多年来,Libreboot 在那些想要……的人群中赢得了当之无愧的声誉。 重新获得对启动过程和硬件的控制权 他们的团队。随着新版本 Libreboot 26.01(昵称“Magnanimous Max”)的发布,该项目实现了有趣的飞跃:它扩展了支持的主板范围,彻底改进了其构建系统,并加强了与 coreboot 和 GRUB 的集成,同时保持了其自由透明固件的理念。
Libreboot 26.01 并非简单的增量版本,而是以……的形式发布。 经过多次充分测试的RC后,版本稳定。 (具体来说,是已宣布稳定的 RC4 版本),融合了自上一个 25.06 版本以来数月的工作成果。此版本包括对新的 x86 硬件的支持、lbmk 构建系统自动化方面的深度改进、对 GNU GRUB、SeaBIOS 和各种实用程序等关键组件的更新,以及大量旨在提高长期稳定性的错误修复和重构。
Libreboot 26.01 “Magnanimous Max” 的主要新功能
第 26.01 期,于 2026 年 1 月 30 日发布,以……的形式呈现。 稳定的后续版本 Libreboot 25.06内部方面有一个重大变化:稳定的 26.01 版本在经过额外的稳定性测试验证后,与之前的 RC4 版本基本相同。已经刷入 26.01 RC4 的用户无需重新刷入,因为代码没有任何更改。
本期重点是 三大战线:扩展支持的硬件,更新技术基础(coreboot、GRUB、实用程序),并对 lbmk 构建系统进行重大清理,重点关注安全性(减少 eval 的使用、更好地管理临时文件、错误控制)和性能(更好地设计 Git 缓存、使用一致的工具,如 sbase、libarchive 等)。
新的兼容主板和系统
Libreboot 26.01 的一大亮点是新增了以下功能: 四款全新官方支持的设备扩大固件可安装的硬件范围:
- HP Pro 3500 系列 (Vesek 移植)
- Topton XE2 N150 / X2E N150 (Riku Viitanen 移植)
- 联想ThinkPad T580 (由 Johann C. Rode 移植)
- 戴尔Latitude E7240 (经 Iru Cai 港口)
并入 戴尔Latitude E7240 这款笔记本电脑尤其值得关注,因为它搭载了英特尔 Haswell(第四代)平台,该平台在工作和家庭环境中仍然非常常见。此外,该型号还允许使用工具进行内部固件刷新。 dell-flash-unlock这样就大大简化了 Libreboot 的安装,无需打开计算机或借助外部程序员。
在的情况下,中 Topton X2E N150我们正在处理的是一款基于 Alder Lake-N 的防火墙/设备,它通过特定的 FSP 集成和针对该系列处理器优化的 Intel ME 管理获得支持。这意味着 请勿挤压FSP,以确保可靠插入。禁用某些调试模式,并针对此特定主板调整 coreboot 配置。
El HP Pro 3500搭载 Sandy Bridge 或 Ivy Bridge CPU 的台式电脑在 26.01 版本中得到了特殊处理:CBFS 空间得到扩展,ME 区域得到重新配置,并且调整了多个安全和启动参数,以更好地利用 ROM。简而言之,这是一种…… 让十多年前的硬件重获新生 它在 GNU/Linux 或 BSD 系统下也能表现良好。
最后,该 ThinkPad T580 它加入了联想笔记本电脑支持产品线的庞大行列。除了主板接口本身,其他方面,例如…… Thunderbolt 支持 以及音频细节,与 Libreboot 中已有的其他 Kaby Lake/Coffee Lake 型号一脉相承。
对已支持的主板进行改进和配置更改
除了新的硬件之外,Libreboot 26.01 还对之前支持的开发板进行了重大更改,旨在…… 更好地利用ROM空间并改进行为 这在实践中造成了不便或限制。
针对惠普Pro 3500,我们采取了几项具体措施: 扩展 CBFS 以匹配 BIOS 区域这包括使用截断的 Intel ME 镜像而非简单的擦除镜像,默认解锁所有闪存区域,并在硬件允许的情况下设置 HAP 位(禁用 ME)。此外,使用 SeaGRUB 作为有效载荷(先启动 SeaBIOS,再启动 GRUB)已被定义为标准配置,而非最初使用的反向配置。
在戴尔 Latitude 平台上,已经包含了一项补丁,该补丁 防止过热关机 (温度降至约 87°C),并将管理工作委托给 CPU 的标准节流机制。这可以防止意外关机,虽然这种关机“安全”,但在日常使用中可能会非常烦人。
ThinkPad T480/T480s系列也受到了关注: 耳机插孔检测 (以前需要使用类似工具手动更改端口) pavucontrol)并且 Thunderbolt 支持已进行调整,包括删除重复或冗余的配置,以便固件能够与最新的 coreboot 版本正确编译和工作。
另一个有趣的新功能是增加了一个 ThinkPad T440p 特殊配置,配备 4 MB CBFS 内存此镜像旨在方便恢复任务,因为它允许仅对第二个 4MB 芯片进行重新编程,而无需触及第一个芯片;但是,如果您想要完全禁用或“阉割”Intel ME,则仍然需要刷新整个芯片组。
功能和支持将推迟到未来的版本中。
路线图上的部分功能并未全部及时加入到 Libreboot 26.01 版本中。一些功能已被有意从这个稳定版本中移除。 为避免混淆,并避免让用户接触未经测试的配置。在被推迟的项目中,有三类工作尤为突出:
- 广泛整合 Chromebook 英特尔/AMD x86-64 基于 MrChromebox 维护的 coreboot 配置。
- 将部分 AMD 主板(例如 ASUS KCMA-D8 和 KGPE-D16)迁移到 coreboot 分支 15h.org.
- 支持 其他英特尔 Alder Lake 主板 除了那些已经集成的(例如 Topton X2E N150)。
其中一些工作已经存在于私有分支和实验性脚本中,包括一个 Chromebook 集成工具 它能自动将 MrChromebox 配置适配到 Libreboot 构建系统。然而,诸如自动下载和集成适用于 Alder Lake 的 Intel ME 镜像(已处理)等细节仍有待解决。 me_cleaner)以及对大多数 Chromebook 进行物理测试的性能。
最初,建议将这些铭牌纳入 26.01 条,但标记为 release="n" (没有预编译的ROM,只能手动编译)。最终,选择了以下方案: 不要介绍它们,以免造成期望或混淆。 最终目标是服务于最终用户。该项目计划将这些更改纳入测试分支和潜在的候选版本中,预计将从 2026 年 4 月左右发布的 Libreboot 26.06 RC1 开始。
技术基础已更新:coreboot 和 GNU GRUB 已更新至最新版本
此版本的支柱之一是 coreboot 代码库更新 Libreboot 使用了该框架。在 26.01 版本中,主代码库与 2026 年 1 月中旬的快照进行了同步,使 Libreboot 与上游项目基本保持最新状态。在整个开发周期中,还采用了中间修订版本(2025 年 4 月、6 月和 7 月),以逐步集成改进和错误修复。
同时,基于主要有效载荷 GNU GRUB 已更新至稳定版本 2.14在开发过程中,我们曾对 2.14-rc1 版本进行过改进,但最终发布的 26.01 版本整合了稳定版本以及大量补丁。其中一项最重要的变化是 GRUB 现在使用了更新版本的…… 库加密 集成为子模块,例如,可以消除内部 Argon2 实现,并对更广泛的算法和密码提供原生支持。
得益于这项现代化改造,与以下系统的兼容性得以提升: LUKS2 和现代加密方案 GRUB 得到了显著改进。新增了更多加密算法,并简化了对 BLS(引导加载程序规范)和 UKI(统一内核映像)配置的使用。虽然这些改进尚未在此版本中进行全面测试,但理论上它们不会与当前协议栈产生任何问题。
除了 GRUB 之外,其他作品如 SeaBIOS、PCSX-Redux Open BIOS、flashprog 和 deguard 它们已更新至最新版本,修复了错误,提升了兼容性,并进行了一些小的维护性更改。即使是看似微不足道的细节,例如更新 PCSX-Redux 中的版权日期,也经过仔细考虑,以确保准确反映 2025 年导入补丁的状态。
增强的加密技术和对加密启动系统的支持
升级到 GRUB 2.14 和新的 libgcrypt 的一个实际好处是: 加密能力的真正提升 可直接从固件获取。Libreboot 26.01 激活了额外的 GRUB 模块,从而支持现代加密算法(例如,基于 BLAKE 的加密算法、集成度更高的 Argon2 加密算法等),进而提高了与 LUKS2 加密卷的兼容性。
这种强化对于那些使用 磁盘从启动时起就完全加密这减少了引导加载程序与 GNU/Linux 发行版最新加密配置之间的摩擦。如此一来,便可轻松构建一个系统,其中从磁盘读取的第一个字节开始,所有数据都通过自由且可审计的安全路径传输。
lbmk 进行了大幅清理:减少了评估,改进了 TMPDIR 处理,提高了稳健性。
Libreboot 26.01 背后的许多工作并不显而易见,但它对……有着巨大的影响。 构建系统 lbmk 的安全性和稳定性该工具负责协调代码下载、补丁应用和 ROM 编译。
最显着的变化之一是 大幅减少使用 eval 在 POSIX 脚本中 sh尽管尚未发现任何实际漏洞,但 Libreboot 团队认为 eval 它应该只在非常合理的情况下使用,因为如果将来出现错误,它可能会导致代码注入攻击。许多函数已被重写,并且诸如以下简写形式已被移除: setcfg 以及基于以下技术的更安全技术 . (来源)和简单的宏。
另一个重要的战线是…… 临时目录和缓存管理以前,许多“临时”文件都以.tmp结尾。 cache/实际上,它是用来存储持久元素的。1月26日,系统进行了重组,以便放置 TMPDIR 在 lbmk 工作目录本身中,放弃对以下方面的依赖: /tmp (它可以是内存受限的 tmpfs)。这简化了所有临时文件逻辑,并消除了诸如旧变量之类的替代机制。 xbloc.
与此相关的是 文件锁定机制和父/子实例检测现在,关键信息(包括 TMPDIR 值)会被写入锁本身,权限得到加强(以防止意外删除),并且 lbmk 判断自身运行在主实例还是辅助实例上的流程也得到了明确。这显著减少了竞争条件,并防止两个构建进程对同一代码树进行重叠。
此外,还非常注重…… 函数错误处理和提前退出内部公用设施,例如 x_, fx_ y dx_ 它们已得到加强,可以检查参数和返回状态,以及之前与不受控制的管道链接的敏感命令(例如,某些调用)。 cat现在它们都加入了显式的错误处理机制。这是一个显著的改进,因为如果出现问题,lbmk 会检测到并停止,而不是继续处理已损坏的工件。
更可靠的下载方式:Git、哈希、缓存以及对外部工具的依赖
Libreboot 的方式 下载并缓存 coreboot、GRUB、U-Boot 和其他项目的源代码 26.01 版本也进行了相当大的现代化改造。实施了 Git 缓存系统,其中每个远程仓库(包括备份镜像)都被克隆到单独的仓库中,避免在同一个克隆中混合多个源。
代码检索功能(get.sh, tree.sh现在就抓住机会 类似这样的命令 git show 而不是 git whatchanged (已弃用),他们会更仔细地控制哪些版本已被缓存,以避免不必要的下载。引入了诸如以下的标志: -f y -F 使用宏来控制是否强制更新,例如 forcepull 便于阅读代码。
与此同时, 哈希系统和古代文物处置现在,当项目目录结构发生变化时,系统会重新计算哈希值,并按正确的顺序(先删除,再更新哈希值)删除过时的文件,以避免出现不一致的状态。完整目录结构和目标构建的哈希值管理逻辑已统一,目录结构也已重新组织(例如,将目标构建放在……之下)。 tree/target/) 以便更容易进行选择性清洁。
另一个关键步骤是决定 不要依赖任意的主机系统实用程序 这些在不同的发行版中可能有所不同。在 Libreboot 26.01 版本中,Libreboot 集成并编译了它自己的一些项目副本,例如: sbase(来自 suckless)和 libarchive 提供如下命令 sha512sum, bsdtar, bsdunzip o bsdcpio 在任何发行版上都能表现得可预测。这使得诸如此类的工具成为可能。 unar, unrar o unzip 在大多数情况下,减少环境之间的差异。
它们都经过了同等程度的提炼。 错误信息和诊断这样,lbmk 在出现故障时会发出更详细的信息,但不会用误报淹没用户(例如,它现在避免报告中间提取中的“不正确”哈希值,而实际上只有最后一个文件才重要)。
对 Intel ME、FSP 及相关实用程序的具体改进
关于不可避免的斑点,例如 英特尔管理引擎和FSPLibreboot 26.01 采取了中间步骤来尽可能简洁地处理这些问题,同时避免过度复杂化构建系统设计。为此,我们引入了一个选项。 -p en me_cleaner (包含在旧版本中)以便在检查时 MEclean="y" 在电路板配置中,如果需要,可以在不修改原始图像的情况下提取 ME。
在像 Topton X2E N150 这样的滑板中,这种灵活性被用来…… 只需设置 HAP 位,并保持 ME 二进制文件不变即可。这样可以避免与 FPTR 检查相关的错误,并降低处理最新 Intel 镜像的复杂性。然而,对于 HP Pro 3500,它使用了一个截断的 ME,从而释放了 BIOS 区域中的更多空间,并增加了可用于其他有效载荷的 CBFS 空间。
关于FSP,已做出若干修正和调整: 请勿压缩 Alder Lake-N FSP 在 Topton 中,允许在发布版本中使用 Alder Lake FSP 镜像,而无需特定的存储库,并重命名诸如 mode 之类的设置。 fspgop 明确说明图形部分的初始化方式(将其集成到图像命名法中,而无需用户担心)。
代码中还包含其他一些修复和细微改进。
在 Libreboot 25.06 到 26.01 的整个周期中,出现了大量的 一些小补丁,加起来就能改善整体体验。 其中包括:
- 激活 Haswell 原生 RAM 初始化的 SMBIOS 类型 16/17为操作系统提供更准确的内存描述。
- 调整行为 libgfxinit 对有问题的适配器轮询两次 EDID,模仿 Linux 内核策略。
- 使用以下方式配置 GRU Chromebook 上的 U-Boot 菜单(bob/kevin): 更合理的超时时间是 8 秒。 而不是 30 次,加速无人监督重启。
- 介绍 新的键盘布局 (例如,挪威)在 GRUB 中。
- 调整默认设置 Kabylake主板上的coreboot 避免永久设置参数
power_on_after_fail将其委托给 CBFS 后端。 - 一些细微的美容修饰,例如 将彩虹标志返回给 U-Boot 在特定的 Libreboot 版本中。
以下内容也已更新 依赖项安装脚本 对于 Fedora 42/43 等较新版本的发行版,Arch Linux 依赖项已根据软件包拆分进行了调整。 unifont确保构建版本在现代系统上正常运行。
可用性、GPG密钥和下载镜像
Libreboot 26.01 可在目录中找到 stable/26.01/ 来自官方服务器 rsync.libreboot.org除了遍布多个国家(例如普林斯顿大学、麻省理工学院、肯特大学、koddos.net、cicku 等)的广泛 HTTP/HTTPS 镜像服务器网络外,该项目还提供可通过 Tor 和 i2p 访问的“隐藏”镜像服务器。项目强烈建议官方镜像服务器从中央 rsync 服务器进行复制,并建议最终用户优先使用 HTTPS 镜像服务器。
该 发布协议均由 GPG 签署。这个版本使用带有完整指纹的钥匙。 8BB1 F7D2 8CF7 696D BF4F 7192 5C65 4067 D383 B1FF除非另行撤销,否则适用于 2024 年 01 月 26 日之后至 2028 年底期间发布的版本。之前的密钥(例如指纹密钥) 98CC DDF8 E560 47F4 75C0 44BD D0C6 2464 FA8B 4856(已过期的)仍然发布,用于验证旧版本,包括包含旧静态可执行文件的软件包。
推荐的步骤包括: 下载密钥,验证 SHA512 校验和文件及其 GPG 签名只有在确认无误后才能进行安装。如果使用未加密的镜像(HTTP/FTP),这种做法就显得尤为重要,因为通道完整性无法得到保证;在这种情况下,签名验证至关重要。
从某个历史节点开始,Libreboot 停止提供 静态二进制文件 最近几个版本主要侧重于分发源代码和预编译的ROM。必要的工具(例如) flashprog这些镜像均根据官方文档,从源代码构建而成。对于需要旧版本 GPLv2 许可的源代码 ISO 镜像的用户,这些镜像仍然可以在该目录中找到。 ccsource 来自 rsync 镜像。
注重自由、维修权以及非专业人士的易用性
抛开此版本的技术细节不谈,Libreboot 26.01 的基本信息很明确: 开源固件是重新获得硬件控制权的工具。该项目公开反对像 Intel Boot Guard 这样的机制,这些机制只运行由制造商签名的固件,因为它们阻止用户修改自己的机器,并关闭了像 coreboot 这样的自由解决方案的大门。
团队的愿景是: 学习、分享和修改软件的自由 这应该被视为一项基本权利。与之相关的是维修和延长设备使用寿命的权利:Libreboot 的存在使得用户能够继续更新和使用制造商视为“过时”的硬件,这些硬件通常搭载专有固件,而这些固件在一段时间后很少会收到安全补丁。
从实际层面来说,Libreboot 的目标是确保这一切并非开发者的专属特权。 lbmk 作为一个自动化编译系统,提供预编译的 ROM 和分步文档。 这使得 Libreboot 成为面向最终用户的“打包版 coreboot”。如果有人想要从头开始编译并微调每个细节,他们当然可以;但对于那些只想使用“无需任何麻烦”的免费固件的用户来说,Libreboot 就是一个开箱即用的替代方案。
Libreboot 26.01 “Magnanimous Max” 的发布巩固了其作为 Libreboot 项目的地位。 基于 coreboot 的领先开源固件此次发布融合了高度更新的技术基础、大量错误修复、安全增强以及对新主板的支持。对于使用 HP Pro 3500、Dell Latitude E7240、ThinkPad T580 或 Topton X2E N150 等设备的用户而言,此版本开启了摆脱专有 BIOS 的大门;对于所有其他用户和贡献者而言,这标志着一个坚定捍卫用户对其硬件自主权的生态系统又向前迈进了一步。
