ein neues Sicherheitsmodell für Betriebssysteme etabliert – alles ein Snap, alles transaktional, alles verifizierbar. Nun steht mit Ubuntu Core 26 die nächste Generation des minimalen, immutablen OS bereit. Und das Timing ist kaum zufällig: Wo Edge-KI auf ressourcenarme Hardware trifft und die EU mit dem Cyber Resilience Act (CRA) neue regulatorische Maßstäbe setzt, braucht die Industrie ein Betriebssystem, das nicht nur läuft, sondern beweisbar sicher ist.
Effizienz auf dem Prüfstand: Chisel und schlanke Updates
Ein Kernproblem im IoT-Betrieb: Updates fressen Bandbreite, und Ausfallzeiten kosten Geld. Canonical setzt bei Core 26 auf zwei Hebel. Der erste sind drastisch verkleinerte OTA-Updates. Durch ein verbessertes snap-delta-Format schrumpfen die Update-Größen für die meisten Snaps um 50 bis 90 Prozent. Ein Update des Core-Basis-Snaps fällt nun von ehemals 16 MB auf magere 1,5 MB aus. Für Betreiber großer Geräteflotten ist das ein enormer Kosten- und Effizienzsprung. Hinzu kommt ein initramfs-basiertes Setup, das redundante Reboots beim Installieren überspringt.
Der zweite Hebel ist technisch tiefergreifend: das auf Chisel basierende Build-System. Statt klassischer Paket-Extraktionen nutzt Canonical nun sogenannte „Slices“. Jede Datei im Dateisystem lässt sich exakt ihrem Ursprungspaket zuordnen. Wer schon einmal Yocto-Builds debuggen musste, weiß, wie undurchsichtig Dependency-Closures dort oft sind. Chisel erzwingt hingegen explizite, nachvollziehbare Abhängigkeiten. Das Ergebnis: Eine reduzierte Angriffsfläche, eine bessere Vulnerability-Triage und ein um sieben Prozent kleineres Base-Image. Gerade für KI-Workloads an der extremen Edge, wo jedes Byte Flash-Speicher zählt, ist das ein gewaltiger Vorteil.
Security by Design und der EU Cyber Resilience Act
Der EU Cyber Resilience Act (CRA) zwingt Hersteller, Software in Europa künftig mit garantierter Sicherheit, langfristigem Support und lückenloser Transparenz auszuliefern. Genau hier spielt Ubuntu Core seine Trümpfe aus. Die Architektur aus Sandboxed Snaps und kryptografisch signierten Ketten bietet genau die Rückverfolgbarkeit, die der CRA fordert. Canonical übernimmt zudem die Hersteller-Verantwortung für das OS, inklusive CVE-Monitoring und Koordinierung.
Neu in Core 26 sind fundamental verbesserte Sicherheitsarchitekturen. Bei der Full Disk Encryption (FDE) werden TPM-versiegelte Schlüssel direkt im LUKS2-Header gespeichert, was das Risiko von Key-Reuse über verschiedene Gerätezustände hinweg minimiert. Für die ARM-Welt bringt die native OP-TEE-Integration einen massiven Schub: Disk-Encryption-Keys werden nun direkt in der Trusted Execution Environment (ARM TrustZone) versiegelt und entpackt. Die Schlüsselexposition im normalen Betriebssystem geht gegen null.
Ein Meilenstein: Livepatch für ARM64
Ein Highlight des Releases ist die Ausweitung von Livepatch auf ARM64. Rebootlose Kernel-Patches gab es für x86-Systeme schon länger, aber für ARM-basierte Edge-Geräte und Gateways – die oft in kritischen Infrastrukturen ohne Ausfallfenster laufen – ist das ein gamechanger. Zero-Downtime-Updates sind längst kein Nice-to-have mehr, sondern regulatorische Notwendigkeit.
Entwicklererfahrung und Fleet Observability
Auch für Entwicklerinnen und Entwickler tut sich etwas. Snapcraft führt „Components“ ein, eine Methode, um optionale Ressourcen wie Debug-Symbole, Übersetzungen oder proprietäre Treiber (z.B. NVIDIA) sauber vom Haupt-Snap zu trennen. Das verhindert Bloat auf dem Zielsystem. Ubuntu Frame unterstützt nun Multi-Window-Layouts auf einem Display, inklusive Barrierefreiheits-Launcher – ein wichtiges Puzzleteil für Kiosk- und HMI-Systeme.
Für den Betrieb großer Flotten integriert sich Core 26 in den Canonical Observability Stack (Grafana, Loki, Prometheus). Logs und Metriken lassen sich nun direkt vom Device in zentrale Infrastrukturen streamen, ohne die primären Workloads zu bremsen.
Fazit: Strategisches Timing in einem regulierten Markt
Ubuntu Core 26 ist weit mehr als ein inkrementelles Update. Es ist Canonicals strategische Antwort auf eine Welt, in der KI an die Edge drängt und Regulierungen wie der CRA die Nachweispflichten verschärfen. Die Kombination aus extrem schlanken Updates, hardwareverwurzelter Sicherheit und tiefgehender Software-Herkunftskontrolle macht das OS zu einem der stärksten Kontender für industrielle Deployments.
Der Haken? Wer sich auf Ubuntu Core einlässt, kauft tief in das Canonical-Ökosystem ein – von Snaps über Juju bis hin zu Loki. Für Unternehmen, die Wert auf zertifizierte Sicherheit, 15 Jahre Langzeit-Support und nahtlose CRA-Konformität legen, könnte dieser Lock-in jedoch ein gut investierter Kompromiss sein.
Quelle: Ubuntu Blog
