类层次分析

玻尔百科

核心要点

类层次分析（Class Hierarchy Analysis, CHA）是一种静态分析技术，编译器用它来确定面向对象代码中虚方法调用的可能目标。
通过证明一个调用只有一个目标，CHA 能够实现去虚拟化，用快速的直接调用替换慢速的间接调用，从而解锁如内联等进一步的优化。
在像即时（JIT）编译器这样的动态环境中，CHA 被用于推测性优化，进行性能赌注，并通过运行时守卫进行验证。
除了性能之外，CHA 还通过减少控制流劫持攻击的攻击面和启用控制流完整性（CFI），为软件安全做出贡献。

引言

面向对象编程通过多态性和动态行为等特性提供了令人难以置信的灵活性，使开发人员能够编写优雅且可扩展的代码。然而，这种优雅是以隐藏的性能成本为代价的。允许单个方法调用根据对象的运行时类型而表现不同的机制——动态分派——给旨在生成最高效机器码的编译器带来了重大挑战。在运行时查找并跳转到正确方法的开销，即所谓的虚调用，可能会在关键应用中影响性能。

本文探讨了现代编译器如何弥合高级抽象与底层性能之间差距这一根本问题。它深入静态分析的世界，探索类层次分析（Class Hierarchy Analysis, CHA）——一种编译器用来推理、优化和保护面向对象程序的基石技术。通过理解 CHA 的原理，读者将能洞悉那些将灵活的动态代码转化为高度优化、快速运行的可执行文件的复杂策略。

在接下来的章节中，我们将对这种强大的方法进行详细的探索。“原理与机制”一章将分解 CHA 的工作方式，从其基本逻辑到更精细的技术如快速类型分析，并解释其在传统的“封闭世界”编译器和现代的“开放世界”JIT 编译器中的作用。随后，“应用与跨学科联系”一章将揭示这一单一分析如何引发一连串的优化，影响从性能、内存使用到硬件并行性和网络安全的方方面面，从而展示其在现代软件工程中的深远重要性。

原理与机制

在我们探索编译器如何应对面向对象编程的优雅抽象的旅程中，我们来到了问题的核心。那些赋予程序员巨大能力和灵活性的特性——多态性和动态行为——给编译器带来了深远的挑战，因为编译器的最终目标是将我们的抽象思想转化为最快、最高效的机器码。本章深入探讨编译器为解决这一矛盾而采用的原理和机制，这是一个关于推导、近似和巧妙博弈的迷人故事。

虚调用的谜题

想象一下，你有一个万能遥控器，上面有一个标着“执行操作”的按钮。你将它指向电视机，它会切换频道。你将它指向音响系统，它会调节音量。遥控器能工作，但它的具体操作不是在遥控器制造时决定的，而是在你按下按钮的那一刻，完全取决于它所指向的设备。

这就是动态分派的本质。在面向对象的语言中，当你写下 receiver.doSomething() 时，你正在调用一个虚方法。receiver 对象可能是一个 Dog、一个 Cat 或一个 Robot。实际运行的 doSomething() 方法取决于动态类型——即对象在那个时刻的实际类。这对程序员来说非常强大，可以编写灵活且可扩展的代码。

然而，对于编译器来说，这是一个性能上的难题。直接函数调用很简单：编译器知道需要执行的代码的确切内存地址。但虚调用是一段间接的旅程。编译器必须生成代码，在运行时执行一个仪式：首先，它必须在 receiver 对象中找到一个隐藏的指针，一个指向其类的虚方法表（或 vtable）的指针。这个 vtable 是该类所有虚方法函数指针的目录。然后，代码必须在此表中查找 doSomething() 的正确地址，最后，进行一次间接跳转到该地址。这个序列——一次加载，另一次加载，以及一次间接调用——本质上比单次直接跳转要慢。如果这发生在一个运行数百万次的紧密循环中，成本会大幅累积。

作为效率专家，编译器总会提出一个简单的问题：我们能避免这个仪式吗？我们能提前知道遥控器将指向哪个设备吗？如果我们能证明只有一个可能的目标，我们就可以用一个简单的、硬编码的直接调用来替换复杂的运行时查找。这种转换称为去虚拟化，它是面向对象语言最重要的优化之一。成本差异可能非常显著，将一个多步骤、不可预测的过程变成一条快如闪电的指令。

编译器化身侦探：类层次分析

为了实现去虚拟化，编译器必须化身为一名侦探。其任务是：在给定的调用点减少对象动态类型的不确定性。其武器库中首要且最基本的工具就是类层次分析（Class Hierarchy Analysis, CHA）。

CHA 的逻辑直接而强大。编译器可以访问程序中所有类的完整“家谱”——哪个类继承自哪个类。如果一个变量 x 以静态类型 Animal 声明，编译器就知道任何赋给 x 的对象都必须是 Animal 或其后代之一（如 Dog 或 Cat）。它绝不可能是 Car 或 Building。

当编译器遇到像 animal.makeSound() 这样的虚调用时，它使用 CHA 来构建一个所有可能目标的列表。它检查所有作为 Animal 子类型的具体（即非抽象）类，并根据继承和重写规则，找到每个类将使用的具体 makeSound 实现。这个过程构建了一个调用图——一张描绘了哪些函数可以调用哪些其他函数的地图。

关键的洞见在于，这种分析提供了一个安全的近似。在静态分析中，安全性是一种安全的保证。CHA 计算出的可能目标集合是运行时任何时候可能被调用的目标的超集。它可能包含一些永远不会被实际调用的目标，但保证绝不会遗漏任何一个。

有时，这种简单的分析就足够了。如果 CHA 确定，在所有可能的子类型中，调用 animal.makeSound() 都解析为完全相同的方法实现（也许是因为没有相关的子类重写它），那么这个调用就是单态的。谜题解开了！编译器可以安全地对该调用进行去虚拟化，用一个指向那个单一、唯一目标的直接跳转来替换它。

精炼线索：从层次结构到可达性

虽然 CHA 很强大，但它常常过于保守。它会考虑类层次结构所允许的每一种理论上的可能性，即使其中一些可能性在实践中从未发生。想象一下，我们的 Animal 层次结构中包含一个 Dodo（渡渡鸟）类。CHA 会尽职地将 Dodo.makeSound() 作为潜在目标之一。但如果我们的程序在其全部代码中，从未有过 new Dodo() 这样的代码呢？这个类存在，但从未“诞生”过该类型的对象。

这引导我们走向一种更精细的技术：快速类型分析（Rapid Type Analysis, RTA）。RTA 从 CHA 的结果出发，并应用一个关键的过滤器：它只考虑那些在可达代码中实际被实例化的类。编译器对程序进行快速扫描，列出所有可以从程序入口点（main）到达的 new ...() 表达式。这个“存活”类的集合，通常命名为 $Types_{seen}$ ，然后被用来修剪 CHA 得出的潜在目标列表。如果 Dodo 不在 $Types_{seen}$ 中，它就会被从嫌疑对象池中剔除，使得最终的可能目标集合更小、更精确。

这种精炼不仅仅是学术上的练习；它直接增加了去虚拟化的机会。通过消除不切实际的可能性，RTA 更有可能证明只剩下一个目标，从而实现性能提升的优化。

构建精确的调用图是现代编译器的基石，它能引发一连串的进一步优化。例如，确切地知道将调用哪个函数，可以实现更激进的过程间常量传播。如果编译器知道一个间接调用将总是指向一个返回常量 41 的函数，它就可以用该值替换整个函数调用。一个不那么精确的调用图，如果包含了另一个可能返回 1 的目标，将迫使编译器放弃，得出结果是未知的（ $\top$ ）。这展示了编译器设计中一种美妙的统一性：一个分析的精度直接决定了另一个分析的能力。

双城记：静态知识的局限

像 CHA 和 RTA 这类分析的能力取决于一个关键的、通常不言而喻的假设：封闭世界假设。编译器假设它正在审视构成程序的全部、完整的代码世界。对于生成独立可执行文件的传统编译器来说，这个假设通常是成立的，这个过程被称为预先（AOT）编译。

在封闭世界假设下，编译器可以执行非凡的全程序分析。例如，它可以证明一个类型为 A 的函数参数将永远只接收其子类 B 的对象，从而允许对该参数的虚调用被去虚拟化为 B 的特定方法。

然而，许多现代平台，如 Java 虚拟机（JVM），是在开放世界假设下运行的。程序不是固定的。新的类可以在运行时动态加载，可能来自插件、配置文件或通过网络。世界是可扩展的。一个在编译时完全正确的分析，在片刻之后，当一个编译器未知的新类加入层次结构时，就可能变得无效。

在这个开放的世界里，编译器必须更加谨慎。依赖局部信息的分析，比如在 x = new A() 之后立即对 x.m() 进行去虚拟化，仍然是安全的，因为 x 的类型在那个狭窄的上下文中是绝对确定的。但是，做出全局性断言的分析，比如“B 的其他子类不存在”，就不再是安全的。

高风险推测：动态世界中的优化

那么，像 JVM 这样的现代即时（JIT）编译器是如何实现其令人难以置信的性能的呢？它们不能依赖封闭世界假设，但它们却积极地执行去虚拟化。答案是，它们进行推测性优化。

JIT 编译器就像一个谨慎的赌徒。在运行时，它根据到目前为止已加载的类来执行 CHA。如果它发现一个热点的虚调用点只有一个目标，它就“赌”这个情况会保持不变。它会继续生成高度优化的、去虚拟化的机器码。

然而，这个赌注有安全网作为后盾。编译器承认其假设稍后可能会出错，并为此做好准备。主要有两种策略：

守卫与去优化： JIT 编译器在优化代码之前插入一个非常快速的检查，即守卫。这个守卫验证推测性假设，例如，if (receiver.getClass() == ExpectedClass)。如果检查成功，快速的内联代码就会运行。如果失败——意味着一个意料之外的新类的对象出现了——守卫会触发去优化。执行会立即且安全地从优化代码中转移出来，回到一个通用的、未优化的版本，该版本将执行完整的虚分派。程序保持正确，代价是在快速路径上进行一次小的、可预测的检查。
类加载依赖： 一种更优雅的方法是，JIT 编译器向运行时系统注册其假设。它实际上是告诉类加载器：“我基于 Credit 是 Payment 接口的唯一实现者这一假设优化了这个调用点。如果情况有变，请通知我。”如果（且当）一个新的 Debit 类被加载，运行时会使该优化代码失效。之后任何执行该代码的尝试都将被重新路由，可能回到解释器，或者到一个承认新现实的、新编译的版本。这种强大的机制避免了每次调用的开销，只在世界发生变化的那一刻，一次性地支付失效的代价。

这种动态的舞蹈——利用静态分析进行激进的赌注，并采用强大的运行时机制来确保正确性——是现代面向对象语言高性能背后的秘密。它证明了编译器不仅是一个翻译者，更是一个复杂的战略家，在静态知识和动态现实之间复杂的相互作用中游刃有余。

应用与跨学科联系

我们已经探索了类层次分析的原理，看到了编译器如何扮演侦探的角色，从程序的结构中拼凑线索，以推断对象的可能类型。你可能会留下这样的印象：这只是一个巧妙但不起眼的小技巧，也许能从函数调用中节省几纳秒。但这样想就只见树木，不见森林了。类层次分析（CHA）不仅仅是一种优化；它是一把基础的钥匙，解锁了一系列令人惊叹的转变，弥合了面向对象设计的抽象世界与硅片具体现实之间的巨大鸿沟。它是性能的基石，是现代语言运行时的支柱，并且出人意料地，是软件安全的沉默守护者。

第一块多米诺骨牌：性能的连锁反应

CHA 最直接、最明显的应用当然是性能。当 CHA 能够证明一个虚方法调用只有一个可能的目标——我们称之为单态情况——编译器就可以执行*去虚拟化*。它剔除虚调用缓慢、间接的机制，代之以一个简单、快速、直接跳转到唯一真实目的地的指令。当语言特性如 final 类或方法给编译器一个铁板钉钉的保证，即不可能存在其他实现时，这种优化尤其有效。

但这种初步的加速仅仅是倒下的第一块多米诺骨牌。真正的魔力始于去虚拟化所启用的功能。编译器是一个由专家组成的团队，每个专家都执行一个简单的任务。像副本传播这样的分析，用一个变量替换另一个变量，可能看起来平淡无奇。然而，通过阐明正在使用的是哪个对象引用，它可以为 CHA 提供发现先前隐藏的单态调用点所需的精确信息。一个简单的分析为另一个分析提供信息，引发了连锁反应。

一旦一个调用被去虚拟化，编译器就可以执行内联——它基本上将被调用方法的代码体复制粘贴到调用者中。虚调用的分析屏障被打破了。突然之间，编译器有了一大块统一的代码可供检查，其它的专家们也可以开始工作了。想象一个循环，在每次迭代中，都会调用一个虚方法来决定内层循环应该运行多少次。对编译器来说，这个边界是完全未知的。程序的性能可能会很迟缓，其扩展性可能很差，比如 $O(n \cdot k)$ 。但如果基于性能剖析的反馈显示，绝大多数调用都指向一个只返回常量 1 的单一实现，现代编译器就可以下注。它使用 CHA 推测性地去虚拟化并内联那个常见情况。编译器现在看到循环边界只是 1，整个内层循环就崩溃了。性能不仅仅是改善；它发生了转变，从类似二次方的爬行变成了线性的冲刺， $O(n)$ 。

这种洞见的连锁反应从 CPU 一直流淌到内存领域。在堆上创建新对象是许多语言中最昂贵的操作之一。如果一个对象在热点循环内创建并传递给一个虚方法，编译器必须保守地假设该对象“逃逸”了，并且必须在每次迭代中都在堆上分配。这可能是一场性能灾难。但如果 CHA 和内联揭示了被调用者的代码体，编译器或许能够证明该对象的生命周期完全局限于那一次循环迭代。它没有逃逸。而一个不逃逸的对象不需要昂贵的堆上之旅。编译器可以完全消除分配，用简单的局部变量替换该对象——这种技术称为标量替换。循环中的 $N$ 次堆分配就这样消失了。

这个性能故事的最终一步是从顺序代码到并行硬件的飞跃。现代处理器拥有 SIMD（单指令多数据）单元，可以同时对多个数据片段执行相同的操作。一个逐个处理数组元素的循环似乎是这种操作的完美候选。然而，循环内部的虚调用是一个致命的障碍。编译器无法知道对不同数组元素的调用是否会指向同一个函数，或者它们是否有会使并行执行不正确的副作用。这就像试图指挥一个行刑队，而每个士兵都有一个不同的、秘密的目标。但是，如果 CHA（也许在一个循环开始前的单一检查的指导下）能够证明所有调用都将指向同一个纯函数，情况就完全改变了。编译器可以内联该函数，看到循环体对于并行执行是安全的，并将整个循环重写以使用硬件的 SIMD 功能。一个高级的、面向对象的抽象被转化为一个低级的、大规模并行的计算。

从理论到现实：构建智能系统

到目前为止，我们主要设想的是一个“封闭世界”，编译器可以一次性看到整个程序。但对于 Java、JavaScript 或 Python 这样的动态世界，新代码可以随时加载，情况又如何呢？在这里，封闭世界假设被打破了。一个新加载的类可能会为一个方法添加新的实现，从而使先前安全的去虚拟化变得无效。

这就是哲学从静态证明转变为动态乐观的地方。现代的即时（JIT）编译器使用 CHA 来观察世界当下的样子。如果它发现一个方法只有一个实现，它就会下注。它生成高度优化的、去虚拟化的代码，但会用一个“守卫”将其包裹起来。这个守卫是一个快速的运行时检查，验证假设仍然成立。如果稍后加载了新类，守卫将失败，系统将优雅地回退到一个较慢、更通用的代码版本——这个过程称为去优化。这种乐观特化和安全回退的结合，使得 CHA 即使在最动态的环境中也能提供巨大的性能优势。

这些原则并不仅限于编译器理论的抽象世界；它们是我们日常使用的真实系统的核心。考虑一个高性能的 Web 服务器。当一个像 /products/123 这样的 URL 请求到达时，服务器的路由逻辑会将其映射到一个特定的处理器对象。一个简单的实现可能会为所有处理器使用一个虚的 handle() 方法。表面上看，这似乎是一个无可救药的多态问题。但路由器的逻辑提供了一个强大的线索！JIT 编译器可以观察到某些路由，如 /login 或 /search，非常常见，并且总是映射到同一个处理器类。它可以为这些热点路由特化代码路径，利用路由标识符本身作为密钥，完全绕过虚分派，直接跳转到正确的、优化的处理器。

同样，在系统编程中，分层的网络栈——包括其传输层、网络层和链路层——通常用虚拟接口来建模以获得灵活性。但对于一个特定的高性能应用，我们可能在构建时就知道我们总是会使用一个特定的栈：比如说，在特定 NICX 网卡上的 TCP over IPv4。通过使用静态配置剖析，无论是通过模板等语言特性，还是通过构建系统标志和死代码消除，我们都可以从最终程序中物理地剥离所有其他实现。我们为编译器创造了一个人为的“封闭世界”。全程序分析遍次随后可以清晰地看到每一层只有一个实现，从而将整个数据包处理流水线去虚拟化为一个单一的、快如闪电的直接调用流。

超越性能：安全的无名英雄

CHA 最深刻也最不为人知的应用可能是在网络安全领域。虚方法调用是一个间接分支，而每一个间接分支都是一个潜在的攻击点。如果攻击者能够损坏对象的虚表指针，他们就可以将程序执行重定向到恶意代码。一个虚调用的所有可能合法目标的集合构成了它的攻击面。

在禁止动态代码加载的安全关键环境中，CHA 成为一个强大的加固工具。通过执行全程序分析，编译器可以精确地确定每个虚调用点的所有可能目标的集合。对于单态调用点，它可以进行去虚拟化，从而完全消除间接分支漏洞。对于其余的多态调用点，它可以强制执行控制流完整性（CFI），通过插桩来确保调用只能跳转到少数合法目标之一，而不能跳转到别处。这极大地缩小了攻击面，使得攻击者更难劫持程序的控制流。

性能与安全之间的这种协同作用带来了编译器工程中最优雅的成果之一。像数组边界检查这样的安全特性对于防止内存损坏错误至关重要，但它们会增加运行时开销。一个常见的模式是遍历对象的元素，调用一个包含边界检查（如 if (i >= length)）的 get(i) 方法。对 get(i) 和另一个对 length() 的虚调用可能会阻止编译器发现检查是多余的。但是，如果 CHA 可以去虚拟化这些调用，它可能会发现 length() 返回一个常量值，比如 4。然后它可以分析循环并证明索引 i 将始终在范围 $[0, 3]$ 内。有了这个证明，编译器就知道 get(i) 内部的边界检查将永远通过。它可以安全地消除这个检查。在这里，CHA 不仅使代码更快；它通过在编译时证明代码是安全的来做到这一点，给了我们两全其美的结果：经过验证的安全性和零成本抽象。

从一个简单的类关系分析出发，我们看到了一条线索，它贯穿了性能工程、内存管理、硬件并行性、系统架构和网络安全。类层次分析是一个美丽的证明，证明了一个单一、优雅的思想如何能够统一不同的领域，并改变我们构建更快、更智能、更安全的软件的方式。