IV113 Validace a verifikace

IV113 Validace a verifikace Lehký u´vod do analýzy program˚ u Jiˇr´ı Barnat

Analýza program˚ u

C´ıle programov´ e anal´ yzy Odvodit vlastnosti program˚ u z jejich zdrojového kódu a ... ... vyuˇz´ıt je pro optimalizaci program˚ u. ... vyuˇz´ıt je pro (alespoˇn ˇcásteˇcnou) verifikaci program˚ u. Nerozhodnutelnost Vˇsechny zaj´ımavé vlastnosti program˚ u zapsaných v obecném programovac´ım jazyce jsou v nerozhodnutelné. Henry Gordon Rice (1953) – Riceovy vˇety. Alan Turing (1936) – Problém zastaven´ı.

´ IV113 Uvod do validace a verifikace: Anal´ yza program˚ u

str. 2/29

Nerozhodnutelné – Jak dál? Abstrakce Zakryt´ı detail˚ u, za u´ˇcelem zjednoduˇsen´ı analýzy. Snaha o korektn´ı, byˇt neúplná ˇreˇsen´ı. Vyuˇ zit´ı abstrakce Zjednoduˇsené modelovac´ı jazyky pro popis programu. (Typicky vedou na koneˇcnˇe velký stavový prostor.) Vykonáván´ı kódu pˇri uvaˇzované abstrakci – abstraktn´ı interpretace. Jin´ e cesty – pˇripomenut´ı jin´ ych pˇr´ıstup˚ u Fixovaná, ˇci jinak omezená mnoˇzina vstup˚ u (testován´ı). Omezen´ı zkoumaného prostoru (bounded MC). Praktická nerozhodnutelnost (ˇreˇsiˇce SMT). ´ IV113 Uvod do validace a verifikace: Anal´ yza program˚ u

str. 3/29

Sekce

Datové a predikátové abstrakce


str. 4/29

Datové abstrakce Motivace Stavová exploze zp˚ usobená velkými datovými doménami. Redukce myˇslenkou doménového testován´ı, tj. nahrazen´ı konkrétn´ı velké datové domény abstrahovanou datovou doménou s menˇs´ım poˇctem prvk˚ u. Terminologie Abstrakce: mapován´ı konkrétn´ıch stav˚ u na abstraktn´ı. Konkretizace: mapován´ı abstraktn´ıch stav˚ u na mnoˇziny konkrétn´ıch stav˚ u. Pˇr´ıklad datov´ e abstrakce Int -> { Even, Odd } Konkrétn´ı stav: h PC:12, A:15, B:0 i Abstraktn´ı stav: h PC:12, A:Odd, B:Even i ´ IV113 Uvod do validace a verifikace: Anal´ yza program˚ u

str. 5/29

Abstraktn´ı pˇrechodový systém Pˇrechody v konkr´ etn´ı a abstraktn´ı s´ emantice Pˇr´ıkaz programu na ˇrádku 12: A := A+A V konkrétn´ı sémantice: hPC:12, A:15, B:0i −→ hPC:13, A:30, B:0i

V abstraktn´ı sémantice: hPC:12, A:Odd, B:Eveni −→ hPC:13, A:Even, B:Eveni

Nedeterminismus v abstraktn´ım pˇrechodov´ em syst´ emu Abstraktn´ı stav: hPC:13, A:Even, B:Eveni Pˇr´ıkaz programu na ˇrádku 13: A := A div 2 hPC:13, A:Even, B:Eveni −→ hPC:14, A:Even, B:Eveni hPC:14, A:Odd, B:Eveni


str. 6/29

Vztah abstraktn´ıho a konkrétn´ıho pˇrechodového systému Nad-aproximace (Over-Approximation) Kaˇzdý bˇeh konkrétn´ıho systému je obsaˇzen v konkretizaci nˇejakého abstraktn´ıho bˇehu. Mohou existovat bˇehy, jeˇz jsou obsaˇzeny v konkretizaci nˇejakého abstraktn´ıho bˇehu, ale nejsou v p˚ uvodn´ım konkrétn´ım pˇrechodovému systému. Pod-aproximace (Under-Approximation) Kaˇzdá bˇeh obsaˇzený v konkretizaci libovolného abstraktn´ıho bˇehu je bˇehem p˚ uvodn´ıho konkrétn´ıho pˇrechodového systému. Mohou existovat bˇehy konkrétn´ıho pˇrechodového systému, které nejsou obsaˇzeny v konkretizaci ˇzádného abstraktn´ıho bˇehu. ´ IV113 Uvod do validace a verifikace: Anal´ yza program˚ u

str. 7/29

Verifikace aproximovaných pˇrechodových systém˚ u Znaˇ cen´ı APS – abstraktn´ı pˇrechodový systém KPS – konkrétn´ı pˇrechodový systém Verifikace nad-aproximace Absence chyby v APS dokazuje absenci chyby v KPS. Chyba v APS m˚ uˇze a nemus´ı být chyba v KPS. Chyba v APS, která nen´ı chybou v KPS, se oznaˇcuje jako ”spurious error” (false positive, false alarm). Verifikace pod-aproximace Chyba v APS dokazuje pˇr´ıtomnost chyby v KPS. Absence chyby v APS nedokazuje absenci chyby v KPS. Chyba v KPS, která nen´ı zachycena v APS, se oznaˇcuje jako (false negative). ´ IV113 Uvod do validace a verifikace: Anal´ yza program˚ u

str. 8/29

Pˇr´ıklad – konkrétn´ı sémantika Pˇr´ıklad Je dosaˇzitelný chybový stav v následuj´ıc´ım programu? % oznaˇcuje operaci modulo, A je celoˇc´ıselná promˇenná Kód programu

Hodnota A v konkrétn´ı sémantice po proveden´ı pˇr´ıkazu vlevo

1 2 3 4 5 6 7

[int] [0] [1]

[1] [2]

read(A); A = A % 2; A = A + 1; if (A==0) error; else return;


str. 9/29

Pˇr´ıklad – datová abstrakce Pˇr´ıklad Je dosaˇzitelný chybový stav v následuj´ıc´ım programu? A je abstrahováno do domény {even,odd} Kód programu

Hodnota A v abstrahované sémantice po proveden´ı pˇr´ıkazu vlevo

1 2 3 4 5 6 7

[even] [even] [odd]

[odd] [odd] [even] <true/false> <error>



str. 10/29

Predikátová abstrakce

Predik´ atov´ a abstrakce Predikáty – podm´ınkové výrazy o valuaci promˇenných. Jiný zp˚ usob jak definovat abstraktn´ı pˇrechodový systém. Jedna moˇzná konkrétn´ı definice abstrakce: hˇc´ıtaˇc instrukc´ı + valuace zvolených predikát˚ ui M´ıra abstrakce Mnoˇzstv´ı predikát˚ u ovlivˇnuje pˇresnost abstrakce. Málo predikát˚ u velká nepˇresnost, malá stavová exploze V´ıce predikát˚ u malá nepˇresnost, velká stavová exploze


str. 11/29

Pˇr´ıklad Zad´ an´ı Pro n´ıˇze uvedený program a uvedené mnoˇziny predikát˚ u nakreslete abstraktn´ı pˇrechodový systém, který vznikne pouˇzit´ım metody predikátové abstrakce. Ve vámi navrˇzeném pˇrechodovém systému rozhodnˇete, zda je nˇekterá z cest vedouc´ı do chybového programu realizovatelná. 1 2 3 4 5 6 7



a) P1 ≡ A = 0 b) P1 ≡ A = 0, P2 ≡ A ≥ 0

str. 12/29

Poznámky k predikátové abstrakci

Anal´ yza abstraktn´ıch cest vedouc´ıch k chybˇ e Rozhodnut´ı o realizovatelnosti (jedná se o faleˇsný alarm?) Odvozen´ı nových predikát˚ u, které zpˇresn´ı abstrakci. Probl´ em velikosti abstraktn´ıho pˇrechodov´ eho syst´ emu S poˇctem predikát˚ u roste exponenciálnˇe velikost abstraktn´ıho pˇrechodového systému. Moˇ zn´ e ˇreˇsen´ı Predikáty svázané s konkrétn´ı lokac´ı v programu.


str. 13/29

Sekce

Metoda CEGAR


str. 14/29

Counter-Example Guided Abstraction Refinement Princip metody CEGAR Systém je abstrahován metodou predikátové abstrakce pro iniciáln´ı mnoˇzinu predikát˚ u. Abstraktn´ı pˇrechodový systém (nad-aproximace) verifikován metodou ovˇeˇrován´ı modelu. V pˇr´ıpadˇe nalezen´ı ”spurious” protipˇr´ıkladu je tento pouˇzit k odvozen´ı nových predikát˚ u a zpˇresnˇen´ı abstrakce. Po zpˇresnˇen´ı abstrakce se postup opakuje. Pozn´ amky Odvozován´ı nových vhodných predikát˚ u je velmi sloˇzité. Odvozován´ı predikát˚ u v dobˇe bˇehu verifikace (on-the-fly). Berkeley Lazy Abstraction Software Verification Tool (BLAST). ´ IV113 Uvod do validace a verifikace: Anal´ yza program˚ u

str. 15/29

Schéma metody CEGAR System

Abstract

Abstract Model

Property Is property satisfied?

Yes

System is valid

No Refined Model Refine Model

Counter Example Is c−example No spurious?


System is invalid

Yes

str. 16/29

Sekce

Základy abstraktn´ı interpretace


str. 17/29

Programová analýza abstraktn´ı interpretac´ı Reprezentace programu – Flow Graph ”Speciáln´ı verze” grafu toku ˇr´ızen´ı (Control-Flow Graph). Kaˇzdá hrana má budˇ právˇe jednu stráˇz (podm´ınku), nebo právˇe jeden efekt (pˇriˇrazen´ı). C´ıl Vypoˇc´ıtat vlastnosti jednotlivých vrchol˚ u flow-grafu. Pˇr´ıklady c´ıl˚ u V jakém rozsahu hodnot se v daném m´ıstˇe programu m˚ uˇze vyskytnout vybraná promˇenná. Které promˇenné jsou v daném m´ıstˇe programu ˇzivé. ... ´ IV113 Uvod do validace a verifikace: Anal´ yza program˚ u

str. 18/29

Obecný postup výpoˇctu Poˇ zadavky Doména moˇzných ˇreˇsen´ı pro jednotlivé vrcholy grafu. Iniciáln´ı ˇreˇsen´ı asociované s kaˇzdým vrcholem grafu. Definice toho, jakým zp˚ usobem ovlivˇnuje (aktualizuje) hrana mezi dvˇema vrcholy ˇreˇsen´ı asociované k dotˇceným vrchol˚ um. Aktualizace ˇreˇsen´ı zp˚ usobené (opakovaným) zpracován´ım hrany flow grafu je monotónn´ı funkce. V´ ypoˇ cet Vyberu nezpracovanou hranu a aktualizuji ˇreˇsen´ı u pˇridruˇzených vrchol˚ u, pokud se ˇreˇsen´ı zmˇenilo, oznaˇc´ım hranu znovu jako nezpracovanou. Opakuji, dokud existuj´ı nezpracované hrany. ´ IV113 Uvod do validace a verifikace: Anal´ yza program˚ u

str. 19/29

Pˇr´ıklad – výpoˇcet ˇzivých promˇenných Konfigurace v´ ypoˇ ctu Doména = potenˇcn´ı mnoˇzina mnoˇziny vˇsech promˇenných. Iniciáln´ı hodnota asociovaná s vrcholy je ∅. Pro hranu z vrcholu u do vrcholu v je definován update ˇreˇsen´ı pro vrchol u takto: V (u) = V (u) ∪ V (v ) \ assigned(u, v ) ∪ used(u, v ) , kde V (x) oznaˇcuje mnoˇzinu ˇreˇsen´ı asociovaných s vrcholem x, assigned(u, v ) a used(u, v ) oznaˇcuj´ı promˇenné pˇredefinované a pouˇzité hranou z u do v . Pozorov´ an´ı V kaˇzdém bodˇe výpoˇctu mám nˇejaké (aproximuj´ıc´ı) ˇreˇsen´ı. Dosaˇzen´ı pevného bodu nen´ı garance nejlepˇs´ıho ˇreˇsen´ı. ´ IV113 Uvod do validace a verifikace: Anal´ yza program˚ u

str. 20/29

Abstraktn´ı interpretace Pozorov´ an´ı Výˇse uvedený postup je ve své podstatˇe velmi obecný, vhodnou volbou abstrakce a dalˇs´ıch parametr˚ u lze ovˇeˇrovat mnoho r˚ uzných vˇec´ı. Oznaˇcuje se jako abstraktn´ı interpretace. Co lze parametrizovat Abstraktn´ı doménu ˇreˇsen´ı. Smˇer aktualizace (po smˇeru, proti smˇeru, oboj´ı). Definice update funkc´ı. Jak kombinovat hodnoty v m´ıstˇe spojen´ı cest flow-grafu. Poˇrad´ı vyhodnocován´ı nezpracovaných hran. Detekce ˇcasného ukonˇcen´ı. ´ IV113 Uvod do validace a verifikace: Anal´ yza program˚ u

str. 21/29

Relevantn´ı otázky abstraktn´ı interpretace

Existuje pevn´ y-bod? Struktura moˇzných ˇreˇsen´ı asociovaných s jednotlivými vrcholy tvoˇr´ı u´plný svaz. Knaster-Tarskiho teorém ˇr´ıká, ˇze na takové doménˇe má kaˇzdá monotónn´ı funkce pevný bod. Terminuje v´ ypoˇ cet? Pokud neexistuje nekoneˇcná rostouc´ı posloupnost moˇzných ˇreˇsen´ı, pak ano. V opaˇcném pˇr´ıpadˇe nemus´ı.


str. 22/29

Pomocné techniky – Rozˇs´ıˇren´ı Rozˇs´ıˇren´ı (Widening) Pomocná transformace vypoˇc´ıtaných mezi-ˇreˇsen´ı tak, aby zachovalo korektnost, ale zabránilo existenci nekoneˇcnˇe rostouc´ı posloupnosti, respektive zkrátilo jej´ı délku. Pˇr´ıklad Urˇcen´ı ˇc´ıselného intervalu, ve kterém budou hodnoty zpracovány pˇresnˇe, mimo tento interval budou reprezentovány hodnotou +∞ nebo −∞. Posloupnost [0,1] ⊂ [0,2] ⊂ [0,3] ⊂ [0,4] ⊂ [0,5] ⊂ [0,6] ... se pro interval pˇresnosti [0,3] zmˇen´ı na: [0,1] ⊂ [0,2] ⊂ [0,3] ⊂ [0,+∞] ´ IV113 Uvod do validace a verifikace: Anal´ yza program˚ u

str. 23/29

Pomocné techniky – Zúˇzen´ı Z´ uˇ zen´ı (Narrowing) Pouˇzit´ı rozˇs´ıˇren´ı vede na velmi nepˇresné výsledky. M˚ uˇze být pouˇzit pouze doˇcasnˇe k terminaci analýzy cykl˚ u. Po analýze cyklu moˇzno provést analýzu cyklu znovu a pˇresnˇe, avˇsak s iniciáln´ı hodnotou z´ıskanou po dokonˇcen´ı analýzy cyklu s rozˇs´ıˇren´ım. Pˇr´ıklad Hodnota [0,+∞] se proveden´ı zúˇzen´ı dostane na reálnou hodnotu [0,n]. Koment´ aˇr Pˇresné a dalˇs´ı pouˇzit´ı technik rozˇs´ıˇren´ı a zúˇzen´ı je nad rámec tohoto kurzu. ´ IV113 Uvod do validace a verifikace: Anal´ yza program˚ u

str. 24/29

Fináln´ı poznámky k abstraktn´ı interpretaci Dalˇs´ı oblasti programov´ e anal´ yzy Mezi-proceduráln´ı analýza. Analýza paraleln´ıch program˚ u. Generován´ı invariant˚ u. Analýza ukazatel˚ u a dynamických datových struktur. ... CPA checker The Configurable Software-Verification Platform http://cpachecker.sosy-lab.org/ V´ıtˇez mnoha kategori´ıch v Software Verification Competition. ´ IV113 Uvod do validace a verifikace: Anal´ yza program˚ u

str. 25/29

Domác´ı u´kol

Pˇripomenut´ı Pro moˇznost udˇelen´ı hodnocen´ı stupnˇem A, je nutné vypracovat vˇsechny domác´ı u´lohy. Zad´ an´ı dom´ ac´ı u ´lohy Identifikujte ve slajdech m´ısto, které by stálo za to doplnit nˇejakým vysvˇetluj´ıc´ım obrázkem, tento obrázek vytvoˇrte a nejpozdˇeji v den konán´ı zkouˇsky poˇslete emailem vyuˇcuj´ıc´ımu spolu s identifikac´ı m´ısta um´ıstˇen´ı.


str. 26/29

Sekce

A to je konec ...


str. 27/29

Shrnut´ı IV113 a reklama IV113 – Pˇrehled verifikaˇ cn´ıch pˇr´ıstup˚ u Black-box testing. White-box testing a symbolická exekuce. Principy deduktivn´ı verifikace. Model checking LTL a CTL. Bounded model checking. ´ Uvod do programové analýzy. IA159 – Formal Verification Methods Detaily vybraných verifikaˇcn´ıch metod. Programová analýza. Verifikace nekoneˇcnˇe stavových systém˚ u. IV101 – Semin´ aˇr z verifikace Pouˇzit´ı verifikaˇcn´ıch nástroj˚ u. ´ IV113 Uvod do validace a verifikace: Anal´ yza program˚ u

str. 28/29

Závˇerem

Zkouˇsky Bez pomocných materiál˚ u na veˇskerý odpˇrednáˇsený obsah. Nutno se pˇrihlásit skrze IS. V´ yzva Pros´ım o zpˇetnou vazbu skrze studentskou anketu. Uv´ıtám námˇety a obrázky na doplnˇen´ı slajd˚ u.

Dˇ ekuji za pozornost!


str. 29/29

IV113 Validace a verifikace

Recommend Documents