<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.1//EN"
"http://www.w3.org/TR/xhtml11/DTD/xhtml11.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head><meta http-equiv="content-type" content="text/html; charset=utf-8" />
<title>[244711] trunk</title>
</head>
<body>

<style type="text/css"><!--
#msg dl.meta { border: 1px #006 solid; background: #369; padding: 6px; color: #fff; }
#msg dl.meta dt { float: left; width: 6em; font-weight: bold; }
#msg dt:after { content:':';}
#msg dl, #msg dt, #msg ul, #msg li, #header, #footer, #logmsg { font-family: verdana,arial,helvetica,sans-serif; font-size: 10pt;  }
#msg dl a { font-weight: bold}
#msg dl a:link    { color:#fc3; }
#msg dl a:active  { color:#ff0; }
#msg dl a:visited { color:#cc6; }
h3 { font-family: verdana,arial,helvetica,sans-serif; font-size: 10pt; font-weight: bold; }
#msg pre { overflow: auto; background: #ffc; border: 1px #fa0 solid; padding: 6px; }
#logmsg { background: #ffc; border: 1px #fa0 solid; padding: 1em 1em 0 1em; }
#logmsg p, #logmsg pre, #logmsg blockquote { margin: 0 0 1em 0; }
#logmsg p, #logmsg li, #logmsg dt, #logmsg dd { line-height: 14pt; }
#logmsg h1, #logmsg h2, #logmsg h3, #logmsg h4, #logmsg h5, #logmsg h6 { margin: .5em 0; }
#logmsg h1:first-child, #logmsg h2:first-child, #logmsg h3:first-child, #logmsg h4:first-child, #logmsg h5:first-child, #logmsg h6:first-child { margin-top: 0; }
#logmsg ul, #logmsg ol { padding: 0; list-style-position: inside; margin: 0 0 0 1em; }
#logmsg ul { text-indent: -1em; padding-left: 1em; }#logmsg ol { text-indent: -1.5em; padding-left: 1.5em; }
#logmsg > ul, #logmsg > ol { margin: 0 0 1em 0; }
#logmsg pre { background: #eee; padding: 1em; }
#logmsg blockquote { border: 1px solid #fa0; border-left-width: 10px; padding: 1em 1em 0 1em; background: white;}
#logmsg dl { margin: 0; }
#logmsg dt { font-weight: bold; }
#logmsg dd { margin: 0; padding: 0 0 0.5em 0; }
#logmsg dd:before { content:'\00bb';}
#logmsg table { border-spacing: 0px; border-collapse: collapse; border-top: 4px solid #fa0; border-bottom: 1px solid #fa0; background: #fff; }
#logmsg table th { text-align: left; font-weight: normal; padding: 0.2em 0.5em; border-top: 1px dotted #fa0; }
#logmsg table td { text-align: right; border-top: 1px dotted #fa0; padding: 0.2em 0.5em; }
#logmsg table thead th { text-align: center; border-bottom: 1px solid #fa0; }
#logmsg table th.Corner { text-align: left; }
#logmsg hr { border: none 0; border-top: 2px dashed #fa0; height: 1px; }
#header, #footer { color: #fff; background: #636; border: 1px #300 solid; padding: 6px; }
#patch { width: 100%; }
#patch h4 {font-family: verdana,arial,helvetica,sans-serif;font-size:10pt;padding:8px;background:#369;color:#fff;margin:0;}
#patch .propset h4, #patch .binary h4 {margin:0;}
#patch pre {padding:0;line-height:1.2em;margin:0;}
#patch .diff {width:100%;background:#eee;padding: 0 0 10px 0;overflow:auto;}
#patch .propset .diff, #patch .binary .diff  {padding:10px 0;}
#patch span {display:block;padding:0 10px;}
#patch .modfile, #patch .addfile, #patch .delfile, #patch .propset, #patch .binary, #patch .copfile {border:1px solid #ccc;margin:10px 0;}
#patch ins {background:#dfd;text-decoration:none;display:block;padding:0 10px;}
#patch del {background:#fdd;text-decoration:none;display:block;padding:0 10px;}
#patch .lines, .info {color:#888;background:#fff;}
--></style>
<div id="msg">
<dl class="meta">
<dt>Revision</dt> <dd><a href="http://trac.webkit.org/projects/webkit/changeset/244711">244711</a></dd>
<dt>Author</dt> <dd>ysuzuki@apple.com</dd>
<dt>Date</dt> <dd>2019-04-26 16:32:35 -0700 (Fri, 26 Apr 2019)</dd>
</dl>

<h3>Log Message</h3>
<pre>[JSC] linkPolymorphicCall now does GC
https://bugs.webkit.org/show_bug.cgi?id=197306

Reviewed by Saam Barati.

JSTests:

* stress/link-polymorphic-call-can-gc.js: Added.
(module):
(instance):

Source/JavaScriptCore:

Previously, we assumed that linkPolymorphicCall does not perform allocations. So we put CallVariant into a Vector<>.
But now, WebAssemblyFunction's entrypoint generation can allocate JSToWasmICCallee and cause GC. Since CallLinkInfo
does not hold these cells, they can be collected, and we will see dead cells in the middle of linkPolymorphicCall.
We should defer GC for a while in linkPolymorphicCall. We use DeferGCForAWhile instead of DeferGC because the
caller "operationLinkPolymorphicCall" assumes that this function does not cause GC.

* jit/Repatch.cpp:
(JSC::linkPolymorphicCall):

Tools:

The test is sensitive to allocations and even adding $vm makes it non-reproducible.
To add this test, we add `runWithoutBaseOption`.

* Scripts/run-jsc-stress-tests:</pre>

<h3>Modified Paths</h3>
<ul>
<li><a href="#trunkJSTestsChangeLog">trunk/JSTests/ChangeLog</a></li>
<li><a href="#trunkSourceJavaScriptCoreChangeLog">trunk/Source/JavaScriptCore/ChangeLog</a></li>
<li><a href="#trunkSourceJavaScriptCorejitRepatchcpp">trunk/Source/JavaScriptCore/jit/Repatch.cpp</a></li>
<li><a href="#trunkToolsChangeLog">trunk/Tools/ChangeLog</a></li>
<li><a href="#trunkToolsScriptsrunjscstresstests">trunk/Tools/Scripts/run-jsc-stress-tests</a></li>
</ul>

<h3>Added Paths</h3>
<ul>
<li><a href="#trunkJSTestsstresslinkpolymorphiccallcangcjs">trunk/JSTests/stress/link-polymorphic-call-can-gc.js</a></li>
</ul>

</div>
<div id="patch">
<h3>Diff</h3>
<a id="trunkJSTestsChangeLog"></a>
<div class="modfile"><h4>Modified: trunk/JSTests/ChangeLog (244710 => 244711)</h4>
<pre class="diff"><span>
<span class="info">--- trunk/JSTests/ChangeLog  2019-04-26 23:22:35 UTC (rev 244710)
+++ trunk/JSTests/ChangeLog     2019-04-26 23:32:35 UTC (rev 244711)
</span><span class="lines">@@ -1,3 +1,14 @@
</span><ins>+2019-04-25  Yusuke Suzuki  <ysuzuki@apple.com>
+
+        [JSC] linkPolymorphicCall now does GC
+        https://bugs.webkit.org/show_bug.cgi?id=197306
+
+        Reviewed by Saam Barati.
+
+        * stress/link-polymorphic-call-can-gc.js: Added.
+        (module):
+        (instance):
+
</ins><span class="cx"> 2019-04-26  Robin Morisset  <rmorisset@apple.com>
</span><span class="cx"> 
</span><span class="cx">         All prototypes should call didBecomePrototype()
</span></span></pre></div>
<a id="trunkJSTestsstresslinkpolymorphiccallcangcjs"></a>
<div class="addfile"><h4>Added: trunk/JSTests/stress/link-polymorphic-call-can-gc.js (0 => 244711)</h4>
<pre class="diff"><span>
<span class="info">--- trunk/JSTests/stress/link-polymorphic-call-can-gc.js                             (rev 0)
+++ trunk/JSTests/stress/link-polymorphic-call-can-gc.js        2019-04-26 23:32:35 UTC (rev 244711)
</span><span class="lines">@@ -0,0 +1,65 @@
</span><ins>+//@ skip if !$jitTests
+//@ skip if !$isFTLPlatform
+//@ runWithoutBaseOption("default", "--slowPathAllocsBetweenGCs=10", "--jitPolicyScale=0", "--useConcurrentJIT=0", "--validateExceptionChecks=1")
+'use strict';
+let o = {
+    x0: ()=>0,
+    x1: ()=>0,
+    x2: ()=>0,
+};
+
+function module(bytes) {
+    let buffer = new ArrayBuffer(bytes.length);
+    let view = new Uint8Array(buffer);
+    for (let i = 0; i < bytes.length; ++i) {
+        view[i] = bytes.charCodeAt(i);
+    }
+    return new WebAssembly.Module(buffer);
+}
+
+function instance(bytes, imports = {o}) {
+    return new WebAssembly.Instance(module(bytes), imports);
+}
+
+function call(instance_, name) {
+    return instance_.exports[name]();
+}
+
+function exports(name, instance_) {
+    return { [name]: instance_.exports };
+}
+
+function run(action) {
+    action();
+}
+
+function fn1() {
+}
+function fn1() {
+}
+function fn1() {
+}
+function fn1() {
+}
+function fn1() {
+}
+function fn1() {
+}
+function fn1() {
+}
+function fn1() {
+}
+
+try {
+    (function f() {
+        f();
+    }());
+} catch (e) {
+}
+
+let $1 = instance('\0asm\x01\0\0\0\x01\x91\x80\x80\x80\0\x04`\0\0`\0\x01\x7F`\0\x01}`\x01\x7F\x01\x7F\x03\x87\x80\x80\x80\0\x06\0\x01\x01\x02\x03\x01\x05\x84\x80\x80\x80\0\x01\x01\x01\x01\x07ë\x80\x80\x80\0\x06\x0Fzero_everything\0\0\x12test_store_to_load\0\x01\x13test_redundant_load\0\x02\x0Ftest_dead_store\0\x03\x06malloc\0\x04\x0Fmalloc_aliasing\0\x05\n\xBD\x81\x80\x80\0\x06\x9E\x80\x80\x80\0\0A\0A\x006\x02\0A\x04A\x006\x02\0A\bA\x006\x02\0A\fA\x006\x02\0\x0B\x98\x80\x80\x80\0\0A\bA\x006\x02\0A\x05C\0\0\0\x808\x02\0A\b(\x02\0\x0B\xA2\x80\x80\x80\0\x01\x02\x7FA\b(\x02\0!\0A\x05A\x80\x80\x80\x80x6\x02\0A\b(\x02\0!\x01 \0 \x01j\x0B\x9F\x80\x80\x80\0\x01\x01}A\bA\xA3Æ\x8C\x99\x026\x02\0A\x0B*\x02\0!\0A\bA\x006\x02\0 \0\x0B\x84\x80\x80\x80\0\0A\x10\x0B\xA3\x80\x80\x80\0\x01\x02\x7FA\x04\x10\x04!\0A\x04\x10\x04!\x01 \0A*6\x02\0 \x01A+6\x02\0 \0(\x02\0\x0B');
+
+call($1, 'zero_everything');
+run(() => call($1, 'zero_everything', []));
+run(() => call(instance('\0asm\x01\0\0\0\x01\x88\x80\x80\x80\0\x02`\0\0`\0\x01}\x02\x96\x80\x80\x80\0\x01\x02$1\x0Ftest_dead_store\0\x01\x03\x82\x80\x80\x80\0\x01\0\x07\x87\x80\x80\x80\0\x01\x03run\0\x01\n\x9A\x80\x80\x80\0\x01\x94\x80\x80\x80\0\0\x02@\x10\0\xBCC#\0\0\0\xBCFE\r\0\x0F\x0B\0\x0B', exports('$1', $1)), 'run', []));
+run(() => call($1, 'malloc_aliasing', []));
</ins></span></pre></div>
<a id="trunkSourceJavaScriptCoreChangeLog"></a>
<div class="modfile"><h4>Modified: trunk/Source/JavaScriptCore/ChangeLog (244710 => 244711)</h4>
<pre class="diff"><span>
<span class="info">--- trunk/Source/JavaScriptCore/ChangeLog    2019-04-26 23:22:35 UTC (rev 244710)
+++ trunk/Source/JavaScriptCore/ChangeLog       2019-04-26 23:32:35 UTC (rev 244711)
</span><span class="lines">@@ -1,3 +1,19 @@
</span><ins>+2019-04-25  Yusuke Suzuki  <ysuzuki@apple.com>
+
+        [JSC] linkPolymorphicCall now does GC
+        https://bugs.webkit.org/show_bug.cgi?id=197306
+
+        Reviewed by Saam Barati.
+
+        Previously, we assumed that linkPolymorphicCall does not perform allocations. So we put CallVariant into a Vector<>.
+        But now, WebAssemblyFunction's entrypoint generation can allocate JSToWasmICCallee and cause GC. Since CallLinkInfo
+        does not hold these cells, they can be collected, and we will see dead cells in the middle of linkPolymorphicCall.
+        We should defer GC for a while in linkPolymorphicCall. We use DeferGCForAWhile instead of DeferGC because the
+        caller "operationLinkPolymorphicCall" assumes that this function does not cause GC.
+
+        * jit/Repatch.cpp:
+        (JSC::linkPolymorphicCall):
+
</ins><span class="cx"> 2019-04-26  Robin Morisset  <rmorisset@apple.com>
</span><span class="cx"> 
</span><span class="cx">         All prototypes should call didBecomePrototype()
</span></span></pre></div>
<a id="trunkSourceJavaScriptCorejitRepatchcpp"></a>
<div class="modfile"><h4>Modified: trunk/Source/JavaScriptCore/jit/Repatch.cpp (244710 => 244711)</h4>
<pre class="diff"><span>
<span class="info">--- trunk/Source/JavaScriptCore/jit/Repatch.cpp      2019-04-26 23:22:35 UTC (rev 244710)
+++ trunk/Source/JavaScriptCore/jit/Repatch.cpp 2019-04-26 23:32:35 UTC (rev 244711)
</span><span class="lines">@@ -955,6 +955,13 @@
</span><span class="cx">     ExecState* exec, CallLinkInfo& callLinkInfo, CallVariant newVariant)
</span><span class="cx"> {
</span><span class="cx">     RELEASE_ASSERT(callLinkInfo.allowStubs());
</span><ins>+
+    CallFrame* callerFrame = exec->callerFrame();
+    VM& vm = callerFrame->vm();
+
+    // During execution of linkPolymorphicCall, we strongly assume that we never do GC.
+    // GC jettisons CodeBlocks, changes CallLinkInfo etc. and breaks assumption done before and after this call.
+    DeferGCForAWhile deferGCForAWhile(vm.heap);
</ins><span class="cx">     
</span><span class="cx">     if (!newVariant) {
</span><span class="cx">         linkVirtualFor(exec, callLinkInfo);
</span><span class="lines">@@ -961,13 +968,10 @@
</span><span class="cx">         return;
</span><span class="cx">     }
</span><span class="cx"> 
</span><del>-    CallFrame* callerFrame = exec->callerFrame();
-
</del><span class="cx">     // Our caller must be have a cell for a callee. When calling
</span><span class="cx">     // this from Wasm, we ensure the callee is a cell.
</span><span class="cx">     ASSERT(callerFrame->callee().isCell());
</span><span class="cx"> 
</span><del>-    VM& vm = callerFrame->vm();
</del><span class="cx">     CodeBlock* callerCodeBlock = callerFrame->codeBlock();
</span><span class="cx">     bool isWebAssembly = isWebAssemblyToJSCallee(callerFrame->callee().asCell());
</span><span class="cx"> 
</span></span></pre></div>
<a id="trunkToolsChangeLog"></a>
<div class="modfile"><h4>Modified: trunk/Tools/ChangeLog (244710 => 244711)</h4>
<pre class="diff"><span>
<span class="info">--- trunk/Tools/ChangeLog    2019-04-26 23:22:35 UTC (rev 244710)
+++ trunk/Tools/ChangeLog       2019-04-26 23:32:35 UTC (rev 244711)
</span><span class="lines">@@ -1,3 +1,15 @@
</span><ins>+2019-04-25  Yusuke Suzuki  <ysuzuki@apple.com>
+
+        [JSC] linkPolymorphicCall now does GC
+        https://bugs.webkit.org/show_bug.cgi?id=197306
+
+        Reviewed by Saam Barati.
+
+        The test is sensitive to allocations and even adding $vm makes it non-reproducible.
+        To add this test, we add `runWithoutBaseOption`.
+
+        * Scripts/run-jsc-stress-tests:
+
</ins><span class="cx"> 2019-04-26  Alexey Proskuryakov  <ap@apple.com>
</span><span class="cx"> 
</span><span class="cx">         Update inactive reviewers' status to 'contributor'.
</span></span></pre></div>
<a id="trunkToolsScriptsrunjscstresstests"></a>
<div class="modfile"><h4>Modified: trunk/Tools/Scripts/run-jsc-stress-tests (244710 => 244711)</h4>
<pre class="diff"><span>
<span class="info">--- trunk/Tools/Scripts/run-jsc-stress-tests 2019-04-26 23:22:35 UTC (rev 244710)
+++ trunk/Tools/Scripts/run-jsc-stress-tests    2019-04-26 23:32:35 UTC (rev 244711)
</span><span class="lines">@@ -616,10 +616,18 @@
</span><span class="cx">     addRunCommand(kind, [pathToVM.to_s] + BASE_OPTIONS + $testSpecificRequiredOptions + options + [$benchmark.to_s], outputHandler, simpleErrorHandler)
</span><span class="cx"> end
</span><span class="cx"> 
</span><ins>+def runWithOutputHandlerWithoutBaseOption(kind, outputHandler, *options)
+    addRunCommand(kind, [pathToVM.to_s] + $testSpecificRequiredOptions + options + [$benchmark.to_s], outputHandler, simpleErrorHandler)
+end
+
</ins><span class="cx"> def run(kind, *options)
</span><span class="cx">     runWithOutputHandler(kind, silentOutputHandler, *options)
</span><span class="cx"> end
</span><span class="cx"> 
</span><ins>+def runWithoutBaseOption(kind, *options)
+    runWithOutputHandlerWithoutBaseOption(kind, silentOutputHandler, *options)
+end
+
</ins><span class="cx"> def runNoFTL(*optionalTestSpecificOptions)
</span><span class="cx">     run("no-ftl", *optionalTestSpecificOptions)
</span><span class="cx"> end
</span></span></pre>
</div>
</div>

</body>
</html>