<div dir="ltr"><span style="font-size:13px">Hi Rafael,</span><div><span style="font-size:13px"><br></span></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><span style="font-size:13px">Why do you care about policy that is not followed? A policy saying<br></span><span style="font-size:13px">llvm should not crash on any input is as relevant as one that says<br></span><span style="font-size:13px">that clang should keep bootstrapping in under one second.</span></blockquote><div><br></div><div>Policy is never adhered to perfectly. We don't follow coding conventions uniformly either, but that doesn't mean we shouldn't have them. The policy should be to that LLVM libraries are robust in the face of broken user input (or provide verifiers so that users can sanity-check inputs before passing them to the library). If that policy were made explicit, nobody would expect you or any other LLD developer to drop everything and work on security, but it'd be clear that if people contribute patches to make LLD more robust they should be accepted like any other patch.</div><div><br></div><div>- Lang.</div><div> </div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Mar 22, 2016 at 8:22 AM, Lang Hames <span dir="ltr"><<a href="mailto:lhames@gmail.com" target="_blank">lhames@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hi Rafael,<div><br></div><div><span class=""><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">One week ago I pointed out that your patch (r263521) introduces a crash. It still hasn't been reverted or even<br>acknowledge yet.</blockquote><div class="gmail_extra"><br></div></span><div class="gmail_extra">My apologies - your reply slipped through my filters, but that should absolutely be fixed. I've responded to your mail and will have a fix for this shortly.</div><span class="HOEnZb"><font color="#888888"><div class="gmail_extra"><br></div><div class="gmail_extra">- Lang.</div></font></span><div><div class="h5"><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Mar 22, 2016 at 4:27 AM, Rafael Espíndola <span dir="ltr"><<a href="mailto:rafael.espindola@gmail.com" target="_blank">rafael.espindola@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><span>> Maybe not, but it's not impossible either - browsers manage to harden themselves against malicious input and they operate in a far hostile environment with many more input formats than we do.<br>
<br>
</span>It is important to note how different they are. Both Firefox and<br>
Chromium have people working just to try to make them more secure.<br>
Compare that with LLVM: One week ago I pointed out that your patch<br>
(r263521) introduces a crash. It still hasn't been reverted or even<br>
acknowledge yet.<br>
<span><br>
<br>
> I'm not trying to shift your personal goal, or to direct the features that you choose to put your time into, but I am interested in project policy.<br>
<br>
</span>Why do you care about policy that is not followed? A policy saying<br>
llvm should not crash on any input is as relevant as one that says<br>
that clang should keep bootstrapping in under one second.<br>
<br>
So, if we stick to reality, what we have is that lld (ELF and COFF)<br>
are already the most reliable parts of the toolchain. If not for Rui<br>
and I being upfront about it most people would not even know that you<br>
could crash it. So please, just let us keep working on the most<br>
reliable part of the toolchain.<br>
<br>
Cheers,<br>
Rafael<br>
</blockquote></div><br></div></div></div></div></div>
</blockquote></div><br></div>