<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On 30 April 2018 at 11:14, John McCall via llvm-dev <span dir="ltr"><<a href="mailto:llvm-dev@lists.llvm.org" target="_blank">llvm-dev@lists.llvm.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">> On Apr 28, 2018, at 4:12 PM, Sanjoy Das via cfe-dev <<a href="mailto:cfe-dev@lists.llvm.org">cfe-dev@lists.llvm.org</a>> wrote:<br>
> On Thu, Apr 19, 2018 at 3:56 PM, Manoj Gupta via llvm-dev<br>
> <<a href="mailto:llvm-dev@lists.llvm.org">llvm-dev@lists.llvm.org</a>> wrote:<br>
>> My understanding is we only want to disable  the optimizations regarding<br>
>> undefined behavior<br>
>> related to null pointer deference optimizations. And address space checks<br>
>> will end up<br>
>> disabling more optimizations than needed.<br>
> <br>
> [Repeating what others have already mentioned on this thread]<br>
> <br>
> I this it is better to avoid framing this as "disable optimizations that exploit<br>
> UB" and instead frame this as "define some behavior that was undefined before".<br>
> <br>
>> I did look at some of the optimizations/transforms and there are some that<br>
>> we definitely want to keep.<br>
>> <br>
>> Just a quick example from grepping:<br>
>> lib/Transforms/Scalar/<wbr>LoopIdiomRecognize.cpp<br>
>> ...........<br>
>>             // Don't create memset_pattern16s with address spaces.<br>
>>             StorePtr->getType()-><wbr>getPointerAddressSpace() == 0 &&<br>
>>             (PatternValue = getMemSetPatternValue(<wbr>StoredVal, DL))) {<br>
>>    // It looks like we can use PatternValue!<br>
>>    return LegalStoreKind::MemsetPattern;<br>
>>  }<br>
>> <br>
>> Even worse, Sanitizers do NOT work with address spaces which is a big deal<br>
>> breaker IMO.<br>
> <br>
> IMO fixing these seems less engineering overhead in the long term than<br>
> introducing<br>
> yet another knob to the IR.<br>
> <br>
> More importantly, we should _not_ be doing these optimizations without auditing<br>
> them individually.  For instance with -fno-delete-null-pointer checks, it isn't<br>
> okay to change a memset loop to a call to llvm.memset unless we've ensured llvm<br>
> DTRT for llvm.memset and null checks (i.e. the null check in "llvm.memset(ptr,<br>
> ...); if (!ptr) {}" does not get optimized away).<br>
> <br>
>> Since address spaces and null pointers are really orthogonal issues, I would<br>
>> prefer to<br>
>> not conflate them.<br>
> <br>
> I'm not sure I agree with this.  Address spaces are a mechanism to provide<br>
> additional semantics to pointers.  In this case the additional property we<br>
> want is "address 0 may be dereferenceable", and using address spaces seems<br>
> appropriate.<br>
> <br>
>> In addition, It is already not easy to convince Linux Kernel maintainers to<br>
>> accept clang specific patches.<br>
> <br>
> Maybe I'm missing something, but I thought in this address space scheme we'd<br>
> still provide a -fno-delete-null-ptr-checks flag -- it is clang that would mark<br>
> pointers with address space n in this mode.<br>
> <br>
>> From Linux kernel maintainers POV, Clang built kernels are already "getting<br>
>> lucky". So I am not too<br>
>> worried about missing a few cases.<br>
>> I'll be glad to fix the missing cases whenever reported.<br>
> <br>
> It seems to me that adding back missing (but correct) optimizations when<br>
> reported is better than removing existing (but incorrect) optimizations when<br>
> reported.  If I were a kernel developer (which I am not) I'd rather have a<br>
> kernel that boots slower than a security vulnerability.<br>
> <br>
>> I also have some other concerns with address spaces e.g. how to pick a safe<br>
>> address space not used by<br>
>> any target e.g. many targets (in and out-of-tree) actively use non-zero<br>
>> address spaces.<br>
>> User code can also specify any address space via<br>
>> __attribute__((address_space(<wbr>N))) so mixing object<br>
>> files will be tricky in such cases.<br>
> <br>
> I think for that we can start a thread on cfe-dev and llvm-dev about reserving<br>
> address spaces.  While at it, we should reserve a range of address spaces for<br>
> LLVM middle-end use so that we can do more things like<br>
> -fno-delete-null-pointer-<wbr>checks without worrying about address space clashes.<br>
<br>
</div></div>The LLVM address space design has pushed well beyond the sensible boundaries<br>
of less-is-more and really needs some concerted effort to actually define the expected<br>
properties of different address spaces instead of a dozen different engineers applying<br>
a "don't do this optimization if the pointer is in a non-zero address space" rule to the<br>
optimizer with a shotgun.<br>
<br>
In fact, if we'd already done that, we wouldn't need any sort of address-space hack<br>
to support this request.  We'd just need a very simple audit of the places that check<br>
the "are dereferences of the zero address undefined behavior" bit to make sure that<br>
they honor it even in address space 0.  But instead that audit will be confused by a<br>
thousand places that just bail out for non-zero address spaces without further<br>
explanation.<br>
<br>
Such a design would hopefully include reserving ranges of address spaces for different<br>
purposes.  Clang is already perfectly capable of remapping address space numbers<br>
from the user-facing address_space attribute when generating IR.</blockquote><div><br></div><div>From the peanut gallery: has any thought been given to moving away from hardcoded address space numbers entirely? Abstractly it seems like an extra layer of indirection here could help (eg, we could allow IR to define address spaces that can be part of pointer types, and those could nominate which target-specific pointer representation and interpretation they use -- perhaps by name instead of by number -- as well as other properties such as whether zero is a valid address).</div></div></div></div>