Динамическое обновление программного обеспечения

В информатике обновлению динамическое обновление программного обеспечения ( DSU ) — это область исследований, относящаяся к программ во время их работы. ДСУ в настоящее время не получил широкого распространения в промышленности. Однако исследователи разработали широкий спектр систем и методов реализации DSU. Эти системы обычно тестируются на реальных программах.

Современные операционные системы и языки программирования обычно не разрабатываются с учетом DSU. Таким образом, реализации DSU обычно либо используют существующие инструменты, либо реализуют специальные компиляторы . Эти компиляторы сохраняют семантику исходной программы, но используют либо исходный код, либо объектный код для создания динамически обновляемой программы. Исследователи сравнивают варианты программ с поддержкой DSU с исходной программой, чтобы оценить затраты на безопасность и производительность.

Любую работающую программу можно рассматривать как кортеж. ${\displaystyle (\delta ,P)}$, где ${\displaystyle \delta }$ текущее состояние программы и ${\displaystyle P}$ текущий код программы. Динамические системы обновления программного обеспечения преобразуют работающую программу ${\displaystyle (\delta ,P)}$ на новую версию ${\displaystyle (\delta ',P')}$. Для этого государство должно превратиться в представительство ${\displaystyle P'}$ ожидает. Для этого требуется функция преобразователя состояния . Таким образом, DSU преобразует программу ${\displaystyle (\delta ,P)}$ к ${\displaystyle (S(\delta ),P')}$. Обновление считается действительным тогда и только тогда, когда работающая программа ${\displaystyle (S(\delta ),P')}$ можно свести к точечному кортежу ${\displaystyle (\delta ,P')}$ достижимого из начальной точки новой версии программы, ${\displaystyle (\delta _{init},P')}$. ^[1]

Место в программе, где происходит динамическое обновление, называется точкой обновления . Существующие реализации DSU сильно различаются по способам обработки точек обновления. В некоторых системах, таких как UpStare и PoLUS , обновление может произойти в любой момент выполнения. Компилятор Ginseng попытается найти подходящие места для точек обновления, но также может использовать точки обновления, указанные программистом. Kitsune и Ekiden требуют от разработчиков вручную указывать и называть все точки обновления.

Системы обновления различаются типами изменений программы, которые они поддерживают. Например, Ksplice поддерживает только изменения кода в функциях и не поддерживает изменения представления состояния. Это связано с тем, что Ksplice в первую очередь нацелен на изменения безопасности, а не на общие обновления. Напротив, Ekiden может обновить программу до любой другой программы, способной выполняться, даже написанной на другом языке программирования. Разработчики систем могут получить ценные гарантии производительности или безопасности, ограничив объем обновлений. Например, любая проверка безопасности обновлений ограничивает объем обновлений обновлениями, которые проходят эту проверку безопасности. Механизм, используемый для преобразования кода и состояния, влияет на то, какие виды обновлений будет поддерживать система.

Системы DSU как инструменты также можно оценить по простоте использования и понятности для разработчиков. Многие системы DSU, такие как Ginseng , требуют, чтобы программы проходили различные статические анализы. Хотя эти анализы доказывают свойства программ, которые ценны для DSU, они по своей природе сложны и трудны для понимания. Системы DSU, не использующие статический анализ, могут потребовать использования специализированного компилятора. Некоторые системы DSU не требуют ни статического анализа, ни специальных компиляторов.

Программы, обновляемые системой DSU, называются целевыми программами . Академические публикации о системах DSU обычно включают в себя несколько целевых программ в качестве тематических исследований. vsftpd , OpenSSH , PostgreSQL , Tor , Apache , GNU Zebra , memcached и Redis — все они являются целями динамического обновления для различных систем. Поскольку лишь немногие программы написаны с учетом поддержки динамического обновления, модернизация существующих программ является ценным средством оценки системы DSU для практического использования.

Пространство проблем, решаемое динамическим обновлением, можно рассматривать как пересечение нескольких других. Примеры включают контрольные точки , динамическое связывание и постоянство . Например, база данных, которая должна быть обратно совместима с предыдущими версиями формата файлов на диске, должна выполнять тот же тип преобразования состояния, который ожидается от системы динамического обновления. Аналогично, программа, имеющая архитектуру плагинов, должна иметь возможность загружать и выполнять новый код во время выполнения.

Подобные методы иногда также используются с целью динамического устранения мертвого кода , чтобы удалить условно мертвый или недоступный код при загрузке или во время выполнения, а также повторно объединить оставшийся код, чтобы минимизировать его объем памяти или повысить скорость. ^{[2] [3]}

Самым ранним предшественником динамического обновления программного обеспечения являются резервные системы . В избыточной среде существуют запасные системы, готовые взять на себя управление активными вычислениями в случае отказа основной системы. Эти системы содержат основную машину и «горячий» резерв . Горячий резерв будет периодически заполняться контрольной точкой основной системы. В случае сбоя «горячий» резерв возьмет на себя управление, а основная машина станет новым «горячим» резервом. Этот шаблон можно обобщить для обновления. В случае обновления активируется «горячий» резерв, обновляется основная система, а затем обновленная система возобновляет управление.

Самая ранняя настоящая система динамического обновления программного обеспечения — DYMOS ( динамической модификации система это ) . ^[4] Представленная в 1983 году в докторской диссертации Инсапа Ли, DYMOS представляла собой полностью интегрированную систему, имевшую доступ к интерактивному пользовательскому интерфейсу, компилятору и среде выполнения для варианта Modula , а также исходному коду. Это позволило DYMOS проверять обновления по типу существующей программы.

Системы DSU должны загружать новый код в работающую программу и преобразовывать существующее состояние в формат, понятный новому коду. Поскольку многие мотивационные варианты использования DSU критичны ко времени (например, развертывание исправления безопасности в работающей и уязвимой системе), системы DSU должны обеспечивать адекватную доступность обновлений . Некоторые системы DSU также пытаются убедиться в безопасности обновлений перед их применением.

Ни для одной из этих проблем не существует единого канонического решения. Обычно система DSU, которая хорошо работает в одной проблемной области, делает это в ущерб другим. Например, эмпирическое тестирование динамических обновлений показывает, что увеличение количества точек обновления приводит к увеличению количества небезопасных обновлений. ^[5]

Большинство систем DSU используют подпрограммы в качестве единицы кода для обновлений; однако более новые системы DSU реализуют обновления всей программы. ^{[6] [7]}

Если целевая программа реализована на языке виртуальной машины , виртуальная машина может использовать существующую инфраструктуру для загрузки нового кода, поскольку современные виртуальные машины поддерживают загрузку во время выполнения для других случаев использования, помимо DSU (в основном, отладка ). HotSpot Java JVM поддерживает загрузку кода во время выполнения, и системы DSU, ориентированные на (язык программирования), могут использовать эту функцию.

В родных языках, таких как C или C++ , системы DSU могут использовать специализированные компиляторы, которые вставляют в программу косвенность. Во время обновления это косвенное направление обновляется и указывает на новейшую версию. Если система DSU не использует компилятор для статической вставки этих косвенных указаний, она вставляет их во время выполнения с перезаписью двоичного кода . Двоичная перезапись — это процесс записи низкоуровневого кода в образ памяти работающей собственной программы для перенаправления функций. Хотя это не требует статического анализа программы, оно сильно зависит от платформы.

Ekiden и Kitsune загружают новый программный код, запуская совершенно новую программу либо с помощью fork-exec, либо с помощью динамической загрузки . Существующее состояние программы затем переносится в новое программное пространство. ^{[6] [7]}

Во время обновления состояние программы должно быть преобразовано из исходного представления в представление новой версии. Это называется трансформацией государства . Функция, которая преобразует объект состояния или группу объектов, называется функцией преобразователя или преобразователем состояния .

Системы DSU могут либо попытаться синтезировать функции преобразователя, либо потребовать, чтобы разработчик предоставил их вручную. Некоторые системы смешивают эти подходы, предполагая некоторые элементы преобразователей и требуя участия разработчика в отношении других.

Эти функции преобразования могут либо применяться к состоянию программы лениво, по мере доступа к каждой части состояния старой версии, либо быстро, преобразуя все состояние во время обновления. Ленивое преобразование гарантирует, что обновление завершится за постоянное время, но также приводит к постоянным накладным расходам при доступе к объекту. Стремительное преобразование требует больше затрат во время обновления, требуя от системы остановки мира, пока все трансформеры работают. Однако активное преобразование позволяет компиляторам полностью оптимизировать доступ к состоянию, избегая накладных расходов в устойчивом состоянии, связанных с ленивым преобразованием.

Большинство систем DSU пытаются показать некоторые свойства безопасности для обновлений. Наиболее распространенным вариантом проверки безопасности является безопасность типов, при которой обновление считается безопасным, если оно не приводит к тому, что какой-либо новый код работает на старом представлении состояния, или наоборот.

Типовая безопасность обычно проверяется путем демонстрации одного из двух свойств: безопасности активности или безопасности отсутствия минусов . Программа считается безопасной по активности, если в стеке вызовов во время обновления не существует обновленной функции. Это доказывает безопасность, поскольку управление никогда не сможет вернуться к старому коду, который будет иметь доступ к новым представлениям данных.

Cons-Freeness — это еще один способ доказать безопасность типов, когда раздел кода считается безопасным, если он не обращается к состоянию данного типа способом, требующим знания представления типа. Можно сказать, что этот код не имеет доступа к состоянию конкретно , хотя он может обращаться к состоянию абстрактно . Можно доказать или опровергнуть отсутствие минусов для всех типов в любом разделе кода, и система DSU Ginseng использует это для доказательства типовой безопасности. ^{[8] [9]} Если доказано, что функция не содержит cons , ее можно обновить, даже если она находится в стеке, поскольку она не вызовет ошибку типа при доступе к состоянию с использованием старого представления.

Эмпирический анализ отсутствия минусов и безопасности активности, проведенный Hayden et al. покажите, что оба метода допускают наиболее правильные обновления и запрещают большинство ошибочных обновлений. Однако выбор точек обновления вручную приводит к отсутствию ошибок обновления и по-прежнему обеспечивает частую доступность обновлений. ^[5]

DYMOS примечателен тем, что это была самая ранняя предложенная система DSU. DYMOS состоит из полностью интегрированной среды для программ, написанных на производной Modula , предоставляющей системе доступ к интерпретатору команд, исходному коду, компилятору и среде выполнения, аналогичной REPL . В DYMOS обновления инициируются пользователем, выполняющим команду в интерактивной среде. Эта команда включает в себя директивы, определяющие, когда может произойти обновление, называемые условиями-когда . Информация, доступная DYMOS, позволяет ему обеспечить безопасность типов обновлений по отношению к работающей целевой программе. ^[4]

Ksplice — это система DSU, ориентированная только на ядро ​​Linux , что делает себя одной из специализированных систем DSU, поддерживающих ядро ​​операционной системы в качестве целевой программы. Ksplice использует различия на уровне исходного кода для определения изменений между текущей и обновленной версиями ядра Linux, а затем использует двоичную перезапись для вставки изменений в работающее ядро. ^[10] Ksplice поддерживается коммерческим предприятием, основанным его первоначальными авторами, Ksplice Inc., которое было приобретено Oracle Corporation в июле 2011 года. ^[11] Ksplice используется на коммерческой основе и исключительно в дистрибутиве Oracle Linux . ^[12]

SUSE разработала kGraft как альтернативу с открытым исходным кодом для оперативного исправления ядра, а Red Hat сделала то же самое с kpatch . Оба они позволяют применять изменения на уровне функций к работающему ядру Linux, полагаясь при этом на механизмы оперативного исправления, установленные ftrace . Основное различие между kGraft и kpatch заключается в том, как они обеспечивают согласованность обновленных разделов кода во время выполнения при горячих исправлений применении . kGraft и kpatch были отправлены для включения в основную ветку ядра Linux в апреле 2014 и мае 2014 года соответственно. ^{[13] [14]} а минималистичные основы оперативного исправления были объединены в основную ветку ядра Linux в версии ядра 4.0, выпущенной 12 апреля 2015 года. ^[15]

С апреля 2015 года продолжается работа по портированию kpatch и kGraft на общее ядро ​​оперативного исправления, предоставляемое основной веткой ядра Linux. Однако реализация механизмов согласованности на уровне функций, необходимых для безопасных переходов между исходными и исправленными версиями функций, была отложена, поскольку стеки вызовов, предоставляемые ядром Linux, могут быть ненадежными в ситуациях, когда используется ассемблерный код без соответствующих фреймов стека ; в результате работы по переносу продолжаются по состоянию на сентябрь 2015 г. ^[update]. In an attempt to improve the reliability of kernel's call stacks, a specialized sanity-check Утилита пользовательского пространства stacktool также была разработана с целью проверки объектных файлов времени компиляции ядра и обеспечения постоянного обслуживания стека вызовов; это также открывает возможность для достижения более надежных стеков вызовов как части сообщений ядра oops . ^{[16] [17]}

Женьшень — это система DSU общего назначения. Это единственная система DSU, использующая технику безопасности отсутствия минусов , позволяющую ей обновлять функции, находящиеся в стеке, до тех пор, пока они не осуществляют конкретный доступ к обновленным типам.

Ginseng реализован как компилятор исходного кода, написанный с использованием фреймворка C Intermediate Language в OCaml . Этот компилятор вставляет косвенность во все вызовы функций и доступ к типам, позволяя Ginseng лениво преобразовывать состояние за счет наложения постоянных затрат времени на все выполнение программы. ^[9] Компилятор Ginseng доказывает отсутствие минусов всей исходной программы и динамических патчей.

Более поздние версии Ginseng также поддерживают идею безопасности транзакций. Это позволяет разработчикам аннотировать последовательность вызовов функций как логическую единицу, предотвращая нарушение семантики программы обновлениями способами, которые не обнаруживаются ни безопасностью активности, ни безопасностью отсутствия минусов . Например, в двух версиях OpenSSH , исследованных авторами Ginseng, важный код проверки пользователя был перемещен между двумя последовательно вызываемыми функциями. Если первая версия первой функции выполнилась, произошло обновление и была выполнена новая версия второй функции, то проверка никогда не будет выполнена. Пометка этого раздела как транзакции гарантирует, что обновление не помешает проверке. ^[18]

UpStare — система DSU, использующая уникальный механизм обновления — реконструкцию стека . Чтобы обновить программу с помощью UpStare, разработчик указывает сопоставление между любыми возможными кадрами стека. UpStare может использовать это сопоставление для немедленного обновления программы в любой момент, с любым количеством потоков и с любыми функциями, находящимися в стеке. ^[19]

PoLUS — это система DSU с двоичной перезаписью C. для Он способен обновлять неизмененные программы на любом этапе их выполнения. Чтобы обновить функции, он переписывает прелюдию к целевой функции для перенаправления на новую функцию, объединяя эти перенаправления в цепочку для нескольких версий. Это позволяет избежать накладных расходов в устойчивом состоянии в функциях, которые не были обновлены. ^[20]

Katana — это исследовательская система, которая обеспечивает ограниченное динамическое обновление (аналогично Ksplice и его ответвлениям) для двоичных файлов ELF пользовательского режима . Модель исправлений Katana работает на уровне объектов ELF и, таким образом, может быть независимой от языка, пока целью компиляции является ELF.

Ekiden и Kitsune — это два варианта единой системы DSU, реализующей стиль DSU с передачей состояний для программ, написанных C. на Вместо обновления функций внутри одной программы Ekiden и Kitsune выполняют обновления всей программы, передавая необходимое состояние между двумя выполнениями. В то время как Ekiden выполняет это, запуская новую программу, используя UNIX идиому fork-exec , сериализуя состояние целевой программы и передавая ее, Kitsune использует динамическое связывание для выполнения передачи состояния «на месте». Kitsune является производным от кодовой базы Ekiden и может считаться более поздней версией Ekiden.

Ekiden и Kitsune также примечательны тем, что они реализованы в основном как библиотеки уровня приложения, а не как специализированные среды выполнения или компиляторы. Таким образом, чтобы использовать Ekiden или Kitsune, разработчик приложения должен вручную отметить состояние, которое должно быть передано, и вручную выбрать точки в программе, где может произойти обновление. Чтобы облегчить этот процесс, Kitsune включает специализированный компилятор, реализующий предметно-ориентированный язык для написания преобразователей состояния. ^{[6] [7]}

Erlang поддерживает динамическое обновление программного обеспечения, хотя это обычно называют « горячей загрузкой кода ». Erlang не требует никаких гарантий безопасности при обновлениях, но культура Erlang предполагает, что разработчики пишут в защитном стиле, который будет корректно обрабатывать ошибки типов, возникающие при обновлении. ^{[ нужна ссылка ]}

Pymoult — это платформа прототипирования для динамического обновления, написанная на Python. Он объединяет множество методов из других систем, позволяя их комбинировать и настраивать. Цель этой платформы — предоставить разработчикам возможность выбирать методы обновления, которые они считают более подходящими для своих нужд. Например, можно совместить ленивое обновление состояния, как в Ginseng, с изменением всего кода приложения, как в Kitsune или Ekiden. ^{[21] [22]}

Microsoft использует внутреннюю технологию исправлений для Microsoft Visual C++, которая поддерживает исправление отдельных функций C++, сохраняя при этом функциональную корректность исправлений. В настоящее время известными приложениями являются SQL Server в базе данных SQL Azure. ^[23]

• Горячая замена § Программное обеспечение
• Настойчивость (информатика)
• Проверка времени выполнения

• Домашняя страница Ксплице
• Исходный код Ksplice
• Страница проекта Ginseng и исходный код / ​​UpStare Paper / PoLUS
• Домашняя страница Эрланга
• Домашняя страница катаны
• Публикация в блоге, посвященная исправлению Visual C++