LiteBox - Library OS berfokus pada keamanan yang dirilis Microsoft sebagai open source

 (github.com/microsoft)
12 poin oleh GN⁺ 2026-02-08 | 2 komentar | Bagikan ke WhatsApp
  • Library OS berfokus pada keamanan yang mendukung eksekusi mode kernel dan mode pengguna, serta menyediakan lingkungan sandboxing yang mengurangi permukaan serangan dengan meminimalkan antarmuka host
  • Ditulis berbasis Rust, serta mendukung antarmuka tingkat atas bergaya nix dan rustix serta interoperabilitas di berbagai platform tingkat bawah
  • Kasus penggunaan utama: menjalankan program Linux di Windows, sandboxing aplikasi Linux, menjalankan di lingkungan SEV SNP dan OP-TEE, dukungan platform LVBS, dan lainnya
  • Berbasis eksperimen arsitektur OS generasi berikutnya yang berfokus pada isolasi keamanan, virtualisasi, dan minimalisasi antarmuka sistem
  • Menggabungkan kode sistem aman berbasis Rust dengan model eksekusi terpadu kernel-pengguna, sehingga dapat dimanfaatkan untuk riset keamanan dan pengembangan teknologi isolasi cloud

Ikhtisar LiteBox

  • LiteBox adalah library OS open source berfokus pada keamanan yang dirilis oleh Microsoft, dengan dukungan untuk eksekusi mode kernel maupun mode pengguna
    • Tujuan utamanya adalah meminimalkan antarmuka dengan host untuk mengurangi permukaan serangan
    • Dengan pendekatan ini, LiteBox mewujudkan lingkungan eksekusi terisolasi berbentuk sandbox
  • Sistem ini ditulis dalam bahasa Rust, dan pada lapisan atas menyediakan antarmuka bergaya nix/rustix
    • Pada lapisan bawah, berbagai platform dapat dihubungkan melalui antarmuka Platform untuk konfigurasi yang fleksibel

Fitur utama dan kasus penggunaan

  • LiteBox dirancang dengan struktur yang mendukung interoperabilitas di berbagai lingkungan operasi
    • Menjalankan program Linux di Windows
    • Sandboxing aplikasi di Linux
    • Mendukung lingkungan eksekusi aman berbasis SEV SNP
    • Menjalankan program OP-TEE di Linux
    • Mendukung eksekusi di platform LVBS

Tahap saat ini dan lisensi

  • Proyek ini masih aktif dikembangkan dan belum mencapai tahap rilis versi stabil
    • API dan antarmukanya dapat berubah di masa mendatang
    • Dapat digunakan secara eksperimental, tetapi perlu kehati-hatian untuk lingkungan yang membutuhkan stabilitas jangka panjang
  • Lisensi MIT

Bacaan terkait

2 komentar

 
GN⁺ 2026-02-08
Komentar Hacker News

  • Menurut halaman GitHub, LiteBox adalah library OS untuk sandboxing yang meminimalkan antarmuka host demi mengurangi permukaan serangan
    Dirancang agar dapat menghubungkan antarmuka “North” berbasis nix/rustix bergaya Rust dengan berbagai platform “South”
    Contohnya termasuk menjalankan program Linux di Windows, melakukan sandboxing pada aplikasi Linux, atau menjalankannya di atas SEV SNP, OP-TEE, dan LVBS

    • Bagian “menjalankan program Linux tanpa modifikasi di Windows” adalah yang paling menarik
      Sejak dulu WSL2 terasa seperti solusi sementara, dan menurut saya WSL1 justru contoh yang bagus dari konsep “personality modules” di Windows NT
    • Diskusi terkait juga bisa dilihat di thread Reddit dan tulisan presentasi James Morris
    • Saya penasaran apakah ini semacam konsep WSLv1.2, menjadi firewall berbentuk library lintas platform yang lebih umum
    • README penuh dengan istilah marketing teknis, jadi butuh waktu untuk memahami sebenarnya proyek ini melakukan apa
      Terasa seperti contoh khas Microsoft membungkus konsep lama dengan nama baru agar tampak seperti inovasi

  • Akhir-akhir ini OS utama Microsoft terlalu penuh bug, jadi sulit percaya pada proyek baru yang mereka rilis

    • Microsoft punya lebih dari 100 ribu engineer, jadi rasanya berlebihan kalau semua produknya dianggap buruk hanya karena bug di Windows
    • UI Windows tidak stabil, tetapi kernel dan bagian low-level-nya cukup stabil dan sangat bagus
    • LiteBox bukan pengganti Windows, dan juga bukan OS desktop GUI
      Tim yang mengerjakan ini sepertinya sama sekali tidak berhubungan dengan UX Windows modern
    • Saya tahu Windows 11 dikritik karena bug dan masalah Copilot, tetapi di forum seperti ini tampaknya ada fenomena echo chamber yang langsung meremehkan produk hanya karena berasal dari Microsoft
    • Windows memang tertutup dan kompleks, tetapi LiteBox berjalan di atas ekosistem Linux, jadi saya berharap budaya engineering-nya berbeda

  • Repositori LiteBox menyertakan file konfigurasi terkait Copilot
    copilot-instructions.md

    • Sekarang banyak organisasi mewajibkan penggunaan AI demi memenuhi OKR, jadi adanya konfigurasi seperti ini terasa wajar
    • Pada praktiknya hampir semua proyek sudah mengandung kode hasil AI sampai tingkat tertentu
      Ini hanya secara eksplisit menampilkan konfigurasinya
    • Ada kalimat “perubahan yang sangat sederhana tidak memerlukan unit test”, dan tanpa mendefinisikan aturan pengecualian seperti ini dengan jelas, LLM sering kali tidak bisa mengikutinya secara intuitif

  • Saya penasaran apa itu ‘Library OS

    • Ini adalah struktur di mana antarmuka yang dulu disediakan OS, seperti syscall dan ioctl, ditautkan langsung ke aplikasi dalam bentuk library
      Artinya, fungsi OS diintegrasikan ke ruang alamat aplikasi, dan antarmuka eksternal diubah menjadi akses hardware atau hypercall
      Unikernel bekerja dengan cara seperti ini, dan Wine juga bisa dipandang sebagai Library OS dalam arti luas
      Misalnya, aplikasi Linux bisa ditautkan ke LiteBox lalu dijalankan di atas SEV-SNP, atau OP-TEE TA bisa dijalankan di Linux
      Intinya, alih-alih mengaudit ratusan syscall POSIX, pendekatan ini menyederhanakannya menjadi hanya beberapa operasi primitif pada representasi perantara yang perlu dikendalikan
    • Singkatnya, ini adalah sandbox yang menautkan OS seperti library, lalu hanya mengekspos bentuk API sistem nyata yang diperkecil untuk mengurangi permukaan serangan
    • Penjelasan di Wikipedia juga layak dilihat

  • Jika harus menjelaskan perbedaan antara Library OS dan aplikasi berbasis kernel kepada alien, rasanya perbedaannya begitu halus sampai sulit dijelaskan dengan serius

    • Kalau benar-benar Library OS, maka tidak ada system call, dan ia berjalan dalam ruang yang sama tanpa pemisahan user/kernel space

  • Awalnya saya kira ‘Library OS’ itu sistem operasi untuk perpustakaan

    • Saya juga begitu. Sempat nostalgia sambil teringat sesuatu seperti Dynix dari dulu
    • Saya memahaminya sebagai struktur di mana, jika OS ditautkan, ia bisa berjalan langsung di atas supervisor tanpa OS terpisah
    • Saya sempat berpikir, “wah, OS untuk perpustakaan umum terdengar menarik”, jadi agak kecewa ternyata bukan itu

  • Konsep Library OS awalnya terasa asing, tetapi setelah dijelaskan ternyata mirip dengan Unikernel
    Program berjalan langsung di atas hypervisor tanpa pemanggilan kernel mode, dan LiteBox juga bisa berjalan sebagai proses Linux, Windows, atau BSD

    • Dari sudut pandang lain, ini terlihat seperti sandbox tempat program berjalan terisolasi di dalam antarmuka umum alih-alih langsung memakai OS
      Namun tidak jelas apakah ia memakai ABI sendiri atau ABI milik host OS
      Dari penjelasannya, proyek ini juga sedikit memberi kesan proyek “vibe-coded”

  • Jika Microsoft lewat LiteBox memungkinkan penulisan driver callout WFP tanpa tanda tangan, itu akan menarik
    Ia tetap berjalan di kernel mode, tetapi bisa jadi lebih fleksibel daripada NetworkExtensions di MacOS

  • Agak disayangkan tidak ada penyebutan prosedur pengembangan berbasis spesifikasi desain dan formal verification
    Ini memang percobaan yang menarik, tetapi tanpa pendekatan seperti itu ada risiko kerentanan keamanan yang terus berulang di Windows akan muncul lagi

    • Belakangan ini tampaknya ada kecenderungan untuk otomatis menganggap aman hanya karena sesuatu ditulis dengan Rust

  • Ini pertama kalinya saya mendengar konsep “Library OS”, dan saya penasaran apakah gVisor juga termasuk di dalamnya
    Strukturnya tampak mirip, tetapi saya tidak yakin apakah benar-benar masuk kategori yang sama
 
picopress 2026-02-09

Sudah lama rasanya saya menemukan proyek yang terlihat menarik seperti ini.