23、现场软件更新：原理、方法与实践

现场软件更新：原理、方法与实践

1. 安全启动的争议

当购买具有软件更新功能的设备时，我们通常信任设备供应商能提供有用的更新，同时也不希望恶意第三方在我们不知情的情况下安装软件。然而，一个问题随之而来：我们是否应该被允许自行安装软件？如果我们完全拥有该设备，是否有权对其进行修改，包括加载新软件？

以TiVo机顶盒为例，它最终促成了GPL v3许可证的诞生。还有Lynksys WRT54G无线路由器，当硬件访问变得容易时，催生了包括OpenWrt项目在内的全新产业。这是一个处于自由与控制十字路口的复杂问题。实际上，一些设备制造商可能会以安全为借口，来保护他们有时质量不佳的软件。

2. 软件更新机制类型

软件更新主要有三种机制：对称（A/B）镜像更新、非对称镜像更新（恢复模式更新）和原子文件更新。

2.1 对称镜像更新

在这种方案中，操作系统有两个副本，分别标记为A和B，每个副本包含Linux内核、根文件系统和系统应用程序。启动加载程序有一个标志，指示应加载哪个副本。初始时，标志设置为A，启动加载程序加载操作系统镜像A。

安装更新时，作为操作系统一部分的更新程序会覆盖操作系统镜像B。完成后，它会将启动标志更改为B并重启，此时启动加载程序将加载新的操作系统。后续更新时，更新程序会覆盖镜像A并将启动标志更改为A，如此在两个副本之间切换。如果在启动标志更改之前更新失败，启动加载程序将继续加载正常的操作系统。

有几个开源项目实现了对称镜像更新：
- Mender客户端（独立模式） ：后续会详细介绍。
- SWU