電子情報学特論：

Chromium のアーキテクチャを解き明かす

〜 EEIC の授業が生きるプロダクトの世界〜

Kentaro Hara

2020 April

(๑>ᴗ<๑)

*

*

*

*

略歴

理科 I 類

EEIC

田浦研

Google

プログラミングをはじめる

卒論と修論

Chrome

チーム

教養〜EEIC 時代

• プログラミングをはじめたのは大学に入ってから
• 「情報」の授業がきっかけ

​

• 田浦先生の授業の課題で出たソーティングの高速化にはまる
• 半年間をソーティングに費やす => 論文を出す

​

• 田浦先生の「言語処理系」の実験に夢中になる
• プログラミング言語を自作

​

田浦研時代

• 並列分散プログラミング言語処理系の開発で卒論と修論を書く

​

• 他にやってたこと
• プログラミングコンテスト
• 学科用 PC の設定・管理
• 大規模クラスタ（600台）のサーバ管理
• TA（このとき作った実験はまだ受け継がれてます！）

田浦研時代（文化的貢献）

Google へ

• 研究開発が好きだったので Google か博士かで迷った
• 当時 Google といえば並列分散処理の最先端（MapReduce、GFS）だったけど、そのチームが東京にはなかった・・・(´・ω・｀)
• ならば全く違うことをやってみようと思って Chrome チームへ！
• あれから 9 年

本題：Chromiumの話

*

*

*

*

Chromium と Chrome

Chromium

Google Chrome

Chromium と Chrome

• Chromium = オープンソースのウェブブラウザプロジェクト

​

• Chromiumを利用しているプロダクト
• Google Chrome
• Microsoft Edge
• Opera
• Brave
• ...

「4 つの S」

• Chromium が最も大事にしている「4 つの S」とは何でしょう？

S....

S....

S....

S....

「4 つの S」

• Chromium が最も大事にしている「4 つの S」とは何でしょう？

Speed

Simplicity

Security

Stability

今日のお話の中心

今日のお話

1. プロセスモデル
2. メモリモデル
3. レンダリングモデル
4. 開発体制（時間があれば）

プロセスモデル

*

*

*

*

プロセス vs. スレッド

​

クイズ：違いは何だっけ？ (๑˃̵ᴗ˂̵)و

プロセス vs. スレッド

• プロセス
• プロセス間でメモリ空間が共有されない
• 1個のプロセスがクラッシュしても・クラックされても、他のプロセスには影響が及ばない

​

• スレッド
• スレッド間でメモリ空間が共有される
• そのぶんプロセスより軽い（メモリ使用量、コンテキストスイッチ）

プロセス vs. スレッド

• クイズ：Chromium で google.com と twitter.com を開いたとき、いくつのプロセス or スレッドを作るべきか？

マルチプロセスアーキテクチャ

• 重要な仮定：
• 「悪意のある Web ページからユーザを守る」
• ユーザのクッキーを盗む
• OS にウィルスを送り込む
• 他のタブの Web ページを改ざんしてフィッシング詐欺
• ...
• 帰結（マルチプロセスアーキテクチャ）：
• Web ページごとにプロセスレベルで分離してサンドボックス内で走らせる

マルチプロセスアーキテクチャ

• Browser process = 「親玉」プロセス
• 1 個だけ存在
• ファイルやユーザのクッキーなどシステムリソースにアクセス可能
• Renderer process = Webページをレンダリングするプロセス
• N 個存在
• サンドボックス内で走る
• Browser process とはプロセス間通信でやりとり
• 今となっては当然に思えるアーキテクチャだがChrome が出た 2008 年当時は斬新だった

Browser process

Browser process

Browser process

Renderer process

(sandbox)

IPC

しかし話は終わらない (╹◡╹✿)

インターネット黎明期に Web を成功たらしめたもの

• Access to information
• 世界中の情報にアクセスできる
• Linkable
• リンクを通じて情報を結び付けられる
• Ephemeral
• インストール不要
• Embeddable
• いろんな人たちが作ったコンテンツをセキュアに埋め込める

Embeddable

• <iframe> を使えば他のサイトが作ったコンテンツを埋め込める
• Google Maps、Facebook のいいねボタン、Web 広告

​

<html><body>

こんにちは！ようこそ私のホームページへ!

あなたは 1206 番目の訪問者です(◍•ᴗ•◍)

<iframe src="https://maps.google.com/..."></iframe>

<iframe src="https://facebook.com/..."></iframe>

<iframe src="https://g.doubleclick.net/..."></iframe>

</body></html>

Embeddable

• 問題点：他のサイトが作ったコンテンツは信用できない
• citibank.com が Web 広告を埋め込んでいて、これらが同一プロセス内に存在したとき（＝メモリ空間を共有していたとき）、もし何かしらのバグを悪用して Web 広告が citibank.com のパスワードを盗めたとしたら...

​

• ところで「何かしらのバグ」って何よ？
• Chromium のメモリ関連のバグ（後述）
• 重大な問題になったのが、2018年に発見された Spectre & Meltdown と呼ばれる CPU のバグ

Spectre とは

• CPU の投機的実行と分岐予測を悪用して、任意のメモリアドレスの値を読み込めてしまうバグ
• Google の Project Zero （セキュリティチーム）と Paul Kocher が独立に発見
• 現代のほぼすべての CPU に存在する致命的なバグ

Spectre

// こういうArrayクラスがあるとする

class Array {

char at(unsigned i) {

if (i >= length) // (a)

return -1;

return data[i]; // (b)

}

unsigned length;

char* data;

};

// 以下のコードを実行する

char mem[4097];

// 読みたいアドレスを指定

char v = array->at(12345678);

if (v == -1) { return; }

else if (v & 1) { mem[0]; } // (c)

else { mem[4096]; }

​

CPUの分岐予測により、(a)が完了する前に(b)と(c)が投機的に実行される。(a)が完了した時点で(c)の結果は捨てられるのだが、mem[0]かmem[4096]を投機的にキャッシュにロードしてしまっている。よってmem[0]とmem[4096]へのアクセス速度を調べれば、data[12345678]の値を決定できる。

（Web広告からcitibank.comのパスワードが読めたら・・・）

解決策：Site Isolation

• <iframe>ごとにプロセス分離する
• Site Isolation と呼ぶ
• Chrome では 1 個のタブに見えるものが実は多数のプロセスの集合としてうまく連携して動いている
• 相当難しいことをやってます
• すべては Embeddability と Security を両立させるため

main frame (site A)

iframe (site B)

iframe (site C)

iframe (site C)

process 1

process 2

process 3

Chrome のタブ

メモリモデル

*

*

*

*

クイズ

• Chromiumのソースコードは何行くらいあるでしょう？

​

1. 25万行
2. 250万行
3. 2500万行
4. 250行

ちなみに Linux カーネルが2800万行

クイズ

• 2500 万行のうち空行は何行あるでしょう？

​

• 5 行
• 50万行
• 500万行
• 2500 万行

クイズ

• Chromium の大半は何の言語で書かれているでしょう？

​

• C++
• Java
• Rust
• エスペラント語

バグはつきもの

• 現在、90000個くらいバグが報告されているよ・・・(´・ω・｀)
• おもしろいやつもある

C++という選択

• 利点： Speed
• 欠点： Security

Security 上の懸念をどう補っていくか？

Use-after-free

• Security 上深刻なのは Use-after-free と呼ばれるタイプのメモリバグ
• Free したメモリ領域にアクセスしてはいけません^^

​

Object* obj =

malloc(sizeof(Object));

free(obj);

obj->Foo(); // Use-after-free

// もう少し現実的な例

class A {

A(B* b) : b_(b) { }

void Foo() {

b_->Bar(); // この時点でb_が生きていることはどう保証されるのか...?

}

B* b_; //生ポインタは常に危険を伴う

};

Use-after-free の何が問題なのか

class A {

A(B* b) : b_(b) { }

void Foo() {

b_->Bar();

}

B* b_;

};

1. オブジェクト B を解放して、b_->Bar()が Use-after-free を起こす状態にしておく
2. 「b_->Bar()を呼ぶと任意のコードが実行されるようなバイト列」からなるオブジェクトを大量に生成する。運が良ければそのうちのひとつは b_ が指すアドレスに確保される。
3. A::Foo()を呼び出す
4. 任意のコードを実行できてしまう（ユーザパスワードを盗み出すなど）

​

注：実際に行うには Heap spraying などの高度な手法が必要

最も美しく正しい解決策：GC

• GC（ガベージコレクション）
• メモリの自動管理
• Java、Python、JavaScript などたいていの言語に搭載

​

• Chromium では Oilpan と呼ばれる C++ 用 GC を開発
• オブジェクトを GC に移行した結果、Use-after-free の数が激減

GCの基本：マーク & スイープ

• Step 1: ルートオブジェクト（グローバル変数、スタック上の変数など）から辿れるオブジェクトをマークしていく

A

B

E

F

C

G

D

H

I

root

root

GCの基本：マーク & スイープ

• Step 1: ルートオブジェクト（グローバル変数、スタック上の変数など）から辿れるオブジェクトをマークしていく

A

B

E

F

C

G

D

H

I

root

root

✔

✔

✔

✔

✔

GCの基本：マーク & スイープ

• Step 2: ヒープを走査して、マークされていないオブジェクトを解放する（スイープ）

A

B

C

D

E

F

H

I

G

ヒープ

✔

✔

✔

✔

✔

GCの基本：マーク & スイープ

• Step 2: ヒープを走査して、マークされていないオブジェクトを解放する（スイープ）

A

B

C

D

E

F

H

I

G

ヒープ

✔

✔

✔

✔

✔

走査

しかし話は終わらない (╹◡╹✿)

問題点：GC の停止時間が致命的

• ヒープサイズは ~GB、オブジェクト数は数百万個になる
• マーク & スイープをやっている間 Web サイトが止まる
• 一昔前の Chrome で Gmail や Maps が「カクカク」した原因がこれ

​

​

​

​

• 解決策：インクリメンタル GC、コンカレント GC、世代別 GC などを実装して停止時間を大幅に短縮（詳細は田浦先生の講義）

時刻t

Mark & sweep

この時点までスクロールに反応できない

• Web アプリは JavaScript で書かれている
• その Web アプリを実行する Chromium は C++ で書かれている
• その2つのオブジェクトグラフがお互いに参照している
• 言語境界をまたがってGCを走らせる（論文出したよ）

問題点：JavaScript と C++ の言語境界

JavaScript のヒープ

C++ のヒープ

GC できたよ！！

これで Use-after-free がゼロになる！！

(◍＞◡＜◍)

というほど、

この世界は単純ではない

GC が抱える問題点

• 数百万行のコードベースを全部 GC に対応させるエンジニアリングコストは非現実的

​

• 何が難しいのか？機械的に置き換えられないの？

GC が抱える問題点

• 最大の難しさ： GC とデストラクタの相性が悪いこと
• GC はデストラクタの順序を保証できない
• ということは、デストラクタ内で他の GC オブジェクトに触るのはアウト
• 実質的にコードベースからデストラクタを消し去る必要がある（大変）

class A : public GC {

};

​

class B : public GC {

~B() {

a_->Clear(); // デストラクタの順序次第で a_ はもう解放されてるかもしれない

}

Member<A> a_;

};

​

現実的な落としどころ

Chromiumのオブジェクト全体

GC 化されている

オブジェクト

（主に JavaScript と

接続している C++ 部分）

GC 化されていない

オブジェクト

注：スマートポインタ（unique_ptrや参照カウント）は当然使っているが、

それで生ポインタがなくなるわけではない（全部に使ったら参照サイクルが起きるので）

GC 化されていないオブジェクトへの対策

• PartitionAlloc
• セキュリティ耐性と性能を大幅に強化したメモリアロケータ
• Chromium では malloc を置き換えている
• Cluster Fuzz
• 既存のテストケースや Web サイトのコードを字句に分割して、それらをランダムに結合して Use-after-free が起きるテストケースを自動生成してくれる
• Address Sanitizer
• Valgrind の高速化版。Use-after-free、バッファオーバーフロー、メモリリークなどを検出可能（論文）。

セキュリティへの取り組み

• Chrome Vulnerability Reward Program
• （Use-after-free などを利用して）Chrome の致命的なセキュリティ攻撃を発見すると、程度に応じて $500 ~ $150,000 をプレゼント！！(◍•ᴗ•◍)
• これで生計を立てているハッカーもいる
• 協力的なハッカーがほとんどで、攻撃手法と同時に解決策まで丁寧に教えてくれる優しい世界

レンダリングモデル

*

*

*

*

レンダリングエンジン

• Blink = Chromium のレンダリングエンジン
• 「タブの中身」をレンダリングするソフトウェア
• JavaScript の実行、HTML や CSS の解釈、画像描画など

レンダリングエンジン

• 「HTML や JavaScript のファイルがネットワークから受信されてから、Open GL で画面にピクセルが描かれるまでの壮大な物語」を 20 分で解説します(๑˃̵ᴗ˂̵)و

？

クイズ

• 一般的にソフトウェアが「サクサク」動いていると人間が感じるためには、毎秒何フレーム（Frame Per Second）で描画する必要があるでしょう？
• 10 FPS
• 30 FPS
• 60 FPS
• 120 FPS

これを実現するために

いろんな工夫がいる

全体像

• 「ステージ」から「ステージ」へ中間データ構造を次々に渡していくことでレンダリングを進めていく（なぜこうしているかは後述）

<html>

...

</html>

HTML

pixels

中間データ構造

Stage

Stage

Stage

ステージ1：Parsing

• HTML ファイルを字句解析 => 構文解析

<html>

<body>

<p>aaa</p>

<p>bbb</p>

</body>

</html>

"<" "html" ">"

"<" "body" ">"

"<" "p" ">"

"aaa"

"<" "/p" ">"

"<" "p" ">"

"bbb"

"<" "/p" ">"

"<" "/body" ">"

"<" "/html" ">"

HTMLファイル

字句解析

構文解析

（構文木）

html

body

p

p

text

text

ステージ1：Parsing

• 入力：生の HTML ファイル
• 出力：DOM (Document Object Model) tree

<html>

<body>

<p>aaa</p>

<p>bbb</p>

</body>

</html>

HTMLファイル

DOM tree

html

body

p

p

text

text

Parsing

ステージ2：Style

• CSSのスタイルを適用する

html

body

p

p

text

text

/* every p has red text*/

p { color : red }

hello

font-weight: bold;

margin-left: 2cm;

hello

outline: dashed blue;

hello

transform: rotate(20deg);

hello

ステージ2：Style

• 入力：DOM tree
• 出力：スタイル情報付き DOM tree

html

body

p

p

text

text

html

body

p

p

text

text

ComputedStyle

ComputedStyle

ComputedStyle

ComputedStyle

ComputedStyle

ComputedStyle

ComputedStyle {

fontWeight = ...

marginLeft = ...

background = ...

}

Style

ステージ3：Layout

• Layout = 各要素の位置座標を確定させること

div

Layout {

x = 183

y = 250

width = 600

height = 140

}

ステージ3：Layout

• 要素の位置座標を決定するためには、文字グリフのサイズや改行位置なども決定する必要がある
• HalfBuzz というオープンソースライブラリを利用

Is this a pen? No, it is a dog.

リガチャ

改行

ステージ3：Layout

• 入力：スタイル情報付き DOM tree
• 出力：Layout tree

html

body

p

p

text

text

ComputedStyle

ComputedStyle

ComputedStyle

ComputedStyle

ComputedStyle

ComputedStyle

Layout

Layout

Layout

Layout

Layout

Layout

Layout tree

Layout

ステージ4：Layering

• Layering = 独立に描画可能な範囲をレイヤーに分割する作業

iframe A

iframe B

iframe C

別レイヤーで描画可能

アニメーションする部分を

別レイヤーで動かす

• 入力：Layout tree
• 出力：Layer

ステージ4：Layering

Layout

Layout

Layout

Layout

Layout

Layout

Layout tree

Layout

Layout

Layout

Layout

Layout

Layout

Layering

ステージ5：Raster

• 入力：Layer
• 出力：OpenGL の描画コマンド
• Skia というオープンソースライブラリを利用

Raster

Layout

Layout

Layout

Layout

Layout

Layout

全体像を振りかえる

<html>

<body>

<p>aaa</p>

<p>bbb</p>

</body>

</html>

html

body

p

p

text

text

html

body

p

p

text

text

Layout

Layout

Layout

Layout

Layout

Layout

Layout

Layout

Layout

Layout

Layout

Layout

CS

CS

CS

CS

CS

CS

HTMLファイル

DOM tree

スタイル情報付きDOM tree

Layout tree

bitmap

Layer

Parsing

Style

Layout

Raster

Layering

なぜ「ステージ」から「ステージ」へ

中間データ構造を渡していくのか？

ステージングする理由1

• 動的レンダリングを高速化するため

ステージングする理由1

• ステージングすることで Partial invalidation が可能になる
• 変更された部分（特定の部分木、特定のレイヤー etc）だけを無効化してその後の「ステージ」のみ実行しなおせばよい

Parsing

Style

Layout

Layering

Raster

html

body

p

p

text

text

CS

CS

CS

CS

CS

CS

この <p> の色が変更されたときは、その部分木のみ invalidation すればよい

ステージングする理由1

• ステージングすることで Partial invalidation が可能になる
• 変更された部分（特定の部分木、特定のレイヤー etc）だけを無効化してその後の「ステージ」のみ実行しなおせばよい

アニメーションの Layer のみ

Raster しなおせばよい

（これを可能にするために、Layering するときに、Layout で計算した絶対座標を各 Layer 内の相対座標に書き換えておく）

Parsing

Style

Layout

Layering

Raster

ステージングする理由2

• Web ページのライフサイクルと性能上の目標

時刻t

ページロード

ユーザインタラクション

（タッチ、スクロール、入力）

ユーザが見たいであろうコンテンツを最速で描画できるよう最適化

ユーザインタラクションに最速で反応できるよう最適化

最短化

60 frames per second

ステージングする理由2

• 問題点：メインスレッドが重たい JavaScript や GC を走らせていると、その間スクロールなどを処理できなくなる
• 60 FPS が破綻 => 「カクカク」(´・ω・｀)

時刻t

JavaScript

この時点までスクロール

に反応できない

メインスレッド

• 中間データ構造の Layer を描画スレッドに送ることで、描画スレッドだけで Raster できるようにする

ステージングする理由2

Parsing

Style

Layout

Layering

Raster

メインスレッド

描画スレッド

Layout

Layout

Layout

Layout

Layout

Layout

ステージングする理由2

• スクロール ＝ Layer 内の相対座標が変化するだけなので、描画スレッドだけで処理可能 => 「サクサク！！」(๑＞◡＜๑)

時刻t

JavaScript

メインスレッド

描画スレッド

Raster

Raster

Raster

まとめ

*

*

*

*

ブラウザ = ただのブラウザアプリ

​

ではなく、もはや

​

ブラウザ = Web の OS

• プロセス管理
• メモリ管理
• レンダリング
• CPU タスクスケジューラ
• ファイル管理（WebStorage etc）
• デバイス入出力（WebAudio, WebUSB etc）
• アセンブリ（WebAssembly）
• ...

​

古典的な OS との決定的な違い = Embeddability

​

Web 上に転がっているいろんな人や組織が作った

（よって信用を仮定できない）アプリをセキュアにホストする

​

（twitter.com はそれがどのページにどう埋め込まれようと、

twitter.com は twitter.com のデータにしかアクセスできないし、

twitter.com のデータは twitter.com にしかアクセスされないことを保証）

​

古典的な OS との決定的な違い = Embeddability

​

Web 上に転がっているいろんな人や組織が作った

（よって信用を仮定できない）アプリをセキュアにホストする

​

（twitter.com はそれがどのページにどう埋め込まれようと、

twitter.com は twitter.com のデータにしかアクセスできないし、

twitter.com のデータは twitter.com にしかアクセスされないことを保証）

システム屋には

たまらなくおもしろい!

開発体制

*

*

*

*

世界中に広がる Chrome チーム

一部のオフィスのみ表示

オープンソースとしてのおもしろさ

• Web API をブラウザに追加するには、他のブラウザベンダーや開発者コミュニティと協力してスペックを標準化する作業が必要
• Apple、Microsoft、Opera、Mozilla、Yandex、...

​

• スペックの例：HTML5、ECMAScript、Web IDL

世界中に出張に行ける

• ミュンヘンには 25 回行って 160 個以上の村々をお散歩した^^

開発体制

• 目標の立て方：OKR (Objective Key Results)
• O: Android Chromeのメモリを20%減らす
• KR: 〇〇を調査する
• KR: 〇〇を実装する
• KR: …

​

• 目標は高く置く
• 結果的には7割くらい

達成できれば上々

開発体制

• #1 デザインドキュメントを書く（例）
• #2 議論、議論、議論！！(๑˃̵ᴗ˂̵)و
• オープンなメーリングリスト（例：chromium-dev@）
• #3 コードを書く
• #4 その分野に最も詳しい人のコードレビュー（例）を通過したものだけをコミット
• #5 実際のユーザを使った A/B テストで効果測定・チューニング

開発体制の背後にある大切なもの

リーダーシップ＋チームワーク

• リーダーシップ
• チームやプロジェクトが目標を達成できるように導いていく力
• しかし相手を引っ張るだけがリーダーシップではない
• チームで必要とされていることを自分で見つけて自分で解いていく力（＝個々のエンジニアに求められる）

​

• チームワーク（スポーツチームと同じ）
• 一人でできることは限られている
• みんなで協力して大きな目標を成し遂げる

社内の文化

​

Respect each other

​

​

• 意見は対立しても相手への尊重は忘れない
• 異なる意見があるのはとても大切なこと (╹◡╹✿)

社内の文化

​

Respect the user

​

​

• 何を作るときでもユーザを第一に考える！^^
• あとは勝手についてくる

社内の文化

​

Psychological safety

​

​

• ミスを恐れずに気兼ねなく発言や行動ができるような仕事環境のこと

社内の文化

​

Do the right thing

​

​

• 目先の損得や自分たちの利益ではなく「何が正しいことか」をいつも考える！
• あとは勝手についてくる

レポート課題

*

*

*

*

レポート課題

​

​

​

​

​

​

​

• 方向性が決まっていたほうが書きやすいと思うので・・・テーマ課題を出しておきます！

Google のミッション：

​

世界中の情報を整理し、

世界中の人々がアクセスできて

使えるようにすること

レポート課題

• インターネット黎明期（1990年代〜2000年代）には情報やコンテンツは《Web×オープンな世界》に向かっていた

​

• ネイティブアプリ（Android アプリ、iOS アプリ）が出現すると情報は《ネイティブアプリ×クローズドな世界》に向かうようになった
• LINE、WeChat、WhatsApp、Facebook etc
• 情報が各ネイティブアプリ内部に囲い込まれる

​

• Web => ネイティブアプリへのシフトはとくに途上国で著しい
• スマホ使用時間の何%を Web に使ってますか？

レポート課題

• 以下の3点についてあなたの考えを具体的に論じてください

​

1. なぜ情報は《Web×オープンな世界》から《ネイティブアプリ×クローズドな世界》に向かうようになったのか
2. Google のミッションを達成する観点から考えた場合、情報が《ネイティブアプリ×クローズドな世界》に向かうことにはどのような懸念があるか（クローズドな世界で競争が起きるほうが望ましく懸念はないという立場で論じてもよい）
3. 再び情報が《Web×オープンな世界》に向かうようになるために、Web に欠けているものは具体的に何だと思うか

Q&A

*

*

*

*

より深く学びたい人へ

*

*

*

*

より深く学びたい人へ

• Chrome University YouTube channel（Chrome チームに入ってきた人向けのトレーニング資料）
• The history of the web
• Anatomy of the browser 101
• Anatomy of the browser 201
• Life of a release
• Life of a navigation
• Life of a pixel
• Life of a process
• Mojo - Chrome’s inter-process communication system
• Life of a commit
• Security 101
• Security 201
• C++ Memory
• Testing 101

より深く学びたい人へ

• Chromium Browser Advent Calendar（Chrome Tokyoチームがやっている各種プロジェクトのお話）
• Code of conduct（開発時の心構え）
• Chromium project page