RocqのProgram機構の紹介 〜型を活用した安全なプログラミング〜

Transcript

1. RocqのProgram機構の紹介 〜型を活用した安全なプログラミング〜 Hiroki Tokunaga

2. 自己紹介 名前：Hiroki Tokunaga 仕事：セキュリティエンジニア 趣味：Haskell、OCaml、Rocq、Lean X ：_toku_san GitHub ：toku-sa-n 2

3. 内容 1. このLTの⽬的 2. お題：リストのidx番⽬の要素を取り出す 3. こういうときこそProgram機構 4. コードと証明の流れ 5.

   まとめ 3

4. このLTの目的 - Rocqには「Program」機構というちょっと⾯⽩い仕組みがある - 紹介したい！ 4 以上です

5. お題：リストのidx番⽬の要素を取り出す - Rocqには例外機構がない - option値を返すか、デフォルト値を⽤意する nth : forall A :

   Type, nat -> list A -> A -> A nth_error : forall A : Type, list A -> nat -> option A 5

6. でも、idxがリストの長さより短いって分かってたら？ nth_safe : forall A : Type, (l : list

   A) -> (idx : nat) -> (hn : idx < length l)　-> A 6 証明が必要になる → タクティクスを使いたい

7. こういうときこそProgram機構 - 定義中に_を使うと、対応する項をタクティクスで補完できる - Next Obligationでその項のためのゴールが⽣成される 7 公式ドキュメント：https://rocq-prover.org/doc/V9.0.0/refman/addendum/program.html

8. コード例：nth_safe（関数定義） Program Fixpoint nth_safe {A} (l : list A) (idx

   : nat) (hn : idx < length l) : A := match l with | [] => _ | h :: t => match idx with | O => h | S idx' => nth_safe t idx' _ end end. 8

9. コード例：nth_safe（Obligationの解決1） Next Obligation. 9 1 goal A : Type idx

   : nat hn : idx < length [] --- A

10. コード例：nth_safe（関数定義） Program Fixpoint nth_safe {A} (l : list A) (idx

    : nat) (hn : idx < length l) : A := match l with | [] => _ | h :: t => match idx with | O => h | S idx' => nth_safe t idx' _ end end. 10 l = []なので hn : idx < length []

11. コード例：nth_safe（Obligationの解決1） Next Obligation. Proof. simpl in hn. lia. Qed. 11

    No more goals.

12. コード例：nth_safe（Obligationの解決2） Next Obligation. 12 1 goal A : Type idx'

    : nat h : A t : list A hn : S idx' < length (h :: t) --- idx' < length t

13. コード例：nth_safe（関数定義） Program Fixpoint nth_safe {A} (l : list A) (idx

    : nat) (hn : idx < length l) : A := match l with | [] => _ | h :: t => match idx with | O => h | S idx' => nth_safe t idx' _ end end. 13 l = h :: t, idx = S idx'なので hn: S idx' < length (h :: t) ゴール：idx' < length t

14. コード例：nth_safe（Obligationの解決2） Next Obligation. Proof. simpl in hn. lia. Qed. 14

    No more goals.

15. まとめ - 条件付きの定義を自然に書ける - 証明と定義を分離 できて管理しやすい - 型レベルで安全性を担保 しやすくなる 15

    📌 Program機構のポイント - FixpointではなくProgram Fixpointなどとする - 関数定義の⼀部を _ で置き換える - Next Obligationで _ の部分の証明を書く 📌 Program機構の利点