Electron 与 V8 内存笼
Electron 21 及更高版本将启用 V8 内存笼,这对一些原生模块有影响。
要跟踪关于 Electron 21+ 中原生模块使用的持续讨论,请参阅 electron/electron#35801。
在 Electron 21 中,我们将根据 Chrome 在 Chrome 103 中做出相同决定的决定,在 Electron 中启用 V8 沙盒指针。这会影响一些原生模块。此外,我们之前在 Electron 14 中启用了相关的技术,即 指针压缩。当时我们并没有多谈,但指针压缩对 V8 的最大堆大小有影响。
这两种技术在启用后,在安全性、性能和内存使用方面都有显著的好处。然而,启用它们也有一些缺点。
启用沙盒指针的主要缺点是指向外部(“堆外”)内存的 ArrayBuffer 不再允许。这意味着依赖 V8 中此功能的原生模块需要进行重构才能在 Electron 20 及更高版本中继续工作。
启用指针压缩的主要缺点是V8 堆的最大大小限制为 4GB。这其中的具体细节有些复杂——例如,ArrayBuffer 与 V8 堆的其他部分分开计算,但有其自己的限制。
Electron 升级工作组认为,指针压缩和 V8 内存笼的好处大于其缺点。这么做的主要有三个原因:
- 它使 Electron 更接近 Chromium。Electron 在 V8 配置等复杂内部细节上与 Chromium 的分歧越小,我们意外引入错误或安全漏洞的可能性就越小。Chromium 的安全团队非常强大,我们希望确保我们能利用他们的工作。此外,如果一个错误仅影响 Chromium 未使用的配置,那么修复它可能不会成为 Chromium 团队的优先事项。
- 它性能更好。指针压缩可将 V8 堆大小减少高达 40%,并将 CPU 和 GC 性能提高 5%–10%。对于绝大多数不会达到 4GB 堆大小限制且不使用需要外部缓冲区的原生模块的 Electron 应用程序来说,这些是显著的性能提升。
- 它更安全。一些 Electron 应用程序运行不受信任的 JavaScript(希望遵循我们的安全建议!),对于这些应用程序,启用 V8 内存笼可以保护它们免受大量棘手的 V8 漏洞的侵害。
最后,对于确实需要更大堆大小的应用程序,存在一些解决方法。例如,可以将 Node.js 的副本包含在您的应用程序中,该副本是禁用指针压缩构建的,并将内存密集型工作移至子进程。虽然有些复杂,但如果您决定为您的特定用例需要不同的权衡,也可以构建自定义版本的 Electron,禁用指针压缩。最后,在不久的将来,wasm64 将允许在 Web 和 Electron 中使用 WebAssembly 构建的应用程序使用远超 4GB 的内存。
常见问题解答
我如何知道我的应用程序是否会受到此更改的影响?
尝试使用 ArrayBuffer 包装外部内存将在 Electron 20+ 中导致运行时崩溃。
如果您在应用程序中不使用任何原生 Node 模块,您就是安全的——纯 JS 无法触发此崩溃。此更改仅影响分配 V8 堆之外的内存(例如使用 malloc 或 new)然后用 ArrayBuffer 包装外部内存的原生 Node 模块。这是一个相当罕见的用例,但一些模块确实使用了这种技术,并且此类模块需要进行重构才能与 Electron 20+ 兼容。
我如何衡量我的应用程序使用了多少 V8 堆内存,以了解我是否接近 4GB 的限制?
在渲染器进程中,您可以使用 performance.memory.usedJSHeapSize,它将返回 V8 堆的使用量(以字节为单位)。在主进程中,您可以使用 process.memoryUsage().heapUsed,它是可比较的。
什么是 V8 内存笼?
一些文档称其为“V8 沙盒”,但该术语很容易与 Chromium 中发生的其他类型的沙盒混淆,所以我将坚持使用“内存笼”一词。
有一种相当常见的 V8 漏洞利用方式,大致如下:
- 在 V8 的 JIT 引擎中找到一个错误。JIT 引擎分析代码,以便能够省略缓慢的运行时类型检查并生成快速的机器代码。有时逻辑错误会导致分析错误,并省略了实际上需要的类型检查——例如,它认为 x 是一个字符串,但实际上它是一个对象。
- 利用这种混淆来覆盖 V8 堆中的某些内存位,例如 ArrayBuffer 开始位置的指针。
- 现在您拥有一个指向任意位置的 ArrayBuffer,因此您可以读取和写入进程中的任何内存,即使是 V8 通常无法访问的内存。
V8 内存笼是一种旨在从根本上防止此类攻击的技术。实现这一目标的方式是不在 V8 堆中存储任何指针。相反,所有指向 V8 堆内其他内存的引用都存储为相对于某个保留区域开始位置的偏移量。然后,即使攻击者设法损坏了 ArrayBuffer 的基地址,例如通过利用 V8 中的类型混淆错误,他们所能做的最坏情况是读取和写入内存笼内的内存,而这些内存他们很可能已经可以访问了。有更多关于 V8 内存笼工作原理的资料可供阅读,因此我在这里不再详述——开始阅读的最佳地点可能是 Chromium 团队的高级设计文档。
我想重构一个 Node 原生模块以支持 Electron 21+。我该怎么做?
有两种方法可以重构原生模块以兼容 V8 内存笼。第一种方法是复制外部创建的缓冲区,在将其传递给 JavaScript 之前将其复制到 V8 内存笼中。这通常是一个简单的重构,但对于大型缓冲区来说可能会很慢。另一种方法是使用 V8 的内存分配器来分配您打算最终传递给 JavaScript 的内存。这稍微复杂一些,但可以避免复制,这意味着对于大型缓冲区来说性能更好。
为了使这一点更具体,这里有一个使用外部 ArrayBuffer 的 N-API 模块示例
// Create some externally-allocated buffer.
// |create_external_resource| allocates memory via malloc().
size_t length = 0;
void* data = create_external_resource(&length);
// Wrap it in a Buffer--will fail if the memory cage is enabled!
napi_value result;
napi_create_external_buffer(
env, length, data,
finalize_external_resource, NULL, &result);
当启用内存笼时,这会崩溃,因为数据是在笼子外面分配的。重构为复制数据到笼子中,我们得到:
size_t length = 0;
void* data = create_external_resource(&length);
// Create a new Buffer by copying the data into V8-allocated memory
napi_value result;
void* copied_data = NULL;
napi_create_buffer_copy(env, length, data, &copied_data, &result);
// If you need to access the new copy, |copied_data| is a pointer
// to it!
这将数据复制到一个新分配的内存区域,该区域位于 V8 内存笼内。可选地,N-API 还可以提供指向新复制数据的指针,以防您需要在事后修改或引用它。
使用 V8 的内存分配器进行重构会更复杂一些,因为它需要修改 create_external_resource 函数来使用 V8 分配的内存,而不是使用 malloc。这可能更容易或更难实现,取决于您是否控制 create_external_resource 的定义。思路是首先使用 V8 创建缓冲区,例如使用 napi_create_buffer,然后将资源初始化到 V8 已分配的内存中。为了资源的生命周期,保留对 Buffer 对象的 napi_ref 很重要,否则 V8 可能会垃圾回收 Buffer 并可能导致使用后释放错误。