23、现场软件更新：原理与实践

现场软件更新：原理与实践

1. 安全启动的争议

当购买具有软件更新功能的设备时，我们通常信任设备供应商能提供有用的更新，同时也不希望恶意第三方在我们不知情的情况下安装软件。然而，我们是否应该被允许自行安装软件呢？如果我们完全拥有设备，是否有权对其进行修改，包括加载新软件？

以TiVo机顶盒为例，它最终促成了GPL v3许可证的诞生。还有Lynksys WRT54G无线路由器，当硬件访问变得容易时，催生了包括OpenWrt项目在内的全新产业。这是一个处于自由与控制十字路口的复杂问题。有些设备制造商可能会以安全为借口来保护他们有时质量不佳的软件。

2. 软件更新机制类型

有三种主要的软件更新方法：对称（A/B）镜像更新、非对称镜像更新（恢复模式更新）和原子文件更新。

2.1 对称镜像更新

在这种方案中，有两个操作系统副本，分别标记为A和B，每个副本包含Linux内核、根文件系统和系统应用程序。

启动加载程序有一个标志，指示应加载哪个副本。初始时，标志设置为A，因此启动加载程序加载OS镜像A。要安装更新，作为操作系统一部分的更新程序会覆盖OS镜像B。完成后，它会将启动标志更改为B并重新启动。此时，启动加载程序将加载新的操作系统。后续更新时，更新程序会覆盖镜像A并将启动标志更改为A，如此在两个副本之间切换。如果在启动标志更改之前更新失败，启动加载程序将继续加载正常的操作系统。

有几个开源项目实现了对称镜像更新：
- Mender客户端（独立模式） ：后续会详细介绍。
- SWUpdate