<div dir="ltr">Hi Rui,<div><br></div><div>Yep. "Verifying up front" is an oversimplification. I don't know the details of Kevin's original scheme in CCTools, but I'm imagining that we would provide coarse-grained verification for different portions of the object file (e.g. verification of all load commands, verification of symbol tables, verification of relocations for a section), while providing accessors that assume a well-formed data structure. If/when verification gets run would be up to the tools that use the class. For the linker you could defer most of the verification until you know an object file will actually be used. If the linker is consuming trusted input from the compiler you might forgo verification altogether (that's analogous to how we treat IR, as Sean pointed out). On the other hand, something like llvm-objdump might run all verification up front, since it's not time-sensitive, and it's nice to be able warned loudly about malformed objects even if the portion you asked about wasn't malformed.</div><div><br></div><div>As for the impact on library design: Any library interface that can't assume good input is going to have some sort of error return. None of this affects that fundamental requirement, but it might change the granularity of error-checking within the library.</div><div><br></div><div>Cheers,</div><div>Lang.</div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Jan 13, 2016 at 7:07 PM, Rui Ueyama <span dir="ltr"><<a href="mailto:ruiu@google.com" target="_blank">ruiu@google.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><span class="">On Wed, Jan 13, 2016 at 6:03 PM, Lang Hames <span dir="ltr"><<a href="mailto:lhames@gmail.com" target="_blank">lhames@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><span>> <span style="color:rgb(80,0,80)">So the situation for LLD being used as a library is analogous to LLVM IR libraries being used from clang. In general, clang knows that it just generated the IR and that the IR is correct (otherwise it would be a bug in clang), and thus it disables the verifier.</span><div><br></div></span><div>That sounds good, but we can only usually trust our inputs. There are still some awfully crusty object files out in the world, so we need to verify any objects coming in from disk, and at least as it applies to libObject that doesn't fit the current lazy error handling scheme.</div><div><div class="gmail_extra"><br></div><div class="gmail_extra">FWIW I believe Kevin Enderby has used a similar up-front object verification scheme before in CCTools, and we may end up implementing something like that again if we do a custom MachO class (and relegate MachOObjectFile to a view).</div></div></div></blockquote><div><br></div></span><div>I'd imagine that verifying all input object files beforehand at the start of linking would be a significant overhead since it reads all data whether it will be used or not. For example, such safeguard would read all relocations for comdat functions which will be uniquified and discarded by the linker. So if we take this pass, I guess we don't want to have the verifier as a part of the linker, but instead create that as an independent feature (probably in libObject), and we call the verifier only for object files that can be broken (e.g. read from disk instead of created by LLVM itself.)</div><div><div class="h5"><div><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><span><font color="#888888"><div class="gmail_extra"><br></div><div class="gmail_extra">- Lang.</div></font></span><div><div><div class="gmail_extra"><br></div><div class="gmail_extra"><div class="gmail_quote">On Wed, Jan 13, 2016 at 4:41 PM, Rui Ueyama via llvm-dev <span dir="ltr"><<a href="mailto:llvm-dev@lists.llvm.org" target="_blank">llvm-dev@lists.llvm.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div dir="ltr">Having perfectly consistent object files does not necessarily mean that the linker is always able to link them because of various higher layer errors such as failing to resolve symbols. But yes, if you consider a compiler and the linker as one system, we can handle corrupted file as an internal error that should never happen, and I think most of error() calls are for such errors.</div><div><div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Jan 13, 2016 at 4:29 PM, Sean Silva <span dir="ltr"><<a href="mailto:chisophugis@gmail.com" target="_blank">chisophugis@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote"><div><div>On Thu, Jan 7, 2016 at 6:07 PM, Rui Ueyama via llvm-dev <span dir="ltr"><<a href="mailto:llvm-dev@lists.llvm.org" target="_blank">llvm-dev@lists.llvm.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><div><div>On Thu, Jan 7, 2016 at 5:12 PM, Chandler Carruth <span dir="ltr"><<a href="mailto:chandlerc@gmail.com" target="_blank">chandlerc@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div dir="ltr"><div class="gmail_quote"><span><div dir="ltr">On Thu, Jan 7, 2016 at 4:05 PM Rui Ueyama <<a href="mailto:ruiu@google.com" target="_blank">ruiu@google.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div dir="ltr">By organizing it as a library, I'm expecting something coarse. I don't expect to reorganize the linker itself as a collection of small libraries, but make the entire linker available as a library, so that you can link stuff in-process. More specifically, I expect that the library would basically export one function, link(std::vector<StringRef>), which takes command line arguments, and returns a memory buffer for a newly created executable. We may want to allow a mix of StringRef and MemoryBuffer as input, so that you can directly pass in-memory objects to the linker, but the basic idea remains the same.<div><br></div><div>Are we on the same page?</div></div></blockquote><div><br></div></span><div>Let me answer this below, where I think you get to the core of the problem.</div><div><div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><br><div class="gmail_quote"></div></div></div><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Thu, Jan 7, 2016 at 3:44 PM, Chandler Carruth <span dir="ltr"><<a href="mailto:chandlerc@gmail.com" target="_blank">chandlerc@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div dir="ltr"><div class="gmail_quote"><span><div dir="ltr">On Thu, Jan 7, 2016 at 3:18 PM Rui Ueyama <<a href="mailto:ruiu@google.com" target="_blank">ruiu@google.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Thu, Jan 7, 2016 at 2:56 PM, Chandler Carruth <span dir="ltr"><<a href="mailto:chandlerc@gmail.com" target="_blank">chandlerc@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div dir="ltr"><div class="gmail_quote"><span><div dir="ltr">On Thu, Jan 7, 2016 at 7:18 AM Rui Ueyama via llvm-dev <<a href="mailto:llvm-dev@lists.llvm.org" target="_blank">llvm-dev@lists.llvm.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra">On Thu, Jan 7, 2016 at 7:03 AM, Arseny Kapoulkine via llvm-dev <span dir="ltr"><<a href="mailto:llvm-dev@lists.llvm.org" target="_blank">llvm-dev@lists.llvm.org</a>></span> wrote:<br></div></div><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div dir="ltr">In the process of migrating from old lld ELF linker to new (previously ELF2) I noticed the interface lost several important features (ordered by importance for my use case):<div><br></div><div><div>1. Detecting errors in the first place. New linker seems to call exit(1) for any error.</div></div><div><br></div><div>2. Reporting messages to non-stderr outputs. Previously all link functions had a raw_ostream argument so it was possible to delay the error output, aggregate it for multiple linked files, output via a different format, etc.</div><div><br></div><div>3. Linking multiple outputs in parallel (useful for test drivers) in a single process. Not really an interface issue but there are at least two global pointers (Config & Driver) that refer to stack variables and are used in various places in the code.</div><div><br></div><div>All of this seems to indicate a departure from the linker being useable as a library. To maintain the previous behavior you'd have to use a linker binary & popen.</div><div><br></div><div>Is this a conscious design decision or a temporary limitation?</div></div></blockquote><div><br></div></div></div></div><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><div>That the new ELF and COFF linkers are designed as commands instead of libraries is very much an intended design change.</div></div></div></div></blockquote><div><br></div></span><div>I disagree.</div><div><br></div><div>During the discussion, there was a *specific* discussion of both the new COFF port and ELF port continuing to be libraries with a common command line driver.</div></div></div></blockquote><div><br></div></div></div></div><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><div>There was a discussion that we would keep the same entry point for the old and the new, but I don't remember if I promised that we were going to organize the new linker as a library.</div></div></div></div></blockquote><div><br></div></span><div>Ok, myself and essentially everyone else thought this was clear. If it isn't lets clarify:</div><div><br></div><div>I think it is absolutely critical and important that LLD's architecture remain one where all functionality is available as a library. This is *the* design goal of LLVM and all of LLVM's infrastructure. This applies just as much to LLD as it does to Clang.</div><div><br></div><div>You say that it isn't compelling to match Clang's design, but in fact it is. You would need an overwhelming argument to *diverge* from Clang's design.</div><div><br></div><div>The fact that it makes the design more challenging is not compelling at all. Yes, building libraries that can be re-used and making the binary calling it equally efficient is more challenging, but that is the express mission of LLVM and every project within it.</div><span><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><div> The new one is designed as a command from day one. (Precisely speaking, the original code propagates errors all the way up to the entry point, so you can call it and expect it to always return. Rafael introduced error() function later and we now depends on that function does not return.)</div></div></div></div></blockquote><div><br></div></span><div>I think this last was a mistake.</div><div><br></div><div>The fact that the code propagates errors all the way up is fine, and even good. We don't necessarily need to be able to *recover* from link errors and try some other path.</div><div><br></div><div>But we absolutely need the design to be a *library* that can be embedded into other programs and tools. I can't even begin to count the use cases for this.</div><div><br></div><div>So please, let's go back to where we *do not* rely on never-returning error handling. That is an absolute mistake.</div><span><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div dir="ltr"><div class="gmail_quote"><div>If you want to consider changing that, we should have a fresh (and broad) discussion, but it goes pretty firmly against the design of the entire LLVM project. I also don't really understand why it would be beneficial.</div></div></div>
</blockquote></div></div></div><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"></div><br></div><div class="gmail_extra">I'm not against organizing it as a library as long as it does not make things too complicated</div></div></blockquote><div><br></div></span><div>I am certain that it will make things more complicated, but that is the technical challenge that we must overcome. It will be hard, but I am absolutely confident it is possible to have an elegant library design here. It may not be as simple as a pure command line tool, but it will be *dramatically* more powerful, general, and broadly applicable.</div><div><br></div><div>The design of LLVM is not the simplest way to build a compiler. But it is valuable to all of those working on it precisely because of this flexibility imparted by its library oriented design. This is absolutely not something that we should lose from the linker.</div><span><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra">, and I guess reorganizing the existing code as a library is relatively easy because it's still pretty small, but I don't really want to focus on that until it becomes usable as an alternative to GNU ld or gold. I want to focus on the linker features themselves at this moment. Once it's complete, it becomes more clear how to organize it.</div></div></blockquote><div><br></div></span><div>Ok, now we're talking about something totally reasonable.</div><div><br></div><div>If it is easier for you all to develop this first as a command line tool, and then make it work as a library, sure, go for it. You're doing the work, I can hardly tell you how to go about it. ;]</div></div></div></blockquote><div><br></div></div></div></div><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><div>It is not only easier for me to develop but is also super important for avoiding over-designing the API of the library. Until we know what we need to do and what can be done, it is too easy to make mistake to design API that is supposed to cover everything -- including hypothetical unrealistic ones. Such API would slow down the development speed significantly, and it's a pain when we abandon that when we realize that that was not needed.</div></div></div></div></blockquote><div><br></div></div></div><div>I'm very sympathetic to the problem of not wanting to design an API until the concrete use cases for it appear. That makes perfect sense.</div><div><br></div><div>We just need to be *ready* to extend the library API (and potentially find a more fine grained layering if one is actually called for) when a reasonable and real use case arises for some users of LLD. Once we have people that actually have a use case and want to introduce a certain interface to the library that supports it, we need to work with them to figure out how to effectively support their use case.</div><div><br></div><div>At the least, we clearly need the super simple interface[1] that the command line tool would use, but an in-process linker could also probably use.</div></div></div></blockquote><div><br></div></div></div><div>Okay. I understood that fairly large number of people want to use the linker without starting a new process even if it just provides super simple interface which is essentially equivalent to command line options. That can be done by removing a few global variables and sprinkle ErrorOr<> in many places, so that you can call the linker's main() function from your program. That's bothersome but should not be that painful. I put it on my todo list. It's not at the top of the list, but I recognize the need and will do at some point. Current top priorities are speed and achieving feature parity with GNU -- we are tying to create a linker which everybody wants to switch. Library design probably comes next. (And I guess if we succeed on the former, the degree of the latter need raises, since more people would want to use our linker.)</div></div></div></div></blockquote><div><br></div><div><br></div></div></div><div>I remember talking with Rafael about some topics similar to what is in this thread, and he pointed out something that I think is very important: all the inputs to the linker are generated by other programs.</div><div>So the situation for LLD being used as a library is analogous to LLVM IR libraries being used from clang. In general, clang knows that it just generated the IR and that the IR is correct (otherwise it would be a bug in clang), and thus it disables the verifier.</div><div>I suspect a number of the uses of "noreturn" error handling situations will be pretty much in line with LLVM's traditional use of report_fatal_error (which is essentially the same thing), and so we won't need to thread ErrorOr through quite as many places as we might initially suspect.</div><span><font color="#888888"><div><br></div><div>-- Sean Silva</div><div><br></div></font></span><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><span><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><span><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div dir="ltr"><div class="gmail_quote"><div>We might need minor extensions to effectively support Arseny's use case (I think an in-process linker is a *very* reasonable thing to support, I'd even like to teach the Clang driver to optionally work that way to be more efficient on platforms like Windows). But I have to imagine that the interface for an in-process static linker and the command line linker are extremely similar if not precisely the same.</div><div><br></div><div>At some point, it might also make sense to support more interesting linking scenarios such as linking a PIC "shared object" that can be mapped into the running process for JIT users. But I think it is reasonable to build the interface that those users need when those users are ready to leverage LLD. That way we can work with them to make sure we don't build the wrong interface or an overly complicated one (as you say).</div></div></div></blockquote><div><br></div></span><div>I can imagine that there may be a chance to support such API in future, but I honestly don't know enough to say whether it makes sense or not at this moment. Linking against the current process image is pretty different from regular static linking, so most part of the linker is probably not useful. Some part of relocation handling might be found useful, but it is too early to say anything about that. We should revisit when the linker become mature and an actual need arises.</div></div></div></div>
<br></span><span>_______________________________________________<br>
LLVM Developers mailing list<br>
<a href="mailto:llvm-dev@lists.llvm.org" target="_blank">llvm-dev@lists.llvm.org</a><br>
<a href="http://lists.llvm.org/cgi-bin/mailman/listinfo/llvm-dev" rel="noreferrer" target="_blank">http://lists.llvm.org/cgi-bin/mailman/listinfo/llvm-dev</a><br>
<br></span></blockquote></div><br></div></div>
</blockquote></div><br></div>
</div></div><br>_______________________________________________<br>
LLVM Developers mailing list<br>
<a href="mailto:llvm-dev@lists.llvm.org" target="_blank">llvm-dev@lists.llvm.org</a><br>
<a href="http://lists.llvm.org/cgi-bin/mailman/listinfo/llvm-dev" rel="noreferrer" target="_blank">http://lists.llvm.org/cgi-bin/mailman/listinfo/llvm-dev</a><br>
<br></blockquote></div><br></div></div></div></div></div>
</blockquote></div></div></div><br></div></div>
</blockquote></div><br></div>