:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021. (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/d0/52/d05265b738654350e7d819867affca43/0109507650.jpeg "Die Minimierung der Speichernutzung von Smart Contracts kann zu massiven Einsparungen führen. (Bild: <a href=https://pixabay.com/users/jievani-21902109/>Jievani Weerasinghe</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/d2/2bd2a2bd745944b0a97df82c87881ddd/0110190340.jpeg "Golem Network will mit zwei experimentellen Dapp-Tools das Betreiben und Verwalten dezentraler Anwendungen vereinfachen. (Bild: Golem Network)")
:quality(80)/p7i.vogel.de/wcms/97/b4/97b4512d8bdd22fc625025679b63de85/0109465154.jpeg "Kunden erwarten heute, dass Anwendungen auch auf mobilen Endgeräten funktionieren. (Bild: © – tippapatt – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/80/89/8089a443255acb4adc657bb0e64a0d69/0111553974.jpeg "Erster Blick auf Parasoft Jtest 2023.1. (Bild: Parasoft)")
:quality(80)/p7i.vogel.de/wcms/ff/f8/fff8d58054f9546032349bcfd610f977/0110367136.jpeg "Agile Softwareentwicklung lebt unter anderem vom ständigen Austausch aller Beteiligten. (Bild: <a href=https://unsplash.com/de/@jasongoodman_youxventures>Jason Goodman</a>)")
:quality(80)/p7i.vogel.de/wcms/3e/61/3e61a6ad22070f1d8239744aa90462ad/0111352868.jpeg "Der sogenannte „Renovate Bot“ aktualisiert nicht selbst, sondern stellt Merge-Requests an das Development Team. (Bild: <a href=https://pixabay.com/de/users/mohamed_hassan-5229782/>Mohamed Hassan</a>)")
:quality(80)/p7i.vogel.de/wcms/dd/8b/dd8bdf45a5452802972c54a0c54d85d6/0111382050.jpeg "Für DevOps-Teams stellt der Übergang zu modernen, Cloud-basierten Anwendungsumgebungen eine große Herausforderung dar. (Bild: <a href=https://pixabay.com/users/williamscreativity-17210051/>WilliamsCreativity</a>)")
:quality(80)/p7i.vogel.de/wcms/58/93/5893a71aa052ecf6627e61677baae7ba/0111437393.jpeg "Das rasant zunehmende Entwicklungstempo und die zunehmenden Risiken unterstreichen die Notwendigkeit für CISOs, sich mit DevSecOps zu befassen. (Bild: Rawf8 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4e/27/4e270de1acbf69555c6f8a44762de945/0111260221.jpeg "„Zabbix“ ist ein Open-Source-tool für das Monitoring von IT, egal ob diese sich im eigenen Rechenzentrum und in der Cloud. (Bild: frei lizenziert: Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/3f/b1/3fb157d253e806b0b0c38112c2a0f4af/0111495434.jpeg "CockroachDB Dedicated ist jetzt bei Microsoft Azure und damit bei den drei großen Cloud-Anbietern verfügbar. (Bild: Cockroach Labs)")
:quality(80)/p7i.vogel.de/wcms/a1/2b/a12b814d8d4e1d5ae4d9817d12f5a2d5/0110227353.jpeg "BPMN ist ein intuitives Tool, das sich zu einem Standardverfahren für die Visualisierung von Geschäftsprozess-Workflows entwickelt hat. (© NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c4/d5/c4d5f080ecab3d2f47e56105ea3de667/0111155618.jpeg "Unabhängig von der Debatte um das GPL-SaaS-Schlupfloch sollten Software-Anbieter die Lizenzen von OSS-Komponenten genau im Blick behalten. (Bild: <a href=https://pixabay.com/users/prettysleepy-2973588/>Amy</a>)")
:quality(80)/p7i.vogel.de/wcms/c4/34/c43470f304961a9a4bbd656c663c03ea/0111545788.jpeg "Der API Protection Report befasst sich mit den größten Bedrohungen für Programmierschnittstellen. (Bild: Cequence Security)")
:quality(80)/p7i.vogel.de/wcms/78/f4/78f40b9b4101d4d69308cd0d67db1ff0/0110956704.jpeg "Hobby-Entwickler? Von wegen! Open-Source-User sind meist IT-Experten aus, die Software professionell nutzen. (Bild: A.B./peopleimages.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/50/1e/501e67c0fb83d75fc4e0959b137e349b/0111403157.jpeg "Large Language Models verstehen natürliche Sprache, können übersetzen, auf Basis ihrer Daten neuen Text generieren und vieles mehr. (Bild: <a href=https://pixabay.com/users/placidplace-25572496/>Placidplace</a>)")
:quality(80)/p7i.vogel.de/wcms/ce/f6/cef6df5753a9b7f094deae13f2886740/0111581858.jpeg "Software zur Automatisierung von Aufgaben, die auf Basis von Low-Code entwickelt wurde, kann schnell in Betrieb genommen werden. Etwaige Anpassungen sind auch im Anschluss noch möglich. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/b9/b7/b9b77f53b197fc0fe1f8d288e40e4093/0111181006.jpeg "Das Ergebnis einer einzelnen Anweisung – nicht einmal schlecht. (Bild: Lang)")
:quality(80)/p7i.vogel.de/wcms/19/31/1931878346987d5f61c5ed1b967599ae/0104711006.jpeg "Datenstrukturen werden in der Regel auf die Verarbeitung durch Algorithmen hin optimiert. (Bild: Kittiphat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/67/e96797cf34887ed47068092a4289a884/0111209876.jpeg "Effizienten Code zu schreiben, ist eine große Herausforderung, der sich etliche Unternehmen gerade stellen. (Bild: <a href=https://pixabay.com/de/users/insspirito-1851261/>Garik Barseghyan</a>)")
:quality(80)/p7i.vogel.de/wcms/3f/9c/3f9cf4dfd209864515495e8e95c93d4f/0111156776.jpeg "Je nach Editor oder IDE kann die Code Completion recht mächtig sein. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
:quality(80)/p7i.vogel.de/wcms/f2/f1/f2f169cdcb2cd6e79ecb1d0a4c4cea24/0105427462.jpeg "IoT-Hersteller müssen ihre Geräte schnell und innerhalb des Budgets bereitstellen sowie gleichzeitig deren Sicherheit und Fernverwaltung gewährleisten. (Bild: Canonical)")
Open Source Debian oder Yocto – welches Linux-Buildsystem ist besser?
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
Linux-Buildsysteme erstellen eine Kombination aus dem Linux-Kernel und der für eine bestimmte Anwendung relevanten Programme. Doch welches Buildsystem ist das richtige?
Der Hintergrund von Buildsystemen erschließt sich am besten durch einen Blick auf die Historie von freien UNIX-Systemen und von Linux. Der erste wichtige Schritt in Richtung Linux-basierter Geräte, wie wir sie heute kennen, war die Gründung der Free Software Foundation und dem GNU-Projekt mit der Zielsetzung der Implementierung eines freien UNIX-Systems. Hierzu gehören zum einen der Betriebssystemkern und zum anderen alle Werkzeuge und Programme, mit denen dieser sinnvoll genutzt werden kann.
In letzterem Punkt, der Erstellung von UNIX-Programmen (wie der Shell, des Compilers und der grafischen Oberfläche) war das GNU-Projekt sehr erfolgreich. Nur die Entwicklung des Betriebssystemkerns ging sehr schleppend voran. An diesem Punkt schließt nun die Erfolgsgeschichte von Linux an. Anfang der 1990er Jahre entstand das Betriebssystem Linux, als freier UNIX-Klon. Diese Entwicklung ging sehr rasch voran, womit für das GNU-Projekt nun ein geeigneter Betriebssystemkern zur Verfügung stand.
Warum ist ein Buildsystem notwendig?
Genau diese Kombination aus Linux-OS und den freien Werkzeugen des GNU-Projektes bietet die Basis für die Linuxsysteme, die wir heute kennen. Genau genommen ist Linux also nur ein Betriebssystemkern, der für den Anwender mit den unterschiedlichsten Programmen kombiniert werden kann. Diese Kombination wird allgemein als Distribution bezeichnet. Ein Buildsystem hat also die Aufgabe, genau diese Kombination zu erstellen.
Die Anforderungen klingen zunächst sehr einfach: Ein Buildsystem dient in erster Linie dazu, eine auf einen bestimmten Anwendungszweck abgestimmte Kombination aus dem Linux Kernel und diversen Applikationen zu erstellen. Doch bei genauerer Betrachtung sind die Randbedingungen, die ein Buildsystem erfüllen muss, deutlich komplexer. Im industriellen Umfeld genügt nicht nur die einfache Erstellung einer Software, auch die Reproduzierbarkeit muss gewährleistet sein.
Gerade die Reproduzierbarkeit stellt aufgrund der oft sehr langen Produktlebenszyklen eine besondere Herausforderung dar: Solche Systeme müssen auch über einen Zeitraum von mehr als zehn Jahren reproduzierbar zu erstellen sein.
Neben den technischen Randbedingungen kommt ein weiterer Aspekt ins Spiel: Die Lizenzverwaltung. Sowohl Linux als auch die Werkzeuge des GNU-Projektes sind unter Open-Source-Lizenzen gestellt, die mit verschiedenen Pflichten verbunden sind. Eine nicht zu vernachlässigende Aufgabe eines Buildsystemes ist es, eine Auflistung der in den erzeugten Distributionen verwendeten Lizenzen zu erstellen und den Anwender bei der Erfüllung der Lizenzpflichten (etwa bei der Bereitstellung der Quelltexte verwendeter Open-Source Komponenten) zu unterstützen.
Welche Arten von Buildsystemen gibt es?
Neben den konkreten Umsetzungen eines Buildsystems sind zunächst zwei Unterschiedliche Ansätze zu betrachten: Sourcecodebasierte und Binärcode- (basierte) Systeme. Sourcebasierte Systeme erstellen eine Distribution komplett aus den Quellen (es werden immer alle Quellen neu übersetzt), während Binärsysteme eine Distribution aus vorkompilierten Paketen generieren. Vertreter aus beiden Lagern gibt es wie Sand am Meer. Es gibt allerdings zwei Systeme, die sich im industriellen Umfeld mehr und mehr durchsetzen: Yocto als Vertreter sourcebasierter Buildsysteme und die Ansätze, die auf der Linux-Distribution Debian aufsetzen.
Bei Yocto handelt es sich um ein Projekt, das mehrere Tools umfasst, mit der Zielsetzung einen Werkzeugkasten zur Erstellung einer Linux Distribution bereitzustellen. Dieser beinhaltet bereits eine Beispieldistribution mit dem Namen „Poky“. Yocto und seine Referenzimplementierung Poky haben sich bei einem Großteil der Hardwarehersteller mittlerweile als Standard durchgesetzt, um den Anwendern der Hardware eine einheitlich Umgebung zum Erstellen angepasster Linux-Distributionen für Ihre Systeme zu bieten. Wobei hier weniger die Distribution im Vordergrund steht, sondern eher ein schnelles Ausprobieren der Hardware unter Linux mit der Kundenapplikation. Dass hierbei eine Distribution abfällt, wird gerne als Nebeneffekt mitgenommen.
Yocto hat in sehr hohem Maße zur Standardisierung beigetragen, denn noch vor nicht allzu langer Zeit haben die meisten Hersteller eigene Buildsysteme gepflegt. Allerdings müssen an dieser Stelle einige Fehlinterpretationen im Bezug auf Yocto klargestellt werden: Yocto ist ein Baukasten zum Erstellen einer eigenen Linux-Distribution, nicht mehr und nicht weniger. Sehr häufig wird Yocto als Entwicklungssystem und als Lösung zur Pflege von Hardwarevarianten betrachtet.
Selbstverständlich bietet Yocto die Möglichkeit, auch eine Toolchain und eine Entwicklungsumgebung für den Applikationsentwickler zu erstellen, aber hier hat Yocto ganz klar zwei Rollen definiert: Den Applikationsentwickler und den Integrator. Der Applikationsentwickler kann die mit Yocto erstellten Werkzeuge nutzen, um seine Anwendung zu erstellen und zu debuggen. Das Ergebnis dieser Arbeit wird vom Integrator dann mit Yocto in ein auf die Zielhardware abgestimmtes Linux eingebunden, was nun genau die Aufgaben eines Buildsystems widerspiegelt.
Auch für die Variantenpflege stellt Yocto einige clevere Mechanismen bereit, wie zum Beispiel ein Layer-Konzept. Allerdings bietet Yocto an dieser Stelle nur die notwendige Methodik an; die Aufteilung, wie nun genau mit Varianten umgegangen werden soll, liegt in der Hand des Anwenders.
Welche Debian-basierten Buildsysteme gibt es?
Debian ist in erster Linie eine bereits existierende, auf Binärpaketen basierende Distribution (aber nicht nur das – Debian erlaubt es selbstverständlich auch, aus dem Quellcode alle benötigten Pakete selber zu bauen). Herzstück der Distribution ist das Paketmanagement, das sich um die Installation von Binärpaketen, die Verwaltung von Paketquellen und die Berücksichtigung von Abhängigkeiten zwischen Paketen kümmert.
Im Gegensatz zu vielen anderen Distributionen, die ursprünglich aus dem Desktop-Bereich kommen, stellt Debian auch Binärpakete für eine Vielzahl von CPU-Architekturen zur Verfügung. Neben x86 (32-bit und 64-bit) sind das unter anderem: Power PC, ARM mit und ohne Hardware Floating Point und MIPS, was Debian somit auch für die meisten Embedded-Plattformen interessant macht. Vorteile von Debian sind die enorme Entwicklergemeinde, die Langlebigkeit der Technik (Debian existiert seit mehr als 20 Jahren) und die fast unbegrenzte Auswahl an Softwarepaketen. Weiterhin sind viele Mechanismen aus dem Desktop oder Serverbereich durchaus auch im industriellen Umfeld von großem Nutzen.
So kann das Paketmanagement zum Beispiel zum Einspielen von Updates verwendet werden und mit signierten Paketquellen lässt sich auch prüfen, ob die eingespielte Software tatsächlich vom richtigen Anbieter kommt. Nun ist Debian an sich eine bereits existierende Distribution mit einer großen Paketauswahl, die im industriellen Umfeld genutzt werden kann.
Ein Buildsystem, das sich diese Technik zu Nutze macht, ist zum Beispiel ELBE (Embedded Linux Build Environment, http://elbe-rfs.org). ELBE deckt alle Anforderungen an ein Buildsystem ab und dient zum reproduzierbaren erstellen Debian-basierter Systeme für eine bestimmte Hardware (unter Berücksichtigung aller wichtigen Teilaspekte, wie zum Beispiel dem Lizenzmanagement).
Vor- und Nachteile der verschiedenen Ansätze
Beide hier vorgestellten Ansätze haben ihre Vorzüge, aber auch ihre Nachteile. So kann beim Yocto Ansatz zum Beispiel jeder Compile-Parameter beeinflusst werden, während bei Debian basierten Ansätzen zunächst vorkompilierte Pakete verwendet werden (die für 98 Prozent der Anwendungsfälle problemlos nutzbar sind). Im Gegenzug haben sourcebasierte Systeme (also Yocto) auch einige Probleme. Das Cross-Kompilieren der einzelnen Komponenten ist nicht ganz trivial und für die meisten Open-Source-Projekte sind Anpassungen erforderlich, damit sich diese überhaupt cross-kompilieren lassen. Die Wartung und Pflege dieser Anpassungen ist Aufgabe des jeweiligen Buildsystems, was sehr häufig zu einer eher eingeschränkten Paketauswahl führt.
Ein weiterer Nachteil des Cross-Kompilierens sind die relativ großen Abhängigkeiten zum Host-System, was gerade im Hinblick auf die Reproduzierbarkeit große Einschränkungen mit sich bringen kann. Diese Arbeit wird auf Debian-Seite von der großen Entwicklergemeinde erledigt, womit sich Debian-basierte Buildsysteme nicht mehr um diese Themenstellung kümmern müssen. Dem Anwender steht also die komplette Paketauswahl zur Verfügung. In der Debian-Entwicklergemeinde steckt darüber hinaus noch ein weiterer Vorteil: Sie bekommen alle Pakete aus einer Hand.
Yoctos Layerkonzept wird von den jeweiligen Hardwareherstellern üblicherweise zum Einbringen eigener Anpassungen genutzt. Für den Endanwender stellt sich Yocto also immer als eine Kombination aus dem Yocto-Projekt und den Erweiterungen eines oder mehrerer Drittanbieter dar. Die Qualität und auch die Art der Umsetzung solcher Layer kann durchaus sehr unterschiedlich sein. Yocto ist also nicht zwingend gleich Yocto.
Allerdings haben Debian-basierte Systeme eine gewisse Größenanforderung. Sofern das Paketmanagement auf dem Zielsystem genutzt werden soll, sind 32 bis 64 MB Datenspeicher erforderlich, während mit Yocto-basierten Ansätzen auch deutlich kleinere Speichergrößen bedient werden können.
Themen wie das Lizenzmanagement werden von beiden Systemen ähnlich komfortabel gelöst. Yocto unterstützt hier das sogenannte SPDX-Format zur Weitergabe von Lizenzen und auch Debian stellt ein automatisch parsbares Format bereit, das weitestgehend mit dem SPDX-Format kompatibel ist.
Security-Aspekte der einzelnen Buildsysteme
Neben den bereits beschriebenen Vor- und Nachteilen der jeweiligen Buildsysteme ist noch ein anderer Aspekt zu beleuchten: Security. Auch industrielle Geräte sind zunehmend vernetzt und somit einer Vielzahl möglicher Angriffsszenarien ausgesetzt. Folglich ist die Pflege der verwendeten Softwarepakete ein wichtiger Bestandteil eines Sicherheitskonzeptes. Hier kann Debian den Vorteil seiner Community und seiner starken Entwicklergemeinde ausspielen. Während Yocto in halbjährlichen Releases gepflegt wird, kümmert sich auf Debian-Seite ein Sicherheitsteam stetig um die Bereitstellung von Bugfixes für sicherheitskritische Probleme.
Die Frage nach dem richtigen Buildsystem läßt sich nicht pauschal mit einer Empfehlung beantworten. Vielmehr gilt es, in jedem Anwendungsfall die Anforderungen zu Beleuchten und diese auf ein geeignetes Buildsystem abzubilden (zum Beispiel die Speichergröße, Security-Aspekte, die Paketauswahl und dergleichen).
Während Yocto im Bereich von Compiler-Optimierungen und der einfachen Generierung einer Entwicklungsumgebung punkten kann, liegen die Vorteile von Debian und den darauf aufsetzenden Buildsystemen in der enorm großen Paketauswahl, in der Langlebigkeit und der Pflege der bereitgestellten Software. Die Themen Security und Reproduzierbarkeit sind weitere Punkte, die bei Debian positiv hervorzuheben sind.
Unabhängig von der ausgewählten Technologie sollten die Anforderungen an das Buildsystem grundsätzlich nicht mit generellen Anforderungen an den Entwicklungsprozess vermischt werden. Um Themen wie beispielsweise die Variantenpflege zu lösen, muss ein Buildsystem zwar passende Mechanismen bereitstellen. Die Lösung an sich ist aber eine konzeptionelle Arbeit und kann vom Buildsystem nicht abgenommen werden.
Eindeutige Sieger gibt es nicht
Die Frage nach dem richtigen Buildsystem läßt sich nicht pauschal mit einer Empfehlung beantworten. Vielmehr gilt es, in jedem Anwendungsfall die Anforderungen zu Beleuchten und diese auf ein geeignetes Buildsystem abzubilden. Dazu zählen etwa die Speichergröße, Sicherheitsaspekte oder die Paketauswahl.
Während Yocto bei Compiler-Optimierungen und der einfachen Generierung einer Entwicklungsumgebung punkten kann, liegen die Vorteile von Debian und den darauf aufsetzenden Buildsystemen in der großen Paketauswahl, in der Langlebigkeit und der Pflege der erstellten Software. Auch die Themen Security und Reproduzierbarkeit sind bei Debian positiv zu bewerten.
Dieser Beitrag ist ursprünglich auf unserem Schwesterportal Elektronikpraxis.de erschienen.
* Jan Altenberg ist seit 2007 für Linutronix tätig. Seine Aufgaben umfassen die Leitung des Bereichs Schulung und die technische Projektleitung.
(ID:44415472)
:quality(80)/images.vogel.de/vogelonline/bdb/1929800/1929856/original.jpg "Linux-Trainer und Best-Speaker-Preisträger: Wer Andreas Klinger noch nicht gehört hat, der hat auch noch nicht alles über Linux gehört. Mit didaktischem Geschick, großer Leidenschaft und unverwechselbarem Akzent „brennt“ der Ur-Bayer die Basics und Feinheiten von Linux in die Köpfe der Entwickler. (Vogel Communications Group)")
:quality(80)/images.vogel.de/vogelonline/bdb/1952400/1952473/original.jpg "Wer Daten auf Linux-Servern sichern will, hat mehrere Möglichkeiten. Wir zeigen einige der wichtigsten. (gemeinfrei)")