机密虚拟机（CVM）如AMD SEV-SNP允许云租户运行安全敏感工作负载，但租户需要对CVM的信任，这要求从启动到运行时状态的连续完整性保证。现有工作主要关注启动时信任建立和部分运行时完整性保护，但未充分解决CVM内部动态加载或映射的用户空间可执行对象（如主可执行文件、程序解释器、动态共享对象）的完整性问题。本文提出PS-UIE（特权分离的用户空间完整性强制），一种用于在基于AMD SEV-SNP的CVM中实施用户空间可执行对象完整性的方法。PS-UIE包含一个特权分离架构和三个机制：架构将完整性度量和强制的权限与目标对象分离，放置在高特权保护域中。基于该架构，PS-UIE提供策略生命周期管理、运行时完整性强制以及证据导出与验证机制。它实现对用户空间可执行对象的策略控制完整性度量和强制，并生成可验证的运行时证据。我们在AMD SEV-SNP平台上实现了PS-UIE。安全分析和性能评估表明，PS-UIE在覆盖的执行权限授予路径上强制执行用户空间可执行对象的完整性，并提供可验证的运行时证据，同时开销可接受。

本文针对机密虚拟机（Confidential VMs）中的隐私应用，提出了一种侧信道分析方法 SNPeek。侧信道攻击能够利用物理或逻辑侧信道泄漏敏感信息，对机密计算环境构成威胁。文章可能分析了在可信执行环境（TEE）中运行的隐私保护应用（如数据聚合、机器学习推理）如何受到缓存时序、功耗或电磁等侧信道的影响。由于未提供完整摘要，具体方法细节、实验设置和攻击效果未知。作者团队包括多位安全与隐私领域专家，研究方向涵盖侧信道、机密计算和差分隐私。本文适合对机密虚拟机安全性、侧信道攻击与防御感兴趣的读者进一步查阅。