<div dir="ltr">Hi Rui,<div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><span style="font-size:13px">LLVM's pass can crash if the previous pass is buggy.</span></blockquote><div><span style="font-size:13px"><br></span></div><div><span style="font-size:13px">That's a bug that should be fixed in the previous pass.</span></div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><span style="font-size:13px">What we can do is set a boundary and make best effort to guarantee that as long as you are within the boundary, we handle any input in some reasonable way.</span></blockquote><div><br></div><div>That boundary is usually user input. We assume that the program's memory hasn't been compromised, but anything the user puts in should be treated with suspicion. Would you use a browser that didn't check for buffer overruns?</div><div><br></div><div>Part of the problem is that we assume the linker is being used in a context where the input can be trusted. A lot of the time that's true, but assuming it limits the contexts in which LLD could be used. For example, you couldn't use LLD as the linker in a build-farm if it crashed on malformed input - what's to stop someone uploading a malformed ELF file and tricking the linker into sniffing other projects being built on the same server? </div><div><br></div><div>Cheers,</div><div>Lang. <br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Mar 21, 2016 at 4:56 PM, Rui Ueyama via llvm-dev <span dir="ltr"><<a href="mailto:llvm-dev@lists.llvm.org" target="_blank">llvm-dev@lists.llvm.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><span class="">On Tue, Mar 22, 2016 at 12:46 AM, David Blaikie <span dir="ltr"><<a href="mailto:dblaikie@gmail.com" target="_blank">dblaikie@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote"><span>On Mon, Mar 21, 2016 at 4:42 PM, Rui Ueyama <span dir="ltr"><<a href="mailto:ruiu@google.com" target="_blank">ruiu@google.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><span>On Tue, Mar 22, 2016 at 12:32 AM, David Blaikie <span dir="ltr"><<a href="mailto:dblaikie@gmail.com" target="_blank">dblaikie@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote"><span>On Mon, Mar 21, 2016 at 4:21 PM, Rui Ueyama <span dir="ltr"><<a href="mailto:ruiu@google.com" target="_blank">ruiu@google.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">From the user's point of view, I think it's still the same. As long as LLVM is guaranteed to be undefined behavior-free (including any unknown bugs), users are not guaranteed from getting undefined outputs. (And please keep it in mind that we are talking about rare cases such as you created ELF files by your own by hand or with a buggy tool.)</div></blockquote><div><br></div></span><div>The same is true of any software (all software has bugs) - including the software outside that would be forking a subprocess to run lld, no?</div><div><br></div><div>With LLVM we consider these bugs and fix them (or at least pretty much without question accept patches to fix them at least). It seems like the bar for getting such a patch into LLD is being set much higher - this seems problematic to me at least.<br><br>A library doesn't have to be guaranteed to be free of bugs to be a library - that seems like an unrealistic standard (& one not present in any other project that I know of)<br><br>In any case, I'm talking about just LLD itself when I'm expressing concern about "not a bug UB". It seems very different for the user of lld at the command line between "this program will give a short error and exit(1)" and "this program has known/intended undefined behavior". Even on uncommon inputs.</div></div></div></div></blockquote><div><br></div></span><div>As long as you can't prove that a program has no UB bug, you cannot say that "this program has no undefined behavior." From the user's point of view, it is still UB even if it is known to developers and fixed in earlier version.</div></div></div></div></blockquote><div><br></div></span><div>Then pretty much all software and all libraries do not meet the bar you are describing - so do so many try to fix these bugs? And if such a program or library is willing to say "we'll fix bugs if we find them" and wants to use lld - wouldn't it be reasonable to support them? Since that's pretty much the bar to which most most software is developed.</div></div></div></div></blockquote><div><br></div></span><div>A kernel is allowed (and choose to) crash with panic() if a device behaves weirdly. LLVM's pass can crash if the previous pass is buggy. Many regexp engines goes into virtually infinite loops if you give malicious regexp. And any program can do anything weird if there is a bug. What we can do is set a boundary and make best effort to guarantee that as long as you are within the boundary, we handle any input in some reasonable way. This is what we do -- and other programs do. And where the boundary should be set depends on program.</div><div><div class="h5"><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><div> </div><span><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><div><br></div><div>Again, I'd like to emphasize that we are talking about ill-formed ELF header or something. If you are intentionally trying to break the linker, I'd say "don't do that." As long as your input is not corrupted in terms of file formatting, LLD behaves definitely (as far as we can guarantee.)</div></div></div></div></blockquote><div><br></div></span><div>Right - all we're asking for is the same guarantee (not a very strong guarantee - you haven't provide it's defined for all valid inputs, I'm sure (formal proofs are really expensive, and buggy, and even fuzzing just helps it doesn't guarantee)) for other inputs - in both cases we know it's not an iron clad guarantee/proven truth.<br></div><div><div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><div><div><div><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><div><span><font color="#888888"><br>- David</font></span></div><div><div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Mar 22, 2016 at 12:02 AM, David Blaikie <span dir="ltr"><<a href="mailto:dblaikie@gmail.com" target="_blank">dblaikie@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote"><div><div>On Mon, Mar 21, 2016 at 2:54 PM, Rui Ueyama <span dir="ltr"><<a href="mailto:ruiu@google.com" target="_blank">ruiu@google.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><div><div>On Mon, Mar 21, 2016 at 10:49 PM, David Blaikie via llvm-dev <span dir="ltr"><<a href="mailto:llvm-dev@lists.llvm.org" target="_blank">llvm-dev@lists.llvm.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote"><span>On Mon, Mar 21, 2016 at 2:46 PM, Rafael Espíndola <span dir="ltr"><<a href="mailto:llvm-dev@lists.llvm.org" target="_blank">llvm-dev@lists.llvm.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 21 March 2016 at 17:34, Tim Northover via llvm-dev<br>
<span><<a href="mailto:llvm-dev@lists.llvm.org" target="_blank">llvm-dev@lists.llvm.org</a>> wrote:<br>
>> My understanding is that clang and llvm themselves are designed this way<br>
>> (crash when the unexpected happens).<br>
><br>
> I don't think so. I'd view any Clang crash as a bug (probably to be<br>
> prioritised below silent CodeGen and many others, but not "working as<br>
> designed").<br>
><br>
>> For example the fact that clang forks itself to be able to report diagnostics<br>
><br>
> That seems like just trying to make our own job easier to me. I think<br>
> the entire point of the fork is to get a backtrace we can fix, and<br>
> point out where the user should send it.<br>
><br>
>> llvm is full of report_fatal_error() (or worse, assertions that can fire on unexpected user input).<br>
><br>
> A bit of a grey area since LLVM isn't itself a user-facing tool, but I<br>
> think I'd still say that a report_fatal_error that's not actionable by<br>
> the user is actually an LLVM bug. And a segfault definitely so.<br>
<br>
</span>It is completely trivial to crash llvm. A case I wrote today in<br>
another thread while waiting for tests to run:<br>
<br>
target triple = "x86_64-unknown-linux-gnu"<br>
@".data" = global i32 42<br>
<br>
That will crash "llc -filetype=obj". The fact that it is considered a<br>
bug doesn't mean much if there is no coordinated effort to fix them.<br></blockquote><div><br></div></span><div>I think it does, actually - that patches will be accepted to fix pretty much any crash in LLVM. (llc isn't a user facing tool, so that's a praticularly low priority - but as a general library (I assume your example also crashes Clang, which would be where this would surface in a more important way) it's pretty well accepted that crashes are bugs, I think)</div><span><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Right now lld is already harder to crash than llvm. We are just being<br>
honest about the fact that it is possible to craft a .o file that will<br>
crash it.<br></blockquote><div><br></div></span><div>But the difference seems to be you know about these cases and don't consider them to be bugs/anything to fix. In LLVM if they're known, they're at least considered bugs and often/usually considered by someone to be worth fixing at some point.<br></div></div></div></div></blockquote><div><br></div></div></div><div>I think this is the same from the user's point of view. If LLVM is not crash-bug-free in the version you are using, you need some precaution such as forking in order to protect your program from crashing if you need 100% guarantee.</div></div></div></div></blockquote><div><br></div></div></div><div>Crashes seem very different from a user's point of view - does the program execute undefined behavior (potentially silently producing output and exiting 0) or does it have well defined behavior (even if that behavior is "print an error and exit(1)").</div><span><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><span><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><div>- Dave</div><span><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
Cheers,<br>
Rafael<br>
<div><div>_______________________________________________<br>
LLVM Developers mailing list<br>
<a href="mailto:llvm-dev@lists.llvm.org" target="_blank">llvm-dev@lists.llvm.org</a><br>
<a href="http://lists.llvm.org/cgi-bin/mailman/listinfo/llvm-dev" rel="noreferrer" target="_blank">http://lists.llvm.org/cgi-bin/mailman/listinfo/llvm-dev</a><br>
</div></div></blockquote></span></div><br></div></div>
<br>_______________________________________________<br>
LLVM Developers mailing list<br>
<a href="mailto:llvm-dev@lists.llvm.org" target="_blank">llvm-dev@lists.llvm.org</a><br>
<a href="http://lists.llvm.org/cgi-bin/mailman/listinfo/llvm-dev" rel="noreferrer" target="_blank">http://lists.llvm.org/cgi-bin/mailman/listinfo/llvm-dev</a><br>
<br></blockquote></span></div><br></div></div>
</blockquote></span></div><br></div></div>
</blockquote></div><br></div></div></div></div>
</blockquote></div></div></div><br></div></div>
</blockquote></div></div></div><br></div></div>
</blockquote></div></div></div><br></div></div>
</blockquote></div></div></div><br></div></div>
<br>_______________________________________________<br>
LLVM Developers mailing list<br>
<a href="mailto:llvm-dev@lists.llvm.org">llvm-dev@lists.llvm.org</a><br>
<a href="http://lists.llvm.org/cgi-bin/mailman/listinfo/llvm-dev" rel="noreferrer" target="_blank">http://lists.llvm.org/cgi-bin/mailman/listinfo/llvm-dev</a><br>
<br></blockquote></div><br></div>