kani

Transcript

1. chiaoi（twitter @_chiaoi）

2. Agenda 1. Rust 2. kani 3. Example: NonZero<T> 4. Contract

   5. Loop invariant 6. auto harness

3. Note Level: 500 (distinguished) Verifying the safety of the Rust

   standard library

4. Rust プログラミング言語の一つ。 Stack Overflowによる「好きな言語」の年次 調査 1位！！！！！１

5. Rust が選ばれる理由 1. メモリ安全性 a. 所有権・借用によりメモリ安全を保証できる 2. スレッド安全性 a. データの競合をコンパイル時に検出できる

   3. 高速 a. GCなし、ゼロコスト抽象化で C/C++並みの性能が出る 4. 他にも a. 型安全 b. モダンな言語機能 c. エラーハンドリング

6. Rust のユースケース 1. Firecracker -> VMとホストの境界を扱う。 a. AWSが作成したMicroVM。Lambda、Fargateで使用。 2. Bottlerocket

   -> OS自体の安全性は大事。 a. AWSが作成したコンテナOS。 3. Cedar -> 認可ロジックの正確性が必須。 a. 認可ポリシー言語。AgentCore Policyでも使用されて再び話題に。 4. Linux kernel -> カーネルバグは全てに影響する。 a. カーネル部分の一部に Rustが採用されつつある。

7. unsafe できること 1. 生ポインタの参照外し 2. C言語などの呼び出し 3. 最適化 = コンパイラの安全性チェックを外す　

   キーワード Firecracker などの開発には 必要不可欠

8. kani AWS製のRustの形式検証ツール - unsafe を含むコードの正しさを”証明”できる - 全ての入力パターンを網羅的に検証できる テスト ある入力に対して結果 が正しいことを検証する

   kani 任意の入力に対して結 果が正しいことを証明 する

9. NonZero<T> = ゼロでないことが保証された整数型

10. Niche Optimization 0にならないという条件があるの で、0をNoneの表現に使える。 メモリの節約

11. add vs unchecked_add checked_add - オーバーフローしないことをそ の後のunwrapで検証する。 unchecked_add - オーバーフローしないことは開

    発者が保証する。 オーバーフローチェックをしない分、 unchecked_addが高速。

12. unchecked_addの安全性検証 1. kani::any() で u8 (0 ~ 255)の 任意の値をa, bに置く。

    2. a != 0 つまり、 NonZero::new(a).unwrap() がNonZero<T>になることを確 認する。 3. a + b がオーバーフローしない ことを確認する。 4. c = a + b として先ほどの unchecked_addを使って足 す。 5. c != 0 つまり、足した結果が NonZeroであることを確認す る。

13. 安全性検証の流れ 1. RustコードをMIRに変換 2. MIRをGOTO programに変換 3. GOTO programをSSAに変換 4.

    SSAを論理式に変換 5. 論理式をSATソルバーで解く

14. 安全性検証の仕方（1）RustコードをMIRに変換 RustコードをMIR（制御フローが明示的に なった表現）に変換します。 これによって、処理の流れがわかりやすく なります。また Rust の多種多様な構文を kaniがわかるような形に変換していきま す。

15. 安全性検証の仕方（2）MIRをGOTO programに変換 - 関数呼び出しをインライン展開する - 全ての制御フローをGOTOで表現する - IF … GOTO

    - GOTO - 高レベルの構造（for, while, match）が消える

16. 安全性検証の仕方（3）GOTO programをSSAに変換 SSA (Static Single Assignment) 「各変数への代入は一度だけ」という制約を 持つ形式に変換します。 ? なぜ必要か

    ? 論理式に変換するとき、同じ変数に複 数回の代入があるとバグが起きる。 x = 1 かつ x = x + 1 かつ x = 2 x = 1 ? x = 2 ?

17. 安全性検証の仕方（4）SSAを論理式に変換 SSA (Static Single Assignment) 先ほどSSAに変換したものを、論理式に変 換します。 ここで、プログラミングコードから数学の言 葉で検証事項が表現されます。 unchecked_addの例

    a != 0, a + b < 256のとき、 (a + b) mod 256 != 0 Note: 論理式を解くSATソルバーは通常、解の存在判定をします。なので、実 際に解く問題は、 ∃a, b ∈ N s.t. a > 0, a + b < 256, (a + b) mod 256 = 0 が偽であることです。

18. 安全性検証の仕方（5）論理式をSATソルバーで解く 論理式の形にしたものをSATソルバー（論理式が成り立たないような制 約があるかどうかを探すソルバー）を用いて解く。 論理式の形にして問題を解くことで、任意の入力に対して条件を満たすことが できるかが確認できる。 → テストとは違って、数学的に証明できたことになる。

19. Contract = 検証事項を簡単に記述する方法 - requires で事前条件 - ensures で事後条件 コード内部で

    assume や assert の 検証をしなくても良くなった。 → メリット - 再利用性 - 可読性

20. Loop invariant = loop, while文の検証方法 loop文やwhile文の検証はこれまで、有限回数しか展開できなかった。 → 数学的帰納法を応用した証明を以下の流れで行える。 1. ループに入る前に不変条件が成り立つ。

    2. 不変条件を満たす任意の入力に対して、操作をした後に再度不変条件を 満たす。 これによって、任意の回数のループ反復がカバーできるようになった。

21. auto harness = 条件から検証コードを自動生成 Contract による簡潔な条件の記述によって、検証コード（harness）の自動 生成が可能になりました。