В конце мая Embox, уже традиционно, принял участие в OSDay. Конференция, как и в прошлом году, проходила в главном здании РАН. На этот раз она была посвящена надежности. Тема надежности ПО стара. Она затронута, например, Фредериком Бруксом в его легендарном произведении “Мифический человеко-месяц”, на которое несколько раз ссылались и на самой конференции. В книге упоминается, что одной из проблем, с которой столкнулись в процессе создания операционной системы OS/360, было отсутствие достаточного количества квалифицированных программистов. Наверное, по этой же причине много времени на конференции было уделено образованию в области системного программирования. В общем, кому интересно, какие, на мой взгляд, интересные идеи высказывались и обсуждались на конференции, прошу под кат.
Открывая конференцию, один из ее основателей Дмитрий Завалишин dzavalishin, высказал несколько тезисов:
- Современные программные системы настолько сложны, что надежность требуется для любой из них, а не только для “особенных”, как было раньше
- Представления о надежности ПО у разных людей могут различаться, например, некоторые считают надежность синонимом безопасности
- Методы обеспечения надежности могут быть разными, исходя хотя бы из того, что различаются представления о надежности
В первый день ИСП РАН представил доклад, посвященный надежности ПО с академической точки зрения. И хотя это было скорее данью истории, из него было понятно, что проблема далеко не нова, и определения надежности, как и методов ее оценки, очень разнообразны. Доклад хоть и был сильно порезанным (поскольку докладчик пыталась уложиться в 30 минут), был интересен своей научностью.
Инструментальные методы
Методы обеспечения надежности кода можно разделить на несколько категорий. Начну с инструментальных средств, коими славится хозяин конференции — ИСП РАН. Его сотрудником был представлен доклад об опыте верификации кусков ядра Линукса с помощью средства klever. Klever — открытый фреймворк для статической верификации кода. Собственно, проблему, которую решал автор доклада, можно сформулировать следующим образом. Статическая верификация кода слишком сложна, чтобы проверять современные проекты целиком, но можно попробовать выделить некую более-менее изолированную часть, например подсистему ядра Линукс или отдельный драйвер, и, задав ему соответствующее окружение, верифицировать. Далее можно попробовать итеративно проделать это со всем проектом.
Архитектурные методы
Еще одним подходом к построению более надежных систем является использование “архитектурных” приемов. К ним я бы отнес идею о персистентной памяти ОС Фантом и архитектуру MILS (Multiple Independent Levels of Security/Safety).
Доклад про MILS касался его свойств по повышению безопасности критических систем и был представлен Лаборатории Касперского. Доклад про сборщик мусора в условиях персистентной памяти представлял не только автор ОС Фантом, но и студент университета “Иннополис”. Естественно, идея использовать manage-языки для увеличения надежности систем не нова. И в докладе, на мой взгляд, важным являлось именно вовлечение студентов в проект с открытым кодом по созданию системного ПО.
Методический подход
Самым многочисленным по количеству докладов, но недооцененным подходом к повышению надежности ПО, на мой взгляд, является “методический”. Если задуматься, то выделение операционной системы в отдельную сущность было нацелено на повышение надежности ПО. Программист получил возможность переиспользовать системные службы, а не разрабатывать их заново.
Доклад по методике разработки критически важного ПО был представлен ФГУП «ГосНИИАС”. Доклад был посвящен разработке по стандарту DO-178С (КТ-178С в русском варианте). Как и в самом стандарте, в докладе было много “занудства”, но ведь когда делаешь самолет, одними фееричными идеями не обойтись, нужно кучу раз проверить, прежде чем внести малейшее изменение. В общем, один раз отмерь, семь раз отрежь, ой, наоборот, конечно. Естественно, доклад был интересен не своим “занудством”, а тем, что, был разработан инструментарий для автоматизации данного процесса, т.е. для уменьшения “занудства”.
Open-Source
Наконец, перехожу к разделу, в котором выступал Embox. Наш доклад назывался “Организация поддержки 3d-ускорения в ОСРВ на основе проектов с открытым кодом”. В нем довольно большая часть была посвящена разъяснению, причем тут надежность. Даже был слайд вида “Надежность и аппаратное 3d-ускорение”. Надежность, конечно, не в 3d-ускорении, а во фразе “на основе проектов с открытым кодом”. Суть в том, что нам удалось добавить к себе поддержку закрытого 3d ускорителя vivante, используя открытые проекты. И хотя используемый нами проект Mesa сильно завязан на интерфейс ядра Линукс, адаптация требует куда меньше усилий и содержит куда меньше строк кода, чем разработка с нуля.
Как я уже отметил, open-source — самая многочисленная категория, с которой так или иначе были связаны доклады на конференции. Например, “Базальт СПО” представил доклад о разработке средства синхронизации файлов clsync. Не буду вдаваться в технические детали, важно другое. Как указано в названии компании, инструмент СПО-шный, и после доклада последовало несколько советов, например, использовать futex-ы, на что докладчик предложил присоединиться к проекту и улучшить его самостоятельно.
Самым интересным в плане opensource, на мой взгляд, был доклад сотрудника Positive Technologies Александра Попова.
Доклад назывался: “Как STACKLEAK улучшает безопасность ядра Linux” и казалось, что он должен был посвящен рассказу об STACKLEAK и с чем его едят. Но основное время доклада было уделено теме, которая выражается во фразе из аннотации к докладу: “Данную работу Александр ведет уже год. Он поделится своим опытом взаимодействия с сообществом разработки ядра Linux”. То есть, в течении года проталкиваются полезные изменения, вовлечено много людей, изменения рассматриваются под микроскопом квалифицированными специалистами работающими в разных подсистемах ядра. Конечно, это не гарантирует полное отсутствие ошибок, но уменьшает их число, а следовательно — повышает надежность кода.
Альтернативный подход
На конференции, как и в прошлом году был представлен доклад, посвященный QP ОС. В тезисах к докладу вы можете увидеть следующее: “Защищённая операционная система QP ОС является полностью отечественной разработкой, созданной «с нуля» коллективом научно-технического предприятия «Криптософт».” В докладе тоже был озвучен принцип разработки «с нуля», причем не только операционной системы, гипервизора, сетевого стека, но и всех подсистем и пользовательских приложений, а также компилятора, виртуальной машины C#, и, я так понимаю, всех остальных средств разработки. На мой вопрос к докладчику, а как же быть с надежностью, ведь коэффициент количества ошибок на тысячу строк кода, никто не отменял. Получил ответ, что под надежностью можно понимать разные вещи, и, что для данной операционной системы надежным считается, если между двумя перезапусками она падает все реже. Уже после доклада, в кулуарах, я посоветовал взять открытый проект для обеспечения более полной поддержки samba. Но получил ответ, что это принципиальная позиция, разрабатывать все самостоятельно, с пояснением, что такой подход имеет право на жизнь. Что ж, я назвал это альтернативным подходом.
Тут нужно отметить, что на конференции была выставка, и был представлен стенд, на котором QP ОС можно было попробовать вживую. Я поигрался с их редактором, он вполне работал. На стенде подтвердили, что не заимствовали даже код библиотек для работы с xml. Кроме того, возможно, подобный подход “все «с нуля»”, происходит из сферы применения, в которой работают разработчики. Сфера эта характерна своей чрезмерной безопасностью, лучше пусть упадет, чем где-нибудь будет закладка. Правда, это не оправдывает отказ от использования открытого кода.
Жесткое реальное время
В данном разделе я не могу не сослаться на еще один доклад, как минимум потому, что докладчик сослался на мое выступление, поэтому и я в праве сделать то же самое. После моего выступления мне был задан вопрос, не мешает ли обеспечению характеристиками реального времени поддержка 3d-ускорителя, ну и вообще, является ли наш проект ОС жесткого реального времени? На последний вопрос я ответил уклончиво, поскольку время на конференции ограничено, а вопрос, что понимать под реальным временем требует достаточно серьезного разъяснения. Упомянутый докладчик выступал сразу после меня с докладом о своей ОСРВ Eremex FX-RTOS и заявил, что в отличие от нашего проекта, их ОС является системой жесткого реального времени. Признаком жесткого реального времени, по мнению докладчика, является отсутствие циклов с переменным числом итераций при заблокированных прерываниях.
Не берусь судить о том, есть ли потенциально бесконечные циклы с заблокированными прерываниями в ОСРВ FX-RTOS или нет, поскольку код закрытый, но, конечно, соглашусь с тем, что такие циклы недопустимы даже в обычных ОС, не говоря уже об ОСРВ!
Кроме того, в ходе доклада было заявлено, что разработчикам удалось полностью избежать блокировку (маскирование) прерываний, правда только на arm cortex-m, но все равно это большое достижение, что по мнению докладчика также указывает на реальное время. В дополнение докладчик достаточно долго остановился на устройстве на базе FX-RTOS, которое отвечало по интерфейсу UART за несколько миллисекунд, что опять же указывает на жесткое реальное время.
Не знаю, у кого из нас альтернативный подход к понятию “реальное время”, просто выскажу свою точку зрения. И как раз отвечу на вопрос, является ли Embox системой реального времени.
Понятие реального времени напрямую связано с предсказуемостью поведения системы при воздействии любых (как внутренних, так и внешних) факторов. Из этого и следует связь понятия реального времени с понятием надежности. Отсюда и представление, о том, что windows, как универсальная ОС, ненадежна, а операционная система реального времени (как и система, построенная на ней) надежна.
Временны́е параметры реакции — один из важнейших факторов предсказуемости, но в системах реального времени важна не столько скорость реакции, сколько разброс времени реакции, и именно он должен быть жестко ограничен. Я встречал определение, где мягкое реальное время определялось как система с малым средним значением отклика системы, а жесткое — с малым максимальным. А поскольку скорость современных процессоров сильно выросла, то время (среднее) исполнения уже не играет той роли, ведь для увеличения скорости реакции достаточно поставить более мощный процессор. Но от влияния алгоритмов и архитектуры избавиться не удается, то есть Линукс с его честным планировщиком, нацеленым на максимальную загрузку процессора, не может считаться системой реального времени. Хотя уверен, что время реакции по UART-у можно сделать достаточно маленьким, но оно будет не стабильным, ведь планировщик может решить, что нужно загрузить процессор какой-то другой задачей, и время отклика непредсказуемо увеличится. Поэтому можно сформулировать следующую характеристику операционных систем реального времени: это операционные системы которые предоставляют лучший контроль для всех своих систем, внутренних в том числе. Взять, например, ARINC-653 с его требованием в части планировщика со статическим расписанием. В этих операционных системах разработчику доступны таблицы планирования, которые он заполняет на момент разработки системы. То есть, разработчик выделяет время (тайм слоты) в общем периоде планирования каждому разделу, все прерывания отключены (кроме таймера, естественно, доступного только планировщику), и разработчик должен сделать такое временно́е расписание, чтобы каждому разделу хватило времени на решение его задачи. При этом планировщик не имеет права как-то менять это расписание.
Если задуматься, какие еще операционные системы предоставляют полный или расширенный доступ к своим “потрохам”, легко прийти к выводу, что современные проекты маленьких ОС не зря имеют гордое имя RTOS (real-time operating system). Поскольку они предоставляют этот доступ, и разработчик уже отвечает за то, чтобы конечная система, построенная на базе RTOS, отвечала всем требованиям, в том числе и предсказуемостью реакции на любое воздействие!
Что касается Embox, то мы тоже предоставляем механизмы контроля всех служб, в том числе и ядра. И с этой точки зрения, Embox — операционная система реального времени. Да, на базе Embox делались системы с MILS-архитектурой (сознательно не называю это ARINC-653, поскольку ARINC-653 — определяется сертификатом на соответствие стандарту), но точно также можно построить и другую архитектуру, которая бы гарантировала достаточную предсказуемость реакции. Один заказчик, например, проверял время реакции на осциллографе, время было с точностью до нескольких тактов процессора и ограничивалось очень жестко. Правда, система была не нагружена, из активных приложений крутился только сервер, который и реагировал на событие. Но заказчик был очень доволен результатом. Поэтому мы считаем, что говорить о реальном времени, можно только в приложении к системе в целом, и за это отвечает разработчик, а операционная система жесткого реального времени, только предоставляет механизмы достижения этого самого реального времени. Мы более аккуратны в своей классификации и у нас написано »Embox — Essential toolbox for embedded development".
Кадры решают все
Странная фраза в названии “Чему нужно учить студентов, чтобы они сразу начинали работать в российских IT-компаниях и оставались там” — это на самом деле вопрос, прозвучавший на панельной дискуссии. Проблеме обучения и образования в сфере IT была посвящена четверть конференции. Понимая всю важность и вместе с тем противоречивость проблемы, организаторы очень интересно подошли к вопросу. Прозвучало четыре доклада, по задумке организаторов, докладчики представляли собой конкурентные подходы. Так, два доклада о курсе с одним и тем же названием «Архитектура ЭВМ и язык ассемблера» на факультете ВМК МГУ. Один доклад делал Георгий Курячий, другой — Вартан Падарян. Собственно, подходы были схожи, и не важно, что в одном курсе изучался ассемблер MIPS, а в другом x86. В обоих случаях преподаватели стремились развить курс в практической области. В продолжение темы про важность практической составляющей обучения был представлен доклад Алексея Хорошилова «Конструирование ядра операционной системы». Данный курс, можно сказать, расширяет представление об архитектуре ЭВМ и позволяет студентам глубже погрузиться в ядро операционной системы. В итоге, вместо конкурирующих подходов получилось, что на факультете ВМК присуствует системный подход, то есть курсы не конкурируют, а дополняют и развивают друг друга. Собственно, так и должно быть. Также прозвучала фраза: “Чтобы научиться программировать, нужно программировать”, — которая, на мой взгляд, определяет общий принцип обучения в IT.
Еще в данной секции выступал Роман Симаков из компании ”РЭД СОФТ” с докладом “Особенности подготовки системных программистов в малых городах”. Остальные докладчики в этой секции были из Москвы, как вы, наверное, догадались.
Доклад по перечисленным проблемам очень мне (и не только мне) напомнил доклад “Ошибки в государственном надзоре за высшим образованием — главная проблема высшего образования в России” с конференции OSEDUCONF-2018 описанной мной на хабре.
Сравните:
взято со страницы с тезисами текущего доклада
1) При распределении бюджетных средств на специальность в ВУЗе учитывать количество работающих по этой специальности выпускников. Если специалисты не востребованы, то нет смысла финансировать бюджетные места. Да. Выпускники работают, платят налоги, но зарабатывают чем-то другим! Работодатель мог бы при регистрации сотрудника указывать его специальность и ВУЗ и сейчас все это очень легко агрегировать.
2) Изменить коммерческую основу образования. Платить нужно не за подготовку, а за ее результат. IT-компании могли бы заказывать обучение специалистов и оплачивать согласно результатов. Грубо говоря специалисты предприятия присутствуют на экзаменах, оценивают для себя и «подписывают акт приемки» результатов подготовки.
Взято из моего обзора доклада на Хабре
В данном докладе автор обозначил проблемы неэффективности нынешнего образования. Возможной причиной этого является забюрократизированность. Про проблему забюрократизированности сильно распространяться не буду, т.к. все, кто связан с образовательным процессом, так или иначе с ней сталкивались. Автор выразил мнение, что основной проблемой образования является то, что контролируется процесс, а не результат. То есть ВУЗу навязывают формальные требования к процессу, и именно они проверяются. Реальной же ценностью образования является востребованность его выпускников.
В обоих случаях основная мысль в том, что ВУЗ должен подготавливать успешных в своей отрасли специалистов, а не отчитываться по количеству мест. Когда автору доклада сказали, что эти идеи не новы, он обиделся, и сказал, что они оригинальные. В этом никто не сомневается, а вот тот факт, что оба доклада были представлены малыми городами (Муромом и Переславль-Залесским), наводит на мысли о том, что проблемы с распределением бюджетных денег на образование достаточно серьезны, и особенно проявляются в малых городах.
Что же касается вопроса из названия статьи, я предложил его автору не думать о том, чему же нужно учить программистов, а развивать саму IT-индустрию. Ясно, что если специалист не найдет применения своим знаниям и умениям, он уйдет туда, где они окажутся востребованы. Именно промышленность формирует требование к специалистам, а не ВУЗы и не государство. Меня поддержал докладчик из ИСП РАН, который сказал, что должно быть “триединство”: образование, наука, промышленность. Без любой из этих составляющих начинают проседать и другие части.
В дополнение сошлюсь на свою статью “Где взять программиста” в которой я постарался предложить свой подход к улучшению образования в IT.
Итоги
Подводя итоги, хочу отметить, что конференция интересна прежде всего своим разнообразием мнений и, конечно, качеством докладов. Я вообще не упомянул о целой секции по безопасности и многих других докладах, не со зла, просто рассказал, о том что было особенно интересно лично мне. А официальный отчет можно почитать тут.
Видео всех докладов с конференции, а не только упомянутых в статье можно посмотреть тут. Там еще много интересного.
Автор: abondarev