Envoy项目FIPS模式构建失败问题分析与解决方案
问题背景
在Envoy 1.34.0版本的构建过程中,开发人员发现当尝试使用FIPS(Federal Information Processing Standards)模式构建时,构建过程会失败。这个问题主要出现在使用官方提供的envoyproxy/envoy-build-ubuntu镜像进行构建时。
问题现象
构建过程在应用补丁文件ipp-crypto-bn2lebinpad.patch时失败,具体错误信息显示补丁无法正确应用到目标文件ifma_cvt52.c上。错误提示为"could not apply patch due to CONTENT_DOES_NOT_MATCH_TARGET",表明目标文件内容与补丁预期不符。
技术分析
根本原因
经过深入分析,发现这个问题源于两个主要因素:
-
IPP Crypto库版本更新:Envoy 1.34.0版本更新了依赖的IPP Crypto库版本,但对应的补丁文件ipp-crypto-bn2lebinpad.patch没有相应更新,导致补丁无法正确应用到新版本的文件上。
-
构建环境差异:CI环境使用远程构建执行(RBE)而本地构建使用普通Bazel或Bazel+Docker,这种环境差异可能导致文件处理方式不同(如符号链接与直接复制的区别),从而掩盖了问题。
相关组件
-
BoringSSL FIPS模式:Envoy使用BoringSSL的FIPS验证模块来实现加密功能。FIPS模式对加密算法的实现有严格要求。
-
IPP Crypto库:Intel提供的密码学库,Envoy的cryptomb扩展依赖此库。
-
Bazel构建系统:Envoy使用的构建系统,负责管理依赖和构建过程。
解决方案
针对这个问题,社区提出了以下解决方案:
-
更新补丁文件:重新基于新版本的IPP Crypto库生成补丁文件,确保补丁能够正确应用。
-
完善CI测试:建议在CI环境中增加FIPS模式下contrib模块的构建测试,避免类似问题再次发生。
-
BoringSSL构建脚本修复:对于BoringSSL构建过程中出现的Go测试框架问题,需要更新构建脚本以正确处理文件。
技术建议
对于需要在FIPS模式下构建Envoy的开发人员,建议:
-
暂时回退到1.33.0版本,等待问题修复。
-
如果需要使用1.34.0版本,可以尝试以下临时解决方案:
- 禁用contrib模块构建
- 手动更新补丁文件
-
关注Envoy官方更新,及时获取修复版本。
总结
这个问题揭示了在复杂开源项目中版本管理和构建系统交互的重要性。它不仅影响了FIPS模式的构建,也反映出CI测试覆盖面的潜在不足。Envoy社区正在积极解决这个问题,未来版本将提供更稳定的FIPS模式构建支持。
对于安全敏感的应用场景,建议开发人员在升级Envoy版本前充分测试FIPS模式构建,确保加密功能符合预期。同时,参与开源社区的问题报告和解决过程,有助于更快地定位和修复此类问题。
GLM-5智谱 AI 正式发布 GLM-5,旨在应对复杂系统工程和长时域智能体任务。Jinja00- GLM-5.1GLM-5.1是智谱迄今最智能的旗舰模型,也是目前全球最强的开源模型。GLM-5.1大大提高了代码能力,在完成长程任务方面提升尤为显著。和此前分钟级交互的模型不同,它能够在一次任务中独立、持续工作超过8小时,期间自主规划、执行、自我进化,最终交付完整的工程级成果。Jinja00
MiniMax-M2.7MiniMax-M2.7 是我们首个深度参与自身进化过程的模型。M2.7 具备构建复杂智能体应用框架的能力,能够借助智能体团队、复杂技能以及动态工具搜索,完成高度精细的生产力任务。Python00- QQwen3.5-397B-A17BQwen3.5 实现了重大飞跃,整合了多模态学习、架构效率、强化学习规模以及全球可访问性等方面的突破性进展,旨在为开发者和企业赋予前所未有的能力与效率。Jinja00
HY-Embodied-0.5这是一套专为现实世界具身智能打造的基础模型。该系列模型采用创新的混合Transformer(Mixture-of-Transformers, MoT) 架构,通过潜在令牌实现模态特异性计算,显著提升了细粒度感知能力。Jinja00
LongCat-AudioDiT-1BLongCat-AudioDiT 是一款基于扩散模型的文本转语音(TTS)模型,代表了当前该领域的最高水平(SOTA),它直接在波形潜空间中进行操作。00
项目优选
kernel
docs
RuoYi-Vue3
pytorch
kernel
flutter_flutter
leetcodeMindSpeed-LLM
ops-math
cherry-studio