Upgrade to Pro — share decks privately, control downloads, hide ads and more …

基礎からの Code Contracts

Sponsored · SiteGround - Reliable hosting with speed, security, and support you can count on.
Avatar for Yoshifumi Kawai Yoshifumi Kawai
May 23, 2011
Technology
0
75

基礎からの Code Contracts

Avatar for Yoshifumi Kawai

Yoshifumi Kawai

May 23, 2011
Tweet

More Decks by Yoshifumi Kawai

See All by Yoshifumi Kawai
CysharpのOSS群から見るModern C#の現在地
Avatar for Yoshifumi Kawai neuecc
2
34k
R3のコードから見る実践LINQ実装最適化・コンカレントプログラミング実例
Avatar for Yoshifumi Kawai neuecc
5
49k
.NETの非同期戦略とUnityとの相互運用
Avatar for Yoshifumi Kawai neuecc
3
49k
他言語がメインの場合のRustの活用法 - csbindgenによるC# x Rust FFI実践事例
Avatar for Yoshifumi Kawai neuecc
7
41k
Modern High Performance C# 2023 Edition
Avatar for Yoshifumi Kawai neuecc
4
16k
CEDEC 2023 モダンハイパフォーマンスC# 2023 Edition
Avatar for Yoshifumi Kawai neuecc
9
120k
C#11 による世界最速バイナリシリアライザー「MemoryPack」の作り方
Avatar for Yoshifumi Kawai neuecc
1
42k
Unityによるリアルタイム通信とMagicOnionによるC#大統一理論の実現
Avatar for Yoshifumi Kawai neuecc
1
470
Deep Dive async/await in Unity with UniTask(UniRx.Async)
Avatar for Yoshifumi Kawai neuecc
0
490

Other Decks in Technology

See All in Technology
セキュリティ はじめの一歩
Avatar for nikinusu nikinusu
0
1.5k
SREのプラクティスを用いた3領域同時 マネジメントへの挑戦 〜SRE・情シス・セキュリティを統合した チーム運営術〜
Avatar for coconala_engineer coconala_engineer
2
540
データの整合性を保ちたいだけなんだ
Avatar for ShoheiMitani shoheimitani
4
930
Bill One急成長の舞台裏 開発組織が直面した失敗と教訓
Avatar for SansanTech sansantech
PRO
1
160
GSIが複数キー対応したことで、俺達はいったい何が嬉しいのか?
Avatar for Makky12 smt7174
3
130
学生・新卒・ジュニアから目指すSRE
Avatar for Hiroya Onoe hiroyaonoe
2
490
コスト削減から「セキュリティと利便性」を担うプラットフォームへ
Avatar for SansanTech sansantech
PRO
3
1.1k
AI推進者の視点で見る、Bill OneのAI活用の今
Avatar for SansanTech sansantech
PRO
2
320
マーケットプレイス版Oracle WebCenter Content For OCI
Avatar for oracle4engineer oracle4engineer
PRO
5
1.5k
Contract One Engineering Unit 紹介資料
Avatar for Sansan, Inc. sansan33
PRO
0
13k
Databricks Free Edition講座 データサイエンス編
Avatar for Takaaki Yayoi taka_aki
0
290
インフラエンジニア必見!Kubernetesを用いたクラウドネイティブ設計ポイント大全
Avatar for 高棹大樹 daitak
0
270

Featured

See All Featured
Mozcon NYC 2025: Stop Losing SEO Traffic
Avatar for Sam Torres samtorres
0
140
Intergalactic Javascript Robots from Outer Space
Avatar for Vicent Martí tanoku
273
27k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
Avatar for Kevin Liebholz kevinliebholz
37
6.3k
Redefining SEO in the New Era of Traffic Generation
Avatar for Szymon szymonslowik
1
210
The Web Performance Landscape in 2024 [PerfNow 2024]
Avatar for Tammy Everts tammyeverts
12
1k
The AI Revolution Will Not Be Monopolized: How open-source beats economies of scale, even for LLMs
Avatar for Ines Montani inesmontani
PRO
3
3k
Sharpening the Axe: The Primacy of Toolmaking
Avatar for Bryan Cantrill bcantrill
46
2.7k
Easily Structure & Communicate Ideas using Wireframe
Avatar for Afnizar Nur Ghifari afnizarnur
194
17k
brightonSEO & MeasureFest 2025 - Christian Goodrich - Winning strategies for Black Friday CRO & PPC
Avatar for Christian Goodrich cargoodrich
3
95
Why You Should Never Use an ORM
Avatar for John Nunemaker jnunemaker
PRO
61
9.7k
The Pragmatic Product Professional
Avatar for Laura Van Doore lauravandoore
37
7.1k
Conquering PDFs: document understanding beyond plain text
Avatar for Ines Montani inesmontani
PRO
4
2.3k

Transcript

  1. 基礎からの Code Contracts @neuecc – 2011/5/23

  2.  Twitter => @neuecc  Blog => http://neue.cc/  HNは"neuecc"

    読むときは“のいえ”で ⚫ ドメイン繋いだだけで特に意味はなく発音不能のた め(ccは声に出しにくいのでスルーという適当対応)  Microsoft MVP for Visual C#(2011/4-)  公開してるライブラリとか ⚫ linq.js ⚫ DynamicJson ⚫ Chaining Assertion ⚫ DbExecutor <- (ちょっとだけ)Code Contracts使った Profile

  3. First Step

  4.  .NET4から標準搭載された?  mscorlibにSystem.Diagnostics.Contracts  (主に)その中のContractクラスのメソッド群 Code Contracts

  5.  よくあるnullチェックをしてみようと思った ⚫ Contract.Requiresは事前条件 ⚫ 引数がnullだったら契約違反という感じにしたい static void Hoge(string arg)

    { Contract.Requires(arg != null); }  が、実行しても無反応  Conditional属性がついているのでコンパイル時に 消える(条件付きメソッド、DEBUGとかでお馴染み) ⚫ 条件はCONTRACTS_FULL(但し自分で足す意味はない) 何か動かないよ?

  6.  よくあるnullチェックをしてみようと思った again ⚫ Contract.Requires<TException>も事前条件 ⚫ 引数がnullだったら契約違反で例外ぶん投げたい static void Hoge(string

    arg) { Contract.Requires<ArgumentNullException>(arg != null); }  が、変なアサートが飛ぶ  そしてアプリは強制終了  リライターがmustだと? 何か動かないよ? Part2

  7.  Code Contractsの利用にはリライターが必要 最終的な配布物はコンパイラオプションで契約用コードを 取り除く。従って実行効率にも影響しない。 http://ja.wikipedia.org/wiki/契約プログラミング  契約は取り除かれなければならない  そのためにはライブラリだけでは不可能で、コン

    パイル時にバイナリを弄る必要がある  契約の実現のため、現状はバイナリ改変している ⚫ 真に標準搭載されたと言えるのはリライターがコン パイラと統合された時かもね つまるところ

  8.  必須 ⚫ Contractクラスなどコードに記述するマーカー ⚫ .NET 4で現状標準搭載されているのはこれだけ ⚫ バイナリリライター(ccrewrite.exe) 

    オプション ⚫ 参照ライブラリ生成(ccrefgen.exe) ⚫ ドキュメント生成(ccdocgen.exe) ⚫ 静的チェッカー(cccheck.exe) ⚫ cccheckはPremium Editionのみ ⚫ 静的チェックなしの場合は、例外orアサートを投げる実 行時チェックという形になる Code Contractsの構成物

  9. Get Ready to Contracts

  10.  DevLabs: Code Contracts http://msdn.microsoft.com/en-us/devlabs/dd491992.aspx  Standard Edition (Visual Studio

    Professional) ⚫ ccrewrite, ccrefgen, ccdocgen  Premium Edition (Visual Studio Premium,Ultimate) ⚫ Standard + cccheck  Visual Studio Express Editionでは使えない  静的チェッカーの有無も大きなところ ⚫ 契約の正しさが実行時じゃないと確認出来ないとい うのは、何が正しいのか分からない初学者にとって 学習が困難になる Code Contractsのインストール

  11.  に、Code Contractsタブが追加されてる  チェックボックスをオンにすると各機能が有効に  パラメータがいっぱいあって困る? ⚫ マニュアルを見れば勿論、説明がある ⚫

    日本語で?zeclさんのスライドを見よう! ⚫ http://d.hatena.ne.jp/zecl/20110213/p2 プロジェクトのプロパティ

  12.  Contract.Requires ⚫ 無印と<TException>とEndContractBlockの三種 ⚫ 無印はコンパイラ生成のContractExceptionを投げる ⚫ コンパイラ生成なので型判別したcatchは不可能 ⚫ <TE>の場合は指定した例外を投げる

    ⚫ EndContractBlockはif-then-throwを<TE>に変換する // これと if (arg == null) throw new ArgumentNullException("arg"); Contract.EndContractBlock(); // これは大体等しい Contract.Requires<ArgumentNullException>(arg != null); 事前条件

  13.  EndContractBlockはレガシー環境用 ⚫ バイナリリライターがある環境が前提なら不要  Assembly Modeの選択 ⚫ Requires, Requires<TE>はStandard

    Contract ⚫ EndContractBlockを使う場合はCustom Parameter  無印と<TE>ではリライト時に残るレベルが違う ⚫ 無印の場合はReleaseRequiresでは除去される  DebugはFull、ReleaseではPreまたはReleaseを推奨 事前条件の違い

  14.  事後 : Contract.Ensures ⚫ 戻り値を表すContract.Result<T>とセットで使うこと が多い  不変 :

    Contract.Invariant ⚫ ContractInvariantMethod属性とセットで ⚫ cimコードスニペットを使えば展開される  インターフェイスへの契約 ⚫ 書くのがヘンテコで面倒くさい ⚫ cintfコードスニペットを使えば展開される 事後・不変・インターフェイス

  15. Marriage with IntelliSense

  16.  静的チェッカなしだと、どうも地味 ⚫ Premiumの人なら関係ないですねShit!  そんな物足りなさを感じるアナタにVisualな贈り物  VS拡張:Code Contracts Editor

    Extensions http://visualstudiogallery.msdn.microsoft.com/85f0aa38 -a8a8-4811-8b86-e7f0b8d8c71b  契約がIntelliSenseに表示される!  FreeなのでVS Professionalの人でもOK 動かしたけど嬉しさ少なめ?

  17.  .NET4からBCLも契約済み ⚫ そういう意味では標準搭載と言えなくもない おや、標準ライブラリの様子が

  18.  標準ライブラリは何もしなくても表示される  自作の契約はReference Assemblyを作る必要がある  Reference Assemblyはクラスライブラリなど、契約 が除去されたリリース用バイナリを参照する他の ライブラリが契約情報を参照したい場合に必要

    (但し、決してリライト後のバイナリに契約を再 度埋め込めれるわけではない) 使い方

  19.  コンストラクタは表示されません  ジェネリックメソッドは表示されません ⚫ Enumerable.Rangeは表示されるのにRepeatは表示さ れなかったりしてるのが確認できます ⚫ つまるところLINQのメソッドは全滅 

    yieldが含まれると表示されません  dynamicが含まれると表示されません  よく落ちます(落ちたらVS再起動まで復活しない) Editor Extensionsに関してはアルファ版だと思って 暖かく見守りましょう 但し制限も色々あり

  20. Merit and Demerit

  21.  引数名を文字列で指定しなくてもいい ⚫ リライターが埋め込んでくれるから ⚫ コードスニペットcrenは文字列指定付きだけど、個 人的にはそれは不要だと思う // この文字列で引数名を書くのがかなりイヤだった if

    (arg == null) throw new ArgumentNullException("arg"); // それをCode Contractsではこう書き、そしてこれは Contract.Requires<ArgumentNullException>(arg != null); // バイナリリライト後にこうなる // 最後の"arg != null"がメッセージで、 // 条件を文字列として生成してくれているのが分かる __ContractsRuntime.Requires<ArgumentNullException>( arg != null, null, "arg != null"); 嬉しいこと1

  22.  インターフェイスに契約すると、それを実装する ものへは何も書かなくても自動で埋め込まれる // こうしてインターフェイスへの契約を作ると(cintfスニペット推奨) [ContractClass(typeof(IHogeContract))] public partial interface IHoge

    { void Show(string arg); } [ContractClassFor(typeof(IHoge))] abstract class IHogeContract : IHoge { public void Show(string arg) { Contract.Requires<ArgumentNullException>(arg != null); } } 嬉しいこと2

  23. class ClassA : IHoge { // 何も書いていませんが // Contract.Requires<ArgumentNullException>(arg !=

    null)が埋めこまれる public void Show(string arg) { Console.WriteLine(arg); } } class ClassB : IHoge { // 全てのメソッドにif(arg == null) throwを書く時代さようなら! public void Show(string arg) { Console.WriteLine(arg + arg); } }  これにより、積極的なインターフェイスの抽出と 契約の記述が促されます(不純動機ドリブン) それはとっても嬉しいなって

  24.  静的チェッカーでTester-Doerパターンを安全に // こんなどうでもいいクラスがあるとして public class ToaruClass { int value;

    public bool IsReadOnly { get; private set; } public void SetValue(int value) { Contract.Requires(!IsReadOnly); this.value = value; } } var toaru = new ToaruClass(); // IsReadOnlyをチェックしていないのでunproven toaru.SetValue(100); // こう書けばSafe if (!toaru.IsReadOnly) toaru.SetValue(100); 嬉しいこと3

  25.  Requiresで検証する要素は外部から見えないと、バ イナリリライターを通りません public class ToaruClass { int value; private

    bool isReadOnly; public ToaruClass(bool isReadOnly) { this.isReadOnly = isReadOnly; } public void SetValue(int value) { // isReadOnlyが外から不可視なのでダメ Contract.Requires(!isReadOnly); this.value = value; } } Requiresの基本

  26.  Requires、事前条件はメソッド呼び出し側が、正し い呼び出しが可能かの責任を負う必要がある、つ まり外から検証可能でないとならない  逆にEnsures、事後条件が正しく成立するかはメ ソッド側の責任なので、メソッド内部できちんと Ensuresの条件が満たせる必要がある なんでなんで?

  27.  Requires内で使えるメソッドはPureなもののみ ⚫ 警告なので実行は出来なくはない // Pureを付けないと警告が! [Pure] public static bool

    IsNull(string arg) { return arg == null; } public void Hoge(string arg) { Contract.Requires(!IsNull(arg)); }  Pure、つまり副作用ナシということ ⚫ String.IsNullOrEmptyなど当然Pure属性ついてます ⚫ Pureかどうかは自己申告制だったり(非Pureなもので も付けること自体は可能、勿論それはダメですよ) Requiresの基本 Part2

  28.  静的チェッカーは契約の連鎖で成り立っているの で、契約されてないライブラリが混じると警告祭 りになって鬱陶しい  そういう場合はContract.Assumeで、契約済みを擬 態していくのだけど数が多いと心が折れる、だけ じゃなくコードが汚れて可読性悪化の一方に  Typeの一部とかExpressionの一部とか、契約済みの

    はずの標準ライブラリの中にも上手く動かないの がチラホラ 嬉しくないこと

  29. // これは静的チェッカでunproven行き var func = typeof(Func<,>); var genFunc = func.MakeGenericType(typeof(int),

    typeof(int)); // 警告を元に、こうAssumeすればいいんですがなんというかかんというか var func = typeof(Func<,>); Contract.Assume(func.IsGenericTypeDefinition); Contract.Assume(func.GetGenericArguments().Length == 2); var genFunc = func.MakeGenericType(typeof(int), typeof(int)); 例えばこんなunproven

  30. // (object x) => (object)((T)x).name static Func<object, object> CreateGetValue(Type type,

    string name) { Contract.Requires<ArgumentNullException>(type != null); Contract.Requires<ArgumentNullException>(name != null); // Expression.Unboxに事後条件非nullの契約がないため // Expression.PropertyOrFieldの引数が求めるrequires expr != null の検証に失敗する var x = Expression.Parameter(typeof(object), "x"); var func = Expression.Lambda<Func<object, object>>( Expression.Convert( Expression.PropertyOrField( (type.IsValueType) ? Expression.Unbox(x, type) : Expression.Convert(x, type), name), typeof(object)), x); return func.Compile(); } Unproven Hell

  31.  Expressionも基本的には契約されているんですが、 Expression.UnboxとかExpression.Assignと か、.NET4で新しく追加されたものはあまり契約さ れてないみたい  なので山崎春のunproven祭り  Expressionは基本的に引数に突っ込んで式としてツ リー上に組み立てていくものなので、Assumeする

    のが難しい ⚫ もしAssumeするなら、全部バラして変数にしてから 組み立てなければならないけど、それはない どういうこと?

  32. // 面倒くさくて耐え切れない時は静的検証オフ属性をつけてやる [ContractVerification(false)] static Func<object, object> Create(Type type, string name)

    { // (中略) }  Contract.Ensures(Contract.Result<T>() != null); がど れだけ大事かが身にしみて分かる ⚫ しかし定型句すぎて面倒くさいのは事実…… ⚫ cenコードスニペットがあるとはいえ そして平穏が訪れる

  33. Conclusion

  34.  .NET4標準に入っているContractsライブラリの他に、 幾つか追加の属性が C:¥Program Files (x86)¥Microsoft¥Contracts¥Languages¥CSharp に ある(.csファイルぽん置き) ⚫ 使い方の詳細はマニュアルに載ってる

     Microsoft Researchで開発されている自動パラメタ ライズドテストPexに対してContractsが記述されて いると、有効な自動生成パラメータが生成できる ようになる http://research.microsoft.com/en-us/projects/pex/ その他

  35.  メリットを幾つかあげましたが、忘れてはならな い基本的なことは、「事前・事後・不変」の契約 が出来るということ  でも、堅苦しい理屈だけじゃなく、目で見て分か る実用的な便利さを提供してくれるのはいいね!  if-then-throwを撲滅してくれるというだけでも十 分嬉しいなって

     まずはそこからで、徐々に高度にステップアップ すればいいんじゃないかな  Expressで使えないのが痛い&Premium以上でない と静的チェッカーが使えないのが大変痛いので、 将来は何とかして欲しいと切実に願う まとめ