Programming Languages Hacks

Importanti regole per linguaggi di programmazione rilevanti come Java, C, C++, C#…

  • Subscribe

  • Lettori

    I miei lettori abituali

  • Twitter

Memory Leak con Garbage Collection: WeakReference

Posted by Ricibald on 27th November 2009

Come tutti sapete, la GC è una modalità automatica di gestione della memoria tramite cui vengono liberate porzioni non più referenziate. In questo modo il programmatore non si deve più preoccupare di deallocare esplicitamente gli oggetti e si evitano i tipici problemi legati alla gestione della memoria (dangling pointer e memory leak).

Se per memory leak intendiamo il mancato rilascio di memoria non più referenziata allora il GC effettivamente evita qualunque memory leak, ma se per memory leak intendiamo il mancato rilascio di memoria non più utilizzata, allora la GC non è sufficiente: non può conoscere le nostre intenzioni!!

Ora mi spiegherò meglio, ma è necessario prima notare una cosa importante: il problema che descriverò è generale per la GC, ma non significa che implementazioni più raffinate non abbiano risolto il problema. Infatti implementazioni C# o Java non prevedono questo problema, ma si noti anche che, per quanto raffinata sia l’implementazione della GC, questi errori non potranno mai essere completamente impediti, quindi è necessario un approccio consapevole alle tematiche.

Dunque mi spiego meglio: immaginiamo di avere un oggetto che rappresenta la struttura di una società. Avremo quindi una lista di dipendenti, di cui ognuno avrà un superiore (se esiste) e avrà dei dipendenti da coordinare (se non si trova all’ultimo gradino). Di seguito riporto un esempio di istanza dopo il suo utilizzo:

Come osserviamo l’applicazione dopo aver utilizzato la struttura, ora ha ormai perso il riferimento a qualunque dipendente. Sarebbe lecito aspettarsi che gli oggetti vengano deallocati in quanto non più utilizzati. Infatti “Riccardo” non viene più usato da nessuno e quindi deve essere deallocato sé stesso e tutti i dipendenti che referenzia in quanto a loro volta perdono il riferimento “Riccardo”.

Bene, questo non è così!!! I nostri dipendenti rimarranno allocati per sempre nella nostra applicazione, sebbene nessuno li utilizzi più! Questo può essere definito come vero e proprio memory leak, anche se devia leggermente dal significato originale.

La presenza di memory leak dipende da come realizziamo la classe “Dipendente”. Andiamo per gradi: nel seguente esempio NON avviene alcun memory leak:

public class Dipendente {
	public List<Dipendente> Subordinati = new List<Dipendente>();
}

Infatti se l’applicazione perde il riferimento ai dipendenti, il primo che verrà deallocato è il capo “Riccardo” poiché non ha più alcun riferimento. Successivamente verrà deallocata la List poiché non ha più riferimenti e in seguito verranno deallocati tutti e tre i dipendenti referenziati precedentemente dalla lista. Quindi in questo caso non avremo alcun memory leak. Osserviamo invece il seguente caso:

public class Dipendente {
    public Dipendente Superiore;
	public List<Dipendente> Subordinati = new List<Dipendente>();
	public Dipendente(Dipendente superiore) {
	   this.Superiore = superiore;
	}
}

In questo caso vogliamo mantenere per comodità anche un riferimento al superiore di ogni dipendente. Ma analizziamo stavolta cosa succede nel caso in cui l’applicazione non fa più riferimento ai dipendenti. Il capo “Riccardo” dovrebbe essere il primo candidato all’eliminazione, ma non può essere eliminato poiché i tre subordinati mantengono un riferimento. Viceversa, i tre subordinati non possono essere eliminati poiché il capo ne mantiene il riferimento tramite la lista. Questo significa che la struttura non verrà MAI deallocata!! Memory leak!! Una definizione più formale:

Groups of mutually referencing objects which are not directly referenced by other objects and are unreachable can thus become permanently resident; if an application continually generates such unreachable groups of unreachable objects this will have the effect of a memory leak. Weak references may be used to solve the problem of circular references if the reference cycles are avoided by using weak references for some of the references within the group.

In molti articoli come http://www.ibm.com/developerworks/library/j-leaks/index.html o http://blogs.msdn.com/davidklinems/archive/2005/11/16/493580.aspx spesso si risolvono questi problemi eliminando i riferimenti che causerebbero il memory leak adottando soluzioni del tipo:

public class Dipendente : IDisposable {
    public Dipendente Superiore;
	public List<Dipendente> Subordinati = new List<Dipendente>();
	public Dipendente(Dipendente superiore) {
	   this.Superiore = superiore;
	}
	
	public void Dispose() {
	   foreach(Dipendente subordinato in this.Subordinati) {
	       subordinato.Superiore = null;
	   }
	}
}

public class Application {
    static void main() {
	   using(Dipendente riccardo = new Dipendente(null)) {
	       riccardo.Superiori.Add(new Dipendente(riccardo));
		   riccardo.Superiori.Add(new Dipendente(riccardo));
		   riccardo.Superiori.Add(new Dipendente(riccardo));
	   } // esegue la dispose
	   // perde il riferimento
	}
}

Sinceramente non mi piace l’approccio di “ricordarsi” lo using: troverete ovunque forum del tipo “avete memory leak? La colpa è tua che non fai la dispose degli oggetti Drawing!”. Cosa?? La colpa è mia??? No, le cose non stanno così: chi scrive la libreria non deve caricare agli utilizzatori di dettagli che possono causare problemi!!

La soluzione esiste ed è molto semplice: bisogna pensare i riferimenti a oggetti in termini di POSSESSO (OWNERSHIP). Possiedo, e quindi ho diritto di vita e morte, dell’oggetto a cui mi sto riferendo? Se sì, utilizza un normale riferimento come hai sempre fatto (Strong Reference). Altrimenti usa un WeakReference. Cosa è un WeakReference? Semplicemente è un riferimento debole a un oggetto, che ha validità fin quando esistono Strong Reference che mantengono in vita l’oggetto. Risulta comodo vedere le cose in termini di composizione UML: tutte le composizioni sono Strong Reference, altrimenti sono WeakReference.

Si noti un aspetto importante: queste sono regole generali di buona programmazione che si applicano a prescindere dalla implementazione della GC. Infatti linguaggi come C# o Java la GC elimina riferimenti non più utilizzati dal contesto di esecuzione corrente: eventuali riferimenti circolari isolati saranno quindi eliminati. Questo significa quindi che riferimenti circolari causati nel contesto di esecuzione corrente provocano lo stesso identico problema descritto. Un esempio semplice? La nostra applicazione mantiene un riferimento all’ultimo studente selezionato, lo eliminiamo ma non verrà mai cancellato poiché mantenuto dalla app.

Per evitare quindi memory leak in modo corretto e senza impatti sugli utilizzatori della nostra classe dovremo scrivere:

[
public class Dipendente {
    private WeakReference<Dipendente> _superioreWeak;
    public Dipendente Superiore { get { return _superioreWeak.Target; } }
	public List<Dipendente> Subordinati = new List<Dipendente>();
	
	public Dipendente(Dipendente superiore) {
	   this._superioreWeak =  new WeakReference<Dipendente>(superiore);
	}
}

public class Application {
    static void main() {
	   Dipendente riccardo = new Dipendente(null);
	   riccardo.Superiori.Add(new Dipendente(riccardo));
	   riccardo.Superiori.Add(new Dipendente(riccardo));
	   riccardo.Superiori.Add(new Dipendente(riccardo));
	} // perde il riferimento
}

I WeakReference risultano quindi molto utili per impedire memory leak causati da riferimenti circolari. Utilizzi tipici sono situazioni composite con riferimento al padre o situazioni di caching, in cui tramite un weak hash map vengono memorizzati gli oggetti senza impedirne la deallocazione (altrimenti nella cache vivrebbero oggetti per sempre!!). Una buona regola è comunque utilizzare un tool per la rilevazione di memory leak, come CLR Profiler.

Posted in .net, design, java, performance | 6 Comments »

Quando usare String.Intern: i Lock

Posted by Ricibald on 16th April 2009

String è un tipo immutabile che si basa sul pattern Flyweight: ogni volta creiamo una nuova stringa questa prenderà l’istanza memorizzata per quel valore. Un esempio pratico chiarisce tutto:

string s1 = "ciao";    // puntatore: p1
string s2 = "a tutti"; // puntatore: p2
string s3 = s1 + s2;  // puntatore: p3
string s4 = "ciao a tutti"; // puntatore: p3
s1 = s1 + s2; // puntatore: p1
s1 == s3; // true (verosimiglianza dall'override dell'operatore)
(object)s1 == (object)s3;  // false (confronto puntatori)
s1 = String.Inner(s1); // puntatore: p3
(object)s1 == (object)s3;  // true (confronto puntatori)

Questo per dare una spolveratina ai concetti. Il metodo String.Intern consente quindi di restituire il valore del puntatore memorizzato in cache. Ma a cosa può essere utile questa funzione?

Un utilizzo immediato risiede in ragioni di performance: confrontare puntatori è molto più efficiente che confrontare il contenuto. Avere quindi una collezione di stringhe con puntatori intern consente una comparazione molto più efficiente. Normalmente infatti l’approccio in una comparazione dovrebbe essere: per primo confronta i puntatori, altrimenti il contenuto.

Ma esiste un ulteriore utilizzo. Un utilizzo possibile sta nel lock: le funzioni di lock di .NET si basano infatti sul valore del puntatore per effettuare un lock. Immaginiamo quindi un lock di questo tipo:

lock((string)Session["username"]) {
    dbOperation1();
    dbOperation2();
}

Questo lock è sbagliato: infatti se lo stesso utente è collegato da un altro browser il lock potrebbe non essere acquisito. Il seguente metodo consente invece un lock corretto:

lock(String.Intern((string)Session["username"])) {
    dbOperation1();
    dbOperation2();
}

Si noti che questo approccio presuppone l’utilizzo di un unico web server. Se invece abbiamo in cluster differenti server, a seconda del server scelto potremmo avere differenti valori per il puntatore di “username” e l’approccio non sarebbe valido comunque.

Posted in .net | 3 Comments »

Virtual proxy: una trappola senza uscita?

Posted by Ricibald on 20th July 2007

I virtual proxy forniscono un rappresentante di un oggetto in modo da gestirne il caricamento su richiesta, anche noto come lazy initialization.

Se immaginiamo un file word di 500 pagine, con più di 1000 immagini, il caricamento dovrebbe impegnare molto tempo e molte risorse. In realtà quel che succede è che ogni immagine non viene caricata, ma solo “dichiarata”. Nel nostro file “PROVA.DOC” ci saranno informazioni utili come width/height dell’immagine in modo che la “dichiarazione” dell’immagine consenta la corretta impaginazione.

Fin qui tutto bene, ma ora immaginiamo di aver fatto scorrere tutte le 500 pagine e di aver visto tutte le 1000 immagini. Cosa succede? Semplice: tutte le immagini sono state effettivamente caricate e abbiamo consumato molta, molta RAM (aaarghhh!!) .

Il problema (quì molto romanzato…) sembra però più serio del previsto. Citiamo il pattern Proxy:

Il design pattern Proxy fornisce un surrogato o un segnaposto di un altro oggetto per controllare l’accesso a tale oggetto.

Il client che utilizza il Proxy ne è inconsapevole: sa solamente che il comportamento atteso della classe deve essere rispettato. L’indirezione introdotta dal Proxy deve quindi essere trasparente e l’utente non può intervenire su di essa. Il clean quindi non può (e non deve) essere gestito manualmente.

Abbiamo quindi il seguente schema:

  • una classe R reale
  • un virtual proxy V che gestisce il caricamento su richiesta di R
  • un client, che utilizza V ma che in realtà è convinto di utilizzare R

Dopo tanto patire, senza ulteriori preliminari, questa è la soluzione che mi sembra più corretta (vi apparirà forse scontata ora che la leggete, ma vi garantisco che cercando e ricercando su Google nessuno ne parla…). Il nuovo contesto è il seguente:

  • una classe R reale
  • un cache proxy C, che memorizza fino a n classi reali R
  • un virtual proxy V, che se necessario richiede a C di ottenere la classe reale R
    • C restituisce la cache entry se esiste, o crea il corrispondente R memorizzando il risultato in cache
    • se nella memorizzazione del nuovo cache entry viene superato il limite n di cache:
      • viene liberata la cache eliminando l’elemento meno richiesto (least frequently used)
      • vengono notificati tutti gli V che ne facevano uso, che impostano a null la classe reale R utilizzata richiamando funzioni di liberazione della memoria come la garbage collection. La notifica si deve basare su un protocollo condiviso tra V e C, utilizzando ad esempio il design pattern Observer.
  • un client, che utilizza V ma che in realtà è convinto di utilizzare R

Un modo semplice di implementare la tecnica “least frequently used” è la strategia “move-to-front” descritta in Pattern Oriented Software Architecture: a ogni richiesta di una cache entry l’elemento viene spostato alla testa di una lista. Quando è necessario liberare memoria possono essere eliminati gli elementi alla coda della lista. Questo può essere implementato (ad es. in Java) estendendo i metodi get() e put() di una Map.

Questa (da quanto ne so) è una soluzione “casalinga”, che non si basa su tecniche o pattern noti. Perciò qualunque suggerimento/critica sarà più che apprezzata…

Posted in pattern | 2 Comments »

Memory Leak in C++ – Le Cinque (Semplici) Regole d’Oro Per Un Software “Leggero”

Posted by Ricibald on 30th December 2006

I Memory Leak avvengono quando aree di memoria non più utilizzabili rimangono in memoria. Tali errori derivano dal mancato rispetto della seguente regola:

ogni oggetto allocato nello heap – con new T/new T[]/malloc – deve essere esplicitamente deallocato – con delete/delete[]/free – secondo le regole di corrispondenza indicate con il delimitatore ‘/’

Infatti, lo scope di una area heap coincide con quella dell’ultimo puntatore che ne contiene l’indirizzo, ma il suo lifetime coincide con l’intera durata del programma a meno dell’invocazione di delete/delete[]/free.
Se non è stato invocato il corrispondente delete/delete[]/free e l’ultimo puntatore disponibile va out of scope, l’area non è più accessibile ma continua a occupare memoria inutilmente generando l’errore di memory leak.

Si nota subito quindi che il problema riguarda esclusivamente l’area heap. Nello stack questo non è possibile poiché il lifetime di una variabile allocata nello stack coincide con il suo scope: quando la variabile è out of scope viene automaticamente deallocata.

Innanzitutto la regola base è quindi quella di rispettare le corrispondenze di allocazione/deallocazione: il new T deve essere seguito dal delete, il new T[] deve essere seguito dal delete[], la mallocdeve essere seguito da una free.

Spesso la causa più frequente di memory leak è omettere di deallocare le risorse quando non sono più necessarie. Immaginiamo ad esempio di avere la classe factory WindowFactory che crea oggetti con tipo base Window (supponiamo quindi che esistano sottoclassi di Window):

class WindowFactory {
    public:
        static Window* createWindow();
}

la funzione createWindow() restituisce un puntatore a un oggetto allocato dinamicamente di tipo base Window. Ci ricordiamo che restituire un puntatore in questo contesto è necessario per evitare il problema dello slicing. Quindi chi utilizza una Window deve:

  1. creare la Window con createWindow()
  2. usare la Window
  3. cancellare la Window con delete

Questo comporta che l’utilizzatore di Window è responsabile di deallocare la Window. Forse è un rischio che non vogliamo correre… La soluzione consiste nel creare una classe che funge da resource manager:

class WindowManager {
    private:
        Window* w;
    public:
        WindowManager() {
            w = WindowFactory::createWindow();
        }
        Window* getWindow() {
            return w;
        }
        ~WindowManager() {
            delete w;
        }
}
class TestWindow {
    void disegna() {
        WindowManager m;
        Window* w = m.getWindow();
        /* utilizza w... */
    } /* ora m è out of scope: w è deallocata */
}

La classe WindowManager ha la sola funzione di avvolgere Window per garantirne la deallocazione. L’utilizzo di WindowManager viene spesso chiamato Resource Acquisition Is Initialization (RAII) poiché è un idioma consolidato in C++ il fatto che nella stessa espressione un oggetto venga contemporaneamente dichiarato e inizializzato. Le classi RAII potrebbero essere viste come:

“So che i memory leak derivano dalla differenza concettuale tra heap e stack. Sarebbe bello se tutti gli oggetti che l’utilizzatore deve creare rispettassero le semplici regole di visibilità dello stack! In questo modo sarebbe impossibile generare memory leak! Ma come ottenere questo? Semplice: creo classi RAII

Stavolta infatti l’utilizzatore finale non crea nulla nello heap. La deallocazione segue esclusivamente le semplici regole dello stack: la deallocazione della Window è basata solo sullo scope di WindowManager.

Se generalizziamo questo approccio attraverso i template otteniamo gli smart pointer. I più utilizzati sono i reference-counting smart pointer (RCSP), che tengono traccia del numero di puntatori alla risorsa gestita e permettono di garantire una garbage collection per una particolare risorsa. In C++ gli RCSP coincidono con std::tr1::shared_ptr<T>.

Tornando al nostro problema, ricordiamo che l’obbiettivo sarebbe quello di creare una nuova Window senza delegare la responsabilità di cancellare la Window all’utilizzatore. In parte l’abbiamo ottenuto tramite il WindowManager, ma l’utilizzatore potrebbe comunque invocare WindowFactory::createWindow() a proprio piacimento e il problema rimarrebbe.

Sarebbe comodo che la stessa funzione WindowFactory::createWindow() restituisse un “qualcosa” che rispetti l’idioma RAII. E’ possibile ottenere questo comportamento avvolgendo la Window in uno smart pointer RCSP:

typedef boost::shared_ptr<Window> WindowPtr;
class WindowFactory {
    public:
        static WindowPtr createWindow();
}
class TestWindow {
    void disegna() {
        WindowPtr wp = WindowFactory::createWindow();
        wp->onClose(Window::EXIT);
        wp->view();
    } /* ora wp è out of scope: wp è deallocato */
}

Utilizzare classi RAII si rileva l’approccio migliore anche per prevenire i memory leak causati da eccezioni. Ad esempio:


class TestWindow {
    private:
        Window* w;
        Image* i;
    void disegna() {
        w = WindowFactory::createWindow();
        w->view();
        /* La creazione di Image potrebbe sollevare una eccezione */
        i = new Image("/home/ricibald/image.png");
        w->setImage(i);
        w->refresh();
        w->close();
        delete w;
    }
}

Se il costruttore di Image solleva una eccezione allora la Window puntata da w non verrà mai deallocata! Se invece utilizziamo classi RAII, il comportamento sarà corretto:

typedef boost::shared_ptr<Window> WindowPtr;
class TestWindow {
    private:
        WindowPtr w;
        Image* i;
    void disegna() {
        wp = WindowFactory::createWindow();
        wp->view();
        /* La creazione di Image potrebbe sollevare una eccezione */
        i = new Image("/home/ricibald/image.png");
        wp->setImage(i);
        wp->refresh();
        wp->close();
    }
}

Se viene sollevata una (qualsiasi) eccezione, wp diventa out of scope e la deallocazione avviene correttamente. Viene infatti invocato il distruttore di shared_ptr che a sua volta invocherà il delete di w.

Rispettare la regola RAII consente di prevenire la maggior parte degli errori, ma esistono anche memory leak causati da comportamenti indefiniti del compilatore, pena possibili memory leak “molto sottili“.

Esistono tre possibili comportamenti indefiniti del compilatore.

Il primo comportamento indefinito si può verificare con gli smart pointer. Si consideri infatti il seguente codice:

processaFinestra(boost::shared_ptr<Window>(new Window),priority());

il compilatore deve eseguire le tre seguenti cose

  • Invocare priority
  • Eseguire “new Window
  • Invocare il costruttore di boost::shared_ptr

Ma l’ordine delle operazioni è indefinito! Chiaramente il costruttore di shared_ptr dovrà essere invocato dopo “new Window“, ma priority() può essere invocato per primo, secondo o terzo! Consideriamo questa possibile sequenza di operazioni:

  1. Eseguire “new Window
  2. Invocare priority
  3. Invocare il costruttore di boost::shared_ptr

Ma se la funzione priority() sollevasse un’eccezione? In questo caso il puntatore restituito da “new Window” sarebbe perduto e l’oggetto Window referenziato non verrebbe deallocato: memory leak!! Come evitare questo comportamenti anomalo? Semplice: basta memorizzare gli smart pointer in istruzioni isolate. L’esempio precedente diventa quindi:

boost::shared_ptr<Window> wp(new Window);
processaFinestra(wp,priority());

Il secondo comportamento indefinito si può verificare nella deallocazione di classi polimorfiche. In classi base polimorfiche è necessario dichiarare il distruttore virtual. Se non viene rispettata questa regola, il programma funzionerà lo stesso, ma il comportamento della deallocazione è indefinito. Tipicamente le sottoclassi non sono distrutte, scatenando seri memory leak.

Il terzo comportamento indefinito si può verificare se i distruttori sollevano eccezioni. Se ciò dovesse avvenire, potrebbero attivarsi più eccezioni contemporaneamente, e in tal caso il risultato è indefinito. Ad esempio:

  1. il mio distruttore di una classe “Test” cancella una lista “finestre” che contiene N oggetti “Finestra
  2. il distruttore della classe “Finestra potrebbe generare un’eccezione in caso di errori in chiusura
  3. la deallocazione della lista “finestre” potrebbe generare più eccezioni contemporaneamente
  4. il risultato è indefinito: i rimanenti oggetti Finestra vengono deallocati? Ho memory leak?

è logico che non ci possiamo basare su risultati indefiniti! Quindi quali soluzioni adottare? Tre possibilità

  1. termina il programma in modo anomalo con std::abort()
  2. gestisci l’eccezione nel distruttore con try-catch, ma questo non consente di intervenire sull’errore
  3. fornisci una normale funzione close() che (1) deallochi oggetti Finestra e (2) sollevi l’eventuale eccezione. Tale funzione deve essere invocata esplicitamente dall’utilizzatore di Finestra.
    Il distruttore di Finestra, invece, verifica se tale funzione è stata invocata manualmente dall’utente (tramite una variabile booleana closed). Se la funzione close() non è stata ancora invocata, il distruttore garantisce comunque l’esecuzione di close(), con la differenza che stavolta l’ eventuale eccezione di close() deve essere gestita all’interno del costruttore, in modo analogo al precedente punto.
    Tutto questo si traduce in:

    class WindowException: public exception {
        virtual const char* what() const {
            return "Errore nella chiusura della finestra";
        }
    }
    class Finestra {
        private:
            Window w;
            boolean closed;
        public:
            ...
            void close() throw(WindowException) {
                w.close();
                if(!w.closed()) {
                    throw WindowException();
                }
                closed = true;
            }
            ~Finestra() {
                if( !closed ) {
                    try {
                        w.close();
                    } catch(WindowException& e) {
                        cerr << e.what << endl;
                        /* Se necessario esegui std::abort() */
                    }
                }
            }
    }
    

Concludendo, per prevenire (o addirittura impedire) memory leak bisogna rispettare le seguenti regole:

  • rispettare le corrispondenze: new T/new T[]/malloc corrisponde a delete/delete[]/free
  • restituire all’utilizzatore solo classi RAII tramite smart pointer o resource manager creati appositamente
  • creare smart pointer in istruzioni isolate
  • dicharare virtual i distruttori di classi polimorfiche
  • costruire distruttori privi di eccezioni. In caso di errori da gestire occorre fornire una funzione regolare che dia la possibilità di intervenire sull’eventuale eccezione (il comportamento del distruttore deve essere comunque garantito in caso di mancata invocazione di tale funzione regolare)

Questo lavoro è basato soprattutto sul libro di Scott Meyers “Effective C++ – Third Edition”.

Un’ altro riferimento molto interessante è l’articolo di George Belotsky.

Posted in c++, performance | 6 Comments »