多年來,Libreboot 在那些想要…的人群中贏得了當之無愧的聲譽。 重新獲得對啟動過程和硬體的控制權 他們的團隊。隨著新版本 Libreboot 26.01(暱稱“Magnanimous Max”)的發布,該專案實現了有趣的飛躍:它擴展了支援的主機板範圍,徹底改進了其構建系統,並加強了與 coreboot 和 GRUB 的集成,同時保持了其自由透明固件的理念。
Libreboot 26.01 並非簡單的增量版本,而是以…的形式發布。 經過多次充分測試的RC後,版本穩定。 (具體來說,是已宣布穩定的 RC4 版本),融合了自上一個 25.06 版本以來數月的工作成果。此版本包括對新的 x86 硬體的支援、lbmk 建置系統自動化的深度改進、對 GNU GRUB、SeaBIOS 和各種實用程式等關鍵元件的更新,以及大量旨在提高長期穩定性的錯誤修復和重構。
Libreboot 26.01 “Magnanimous Max” 的主要新功能
第 26.01 期,於 2026 年 1 月 30 日發布,以…的形式呈現。 穩定的後續版本 Libreboot 25.06內部方面有一個重大變化:穩定的 26.01 版本在經過額外的穩定性測試驗證後,與先前的 RC4 版本基本相同。已經刷入 26.01 RC4 的使用者無需重新刷入,因為程式碼沒有任何變更。
本期重點是 三大戰線:擴展支援的硬件,更新技術基礎(coreboot、GRUB、實用程式),並對 lbmk 構建系統進行重大清理,重點關注安全性(減少 eval 的使用、更好地管理臨時文件、錯誤控制)和性能(更好地設計 Git 緩存、使用一致的工具,如 sbase、libarchive 等)。
新的相容主機板和系統
Libreboot 26.01 的一大亮點是新增了以下功能: 四款全新官方支援的設備擴大韌體可安裝的硬體範圍:
- HP Pro 3500 系列 (Vesek 移植)
- Topton XE2 N150 / X2E N150 (Riku Viitanen 移植)
- 聯想ThinkPad T580 (由 Johann C. Rode 移植)
- 戴爾Latitude E7240 (經 Iru Cai 港口)
併入 戴爾Latitude E7240 這款筆記型電腦尤其值得關注,因為它搭載了英特爾 Haswell(第四代)平台,在工作和家庭環境中仍然非常常見。此外,該型號還允許使用工具進行內部韌體刷新。 dell-flash-unlock這樣就大大簡化了 Libreboot 的安裝,無需打開電腦或使用外部程式設計師。
在的情況下,中 Topton X2E N150我們正在處理的是一款基於 Alder Lake-N 的防火牆/設備,它透過特定的 FSP 整合和針對該系列處理器最佳化的 Intel ME 管理獲得支援。這意味著 請勿擠壓FSP,以確保可靠插入。停用某些偵錯模式,並針對此特定主機板調整 coreboot 配置。
El 惠普Pro 3500搭載 Sandy Bridge 或 Ivy Bridge CPU 的桌上型電腦在 26.01 版本中得到了特殊處理:CBFS 空間得到擴展,ME 區域得到重新配置,並且調整了多個安全性和啟動參數,以更好地利用 ROM。簡而言之,這是一種… 讓十多年前的硬體重獲新生 它在 GNU/Linux 或 BSD 系統下也能表現良好。
最後, ThinkPad T580 它加入了聯想筆記型電腦支援產品線的龐大行列。除了主機板介面本身,其他方面,例如… Thunderbolt 支援 以及音訊細節,與 Libreboot 中已有的其他 Kaby Lake/Coffee Lake 型號一脈相承。
對已支援的主機板進行改進和配置更改
除了新的硬體之外,Libreboot 26.01 還對先前支援的開發板進行了重大更改,旨在… 更好地利用ROM空間並改進行為 這在實踐中造成了不便或限制。
針對惠普Pro 3500,我們採取了幾項具體措施: 擴展 CBFS 以匹配 BIOS 區域這包括使用截斷的 Intel ME 鏡像而不是簡單的擦除鏡像,預設解鎖所有快閃記憶體區域,並在硬體允許的情況下設定 HAP 位元(禁用 ME)。此外,使用 SeaGRUB 作為有效載荷(先啟動 SeaBIOS,再啟動 GRUB)已被定義為標準配置,而非最初使用的反向配置。
在戴爾 Latitude 平台上,已經包含了一項補丁,該補丁 防止過熱關機 (溫度降至約 87°C),並將管理工作委託給 CPU 的標準節流機制。這可以防止意外關機,雖然這種關機“安全”,但在日常使用中可能會非常煩人。
ThinkPad T480/T480s系列也受到了關注: 耳機插孔偵測 (以前需要使用類似工具手動更改連接埠) pavucontrol)並且 Thunderbolt 支援已進行調整,包括刪除重複或冗餘的配置,以便韌體能夠與最新的 coreboot 版本正確編譯和工作。
另一個有趣的新功能是增加了一個 ThinkPad T440p 特殊配置,配備 4 MB CBFS 內存此鏡像旨在方便恢復任務,因為它允許僅對第二個 4MB 晶片進行重新編程,而無需觸及第一個晶片;但是,如果您想要完全停用或「閹割」Intel ME,則仍需要刷新整個晶片組。
功能和支援將推遲到未來的版本。
路線圖上的部分功能並未全部及時加入到 Libreboot 26.01 版本中。一些功能已被有意從這個穩定版本中移除。 為避免混淆,並避免讓使用者接觸未經測試的配置。在被延後的項目中,有三類工作特別突出:
- 廣泛整合 Chromebook 英特爾/AMD x86-64 基於 MrChromebox 維護的 coreboot 配置。
- 將部分 AMD 主機板(例如 ASUS KCMA-D8 和 KGPE-D16)移至 coreboot 分支 15h.org.
- 支持 其他英特爾 Alder Lake 主機板 除了那些已經整合的(例如 Topton X2E N150)。
其中一些工作已經存在於私有分支和實驗性腳本中,包括一個 Chromebook 整合工具 它能自動將 MrChromebox 配置適配到 Libreboot 建置系統。然而,諸如自動下載和整合適用於 Alder Lake 的 Intel ME 鏡像(已處理)等細節仍有待解決。 me_cleaner)以及對大多數 Chromebook 進行物理測試的性能。
最初,建議將這些銘牌納入 26.01 條,但標記為 release="n" (沒有預編譯的ROM,只能手動編譯)。最終,選擇了以下方案: 不要介紹它們,以免造成期望或混淆。 最終目標是服務最終用戶。該專案計劃將這些變更納入測試分支和潛在的候選版本中,預計將從 2026 年 4 月左右發布的 Libreboot 26.06 RC1 開始。
技術基礎已更新:coreboot 和 GNU GRUB 已更新至最新版本
此版本的支柱之一是 coreboot 程式碼庫更新 Libreboot 使用了這個框架。在 26.01 版本中,主程式碼庫與 2026 年 1 月中旬的快照進行了同步,使 Libreboot 與上游專案基本保持最新狀態。在整個開發週期中,還採用了中間修訂版本(2025 年 4 月、6 月和 7 月),以逐步整合改進和錯誤修復。
同時,基於主要有效載荷 GNU GRUB 已更新至穩定版本 2.14在開發過程中,我們曾對 2.14-rc1 版本進行過改進,但最終發布的 26.01 版本整合了穩定版本以及大量修補程式。其中一個最重要的變更是 GRUB 現在使用了更新版本的… libgcrypt 集合成為子模組,例如,可以消除內部 Argon2 實現,並對更廣泛的演算法和密碼提供原生支援。
由於這項現代化改造,與以下系統的兼容性得以提升: LUKS2 和現代加密方案 GRUB 得到了顯著改進。新增了更多加密演算法,並簡化了對 BLS(引導程式規格)和 UKI(統一核心映像)配置的使用。雖然這些改進尚未在此版本中進行全面測試,但理論上它們不會與目前協定堆疊產生任何問題。
除了 GRUB 之外,其他作品如 SeaBIOS、PCSX-Redux Open BIOS、flashprog 和 deguard 它們已更新至最新版本,修復了錯誤,提升了相容性,並進行了一些小的維護性更改。即使是看似微不足道的細節,例如更新 PCSX-Redux 中的版權日期,也經過仔細考慮,以確保準確反映 2025 年導入修補程式的狀態。
增強的加密技術和對加密啟動系統的支持
升級到 GRUB 2.14 和新的 libgcrypt 的一個實際好處是: 加密能力的真正提升 可直接從韌體取得。 Libreboot 26.01 啟動了額外的 GRUB 模組,從而支援現代加密演算法(例如,基於 BLAKE 的加密演算法、整合度較高的 Argon2 加密演算法等),進而提高了與 LUKS2 加密磁碟區的兼容性。
這種強化對於那些使用 磁碟從啟動時起就完全加密這減少了引導程式與 GNU/Linux 發行版最新加密配置之間的摩擦。如此一來,便可輕鬆建立一個系統,其中從磁碟讀取的第一個字節開始,所有資料都透過自由且可審計的安全路徑傳輸。
lbmk 進行了大幅清理:減少了評估,改進了 TMPDIR 處理,提高了穩健性。
Libreboot 26.01 背後的許多工作並不顯而易見,但它對…有著巨大的影響。 建構系統 lbmk 的安全性與穩定性該工具負責協調程式碼下載、補丁應用程式和 ROM 編譯。
最顯著的變化之一是 大幅減少使用 eval 在 POSIX 腳本中 sh儘管尚未發現任何實際漏洞,但 Libreboot 團隊認為 eval 它應該只在非常合理的情況下使用,因為如果將來發生錯誤,它可能會導致程式碼注入攻擊。許多函數已被重寫,並且諸如以下簡寫形式已被移除: setcfg 以及基於以下技術的更安全技術 . (來源)和簡單的巨集。
另一個重要的戰線是… 暫存目錄和快取管理以前,許多“臨時”檔案都以.tmp結尾。 cache/實際上,它是用來儲存持久元素的。 1月26日,系統進行了重組,以便放置 TMPDIR 在 lbmk 工作目錄本身中,放棄對以下方面的依賴: /tmp (它可以是記憶體受限的 tmpfs)。這簡化了所有臨時檔案邏輯,並消除了諸如舊變數之類的替代機制。 xbloc.
與此相關的是 檔案鎖定機制和父/子實例偵測現在,關鍵資訊(包括 TMPDIR 值)會被寫入鎖定本身,權限得到加強(以防止意外刪除),並且 lbmk 判斷自身運行在主實例還是輔助實例上的流程也得到了明確。這顯著減少了競爭條件,並防止兩個建置進程對同一程式碼樹進行重疊。
此外,還非常注重… 函數錯誤處理和提前退出內部公用設施,例如 x_, fx_ y dx_ 它們已得到加強,可以檢查參數和返回狀態,以及先前與不受控制的管道連結的敏感命令(例如,某些呼叫)。 cat現在它們都加入了明確的錯誤處理機制。這是一個顯著的改進,因為如果出現問題,lbmk 會偵測到並停止,而不是繼續處理已損壞的工件。
更可靠的下載方式:Git、哈希、快取以及對外部工具的依賴
Libreboot 的方式 下載並快取 coreboot、GRUB、U-Boot 和其他項目的原始碼 26.01 版本也進行了相當大的現代化改造。實施了 Git 快取系統,其中每個遠端倉庫(包括備份鏡像)都被複製到單獨的倉庫中,避免在同一個複製中混合多個來源。
程式碼檢索功能(get.sh, tree.sh現在就抓住機會 類似這樣的命令 git show 而不是 git whatchanged (已棄用),他們會更仔細地控制哪些版本已被緩存,以避免不必要的下載。引入了諸如以下的標誌: -f y -F 使用巨集來控制是否強制更新,例如 forcepull 方便閱讀代碼。
同時, 哈希系統和古代文物的處置現在,當專案目錄結構變更時,系統會重新計算雜湊值,並以正確的順序(先刪除,再更新雜湊值)刪除過時的文件,以避免不一致的狀態。完整目錄結構和目標建構的雜湊值管理邏輯已統一,目錄結構也已重新組織(例如,將目標建構放在…之下)。 tree/target/)以便更容易進行選擇性清潔。
另一個關鍵步驟是決定 不要依賴任意的主機系統實用程序 這些在不同的發行版中可能有所不同。在 Libreboot 26.01 版本中,Libreboot 整合並編譯了它自己的一些專案副本,例如: sbase(來自 suckless)和 libarchive 提供如下命令 sha512sum, bsdtar, bsdunzip o bsdcpio 在任何發行版上都能表現得可預測。這使得諸如此類的工具成為可能。 unar, unrar o unzip 在大多數情況下,減少環境之間的差異。
它們都經過了同等程度的提煉。 錯誤訊息和診斷這樣,lbmk 在發生故障時會發出更詳細的信息,但不會用誤報淹沒用戶(例如,它現在避免報告中間提取中的“不正確”哈希值,而實際上只有最後一個文件才重要)。
對 Intel ME、FSP 及相關實用程式的具體改進
關於不可避免的斑點,例如 英特爾管理引擎和FSPLibreboot 26.01 採取了中間步驟來盡可能簡潔地處理這些問題,同時避免過度複雜化建置系統設計。為此,我們引入了一個選項。 -p en me_cleaner (包含在舊版本中)以便在檢查時 MEclean="y" 在電路板配置中,如果需要,可以在不修改原始影像的情況下提取 ME。
在像 Topton X2E N150 這樣的滑板中,這種靈活性被用來… 只需設定 HAP 位,並保持 ME 二進位檔案不變即可。這樣可以避免與 FPTR 檢查相關的錯誤,並降低處理最新 Intel 鏡像的複雜度。然而,對於 HP Pro 3500,它使用了一個截斷的 ME,從而釋放了 BIOS 區域中的更多空間,並增加了可用於其他有效載荷的 CBFS 空間。
關於FSP,已做出若干修正與調整: 請勿壓縮 Alder Lake-N FSP 在 Topton 中,允許在發布版本中使用 Alder Lake FSP 鏡像,而無需特定的儲存庫,並重新命名諸如 mode 之類的設定。 fspgop 明確說明圖形部分的初始化方式(將其整合到圖像命名法中,而無需用戶擔心)。
程式碼中還包含其他一些修復和細微改進。
在 Libreboot 25.06 到 26.01 的整個週期中,出現了大量的 一些小補丁,加起來就能改善整體體驗. 其中有:
- 激活 Haswell 原生 RAM 初始化的 SMBIOS 類型 16/17為作業系統提供更準確的記憶體描述。
- 調整行為 libgfxinit 對有問題的適配器輪詢兩次 EDID,模仿 Linux 核心策略。
- 使用以下方式設定 GRU Chromebook 上的 U-Boot 選單(bob/kevin): 更合理的超時時間是 8 秒。 而不是 30 次,加速無人監督重啟。
- 介紹 新的鍵盤佈局 (例如,挪威)在 GRUB 中。
- 調整預設設定 Kabylake主機板上的coreboot 避免永久設定參數
power_on_after_fail將其委託給 CBFS 後端。 - 一些細微的美容修飾,例如 將彩虹標誌回傳給 U-Boot 在特定的 Libreboot 版本中。
以下內容也已更新 依賴項安裝腳本 對於 Fedora 42/43 等較新版本的發行版,Arch Linux 依賴項已根據軟體包拆分進行了調整。 unifont確保建置版本在現代系統上正常運作。
可用性、GPG金鑰和下載鏡像
Libreboot 26.01 可在目錄中找到 stable/26.01/ 來自官方伺服器 rsync.libreboot.org除了遍布多個國家(例如普林斯頓大學、麻省理工學院、肯特大學、koddos.net、cicku 等)的廣泛 HTTP/HTTPS 鏡像伺服器網路外,該專案還提供可透過 Tor 和 i2p 存取的「隱藏」鏡像伺服器。專案強烈建議官方鏡像伺服器從中央 rsync 伺服器複製,並建議最終用戶優先使用 HTTPS 鏡像伺服器。
該 發布協議均由 GPG 簽署。這個版本使用帶有完整指紋的鑰匙。 8BB1 F7D2 8CF7 696D BF4F 7192 5C65 4067 D383 B1FF除非另行撤銷,否則適用於 2024 年 01 月 26 日至 2028 年底期間發布的版本。之前的密鑰(例如指紋密鑰) 98CC DDF8 E560 47F4 75C0 44BD D0C6 2464 FA8B 4856(已過期的)仍然發布,用於驗證舊版本,包括包含舊靜態可執行檔的軟體包。
建議的步驟包括: 下載金鑰,驗證 SHA512 校驗和檔案及其 GPG 簽名只有在確認無誤後才能進行安裝。如果使用未加密的鏡像(HTTP/FTP),這種做法就顯得尤為重要,因為通道完整性無法保證;在這種情況下,簽章驗證至關重要。
從某個歷史節點開始,Libreboot 停止提供 靜態二進位文件 最近幾個版本主要專注於分發原始程式碼和預編譯的ROM。必要的工具(例如) flashprog這些鏡像均根據官方文檔,從原始碼建構而成。對於需要舊版本 GPLv2 許可的源代碼 ISO 鏡像的用戶,這些鏡像仍然可以在該目錄中找到。 ccsource 來自 rsync 鏡像。
注重自由、維修權以及非專業人士的易用性
撇開此版本的技術細節不談,Libreboot 26.01 的基本資訊很明確: 開源韌體是重新取得硬體控制權的工具。該專案公開反對像 Intel Boot Guard 這樣的機制,這些機制只運行由製造商簽署的韌體,因為它們阻止用戶修改自己的機器,並關閉了像 coreboot 這樣的自由解決方案的大門。
團隊的願景是: 學習、分享、修改軟體的自由 這應該被視為一項基本權利。與之相關的是維修和延長設備使用壽命的權利:Libreboot 的存在使得用戶能夠繼續更新和使用製造商視為“過時”的硬件,這些硬件通常搭載專有固件,而這些固件在一段時間後很少會收到安全補丁。
從實際層面來說,Libreboot 的目標是確保這一切並非開發者的專屬特權。 lbmk 作為一個自動化編譯系統,提供預先編譯的 ROM 和逐步文件。 這使得 Libreboot 成為面向最終用戶的「打包版 coreboot」。如果有人想要從頭開始編譯並微調每個細節,他們當然可以;但對於那些只想使用「無需任何麻煩」的免費韌體的用戶來說,Libreboot 就是一個開箱即用的替代方案。
Libreboot 26.01 “Magnanimous Max” 的發布鞏固了其作為 Libreboot 專案的地位。 基於 coreboot 的領先開源固件此次發布融合了高度更新的技術基礎、大量錯誤修復、安全增強以及對新主機板的支援。對於使用 HP Pro 3500、Dell Latitude E7240、ThinkPad T580 或 Topton X2E N150 等設備的用戶而言,此版本開啟了擺脫專有 BIOS 的大門;對於所有其他用戶和貢獻者而言,這標誌著一個堅定捍衛用戶對其硬體自主權的生態系統又向前邁進了一步。
