Формальная верификация кода на языке Си

Transcript

1. Заголовок ptsecurity.com Формальная верификация кода на языке Си м.н.с. Ефремов

   Д.В. (аспирант ВШЭ) ИСП РАН [email protected]

2. Заголовок • Hacker-Proof Code Confirmed (quantamagazine) • Computer Scientists Close

   In on Perfect, Hack-Proof Code (wired) • Kaspersky Launches ‘Unhackable’ OS (guidingtech) • Unhackable kernel could keep all computers safe from cyberattack (newscientist) • Is This Security-Focused Linux Kernel Really UnHackable? (thehackernews) • Hack-resilient • Error-free code • Yale develops world's first hacker-resistant operating system (ibtimes) Немного заголовков

3. Заголовок • Crowd Sourced Formal Verification (CSFV) (VERIGAMES) • High-Assurance

   Cyber Military Systems (HACMS) • Formally Verify Blockchain-Based Integrity Monitoring System • A Diagnostic Approach for Persistent Threat Detection (ADAPT) • Cyber Fault-tolerant Attack Recovery (CFAR) • Testing and Modeling of Brandeis Artifacts (TAMBA) • Clean-slate design of Resilient, Adaptive, Secure Hosts (CRASH) DARPA

4. Заголовок • Orange Book: division A (verified protection) (A1, Beyond

   A1) • Common Criteria (EAL7) • DO-178C/DO-333 "Formal Methods Supplement to DO-178C and DO-278A” • IEC 61508 (SIL4) • ФСТЭК России ГОСТ Р ИСО/МЭК 15408 «Требованиях безопасности информации к операционным системам» профили защиты операционных систем общего назначения (типа «А») Стандарты

5. Заголовок •Verified Software Initiative (2007) •Dafny •Whiley •SPARK/Ada •The Key

   Project/Java •Spec#/Sing# Академический фронт

6. Заголовок • Верификация - проверка соответствия программного обеспечения предъявляемым к

   нему требованиям; • Дедуктивная верификация – представление корректности программы как набора математических утверждений, называемых условиями верификации, выполнение которых проверяется автоматическими или интерактивными доказателями теорем; • Спецификация - набор требований и параметров, которым удовлетворяет некоторый объект (представлена в виде мат. модели, тестовых наборов, формальной спецификации) Верификация

7. Заголовок Высшая школа экономики, Москва, 2016 Дедуктивная верификация программ •

   Лекция Алана Тьюринга Лондонскому математическому обществу • Методы Флойда/Хоара • Инструменты дедуктивной верификации для Си, Java, С# • SunRise, ESC/Java, Frama-C, LOOP, Boogie/VCC • Применение к реальным проектам небольшого размера • Атомная энергетика (Англия, Франция) • Авионика (Airbus, NASA) • Компоненты специализированных ОС (seL4, Hyper-V)

8. Заголовок • Компилятор и линковщик работают корректным образом • В

   программном обеспечении, использующемся при верификации, не произошло ошибок • Компьютер функционирует таким образом, как мы думаем об этом (rowhammer) • Нижележащий слой ПО (например, ОС, прошивка сетевой карты, микрокод процессора) функционирует в рамках нашего представления о том, что он должен делать и что не должен делать (и ещё не содержит ошибок) • Пользователь компьютера, если он есть, специально не «пакостит» • Выполнены предположения о входных данных программы, о начальном состоянии • … На что опираться vs. Что вы будете с этого иметь (1)

9. Заголовок •Гарантии того, что программное обеспечение функционирует в точном соответствии

   с требованиями, к нему предъявляемыми, на всех входных данных, начальных состояниях, при любом поведении окружения * ** • * В предположении что все предположения выполнены • ** И не осталось предположений, которых мы не занесли в списочек На что опираться vs. Что вы будете с этого иметь (2)

10. Заголовок • Отсутствие деления на ноль ≠ 0 ≔ {

    = ∗ } Примеры требований по безопасности (safety)

11. Заголовок • Отсутствие деления на ноль ≠ 0 ≔ {

    = ∗ } Примеры требований по безопасности (safety)

12. Заголовок • Отсутствие деления на ноль ≠ 0 ≔ {

    = ∗ } Примеры требований по безопасности (safety)

13. Заголовок • Отсутствие деления на ноль ≠ 0 ≔ {

    = ∗ } • Отсутствие целочисленного переполнения _ ≤ + 1 ≤ _MAX ≔ + 1 = − 1 Примеры требований по безопасности (safety)

14. Заголовок • Отсутствие деления на ноль ≠ 0 ≔ {

    = ∗ } • Отсутствие целочисленного переполнения _ ≤ + 1 ≤ _MAX ≔ + 1 = − 1 • Отсутствие разыменования нулевого указателя \valid ∗ ≔ 1{∗ = 1} • … Примеры требований по безопасности (safety)

15. Заголовок • Массив отсортирован ∀ ; 0 ≤ < _

    − 1 ⇒ ≤ [ + 1] • Функция возвращает всегда положительное значение \ > 0 Примеры требований по функциональности

16. Заголовок • Массив отсортирован ∀ ; 0 ≤ < _

    − 1 ⇒ ≤ [ + 1] • Функция возвращает всегда положительное значение \ > 0 • Функция может менять порядок элементов в массиве, но не его содержимое 0_0 Примеры требований по функциональности

17. Заголовок • Массив отсортирован ∀ ; 0 ≤ < _

    − 1 ⇒ ≤ [ + 1] • Функция возвращает всегда положительное значение \ > 0 • Функция может менять порядок элементов в массиве, но не его содержимое 0_0 • Если в дереве присутствует искомый элемент, то функциях его обязательно найдёт O_O Примеры требований по функциональности

18. Заголовок • Массив отсортирован ∀ ; 0 ≤ < _

    − 1 ⇒ ≤ [ + 1] • Функция возвращает всегда положительное значение \ > 0 • Функция может менять порядок элементов в массиве, но не его содержимое 0_0 • Если в дереве присутствует искомый элемент, то функциях его обязательно найдёт O_O • Программа не держит в памяти секретные данные дольше, чем это требуется для их обработки @_@ • … Примеры требований по функциональности

19. Заголовок • CompCert – компилятор языка Clight (Coq > Ocaml)

    • seL4 – микроядро L4 (Cparse > Isabelle/HOL) • CertiKOS – Certified Kit Operating System • Ironclad – End-to-End Security via Automated Full- System Verification (Dafny) • FSCQ – A Formally Certified Crash-proof File System (Coq) • Quark – веб-браузер с верифицированным ядром (Coq) Известные проекты

20. Заголовок Высшая школа экономики, Москва, 2016 Что можно сказать о

    функции на языке Си по её коду? (1) • Она существует и написана на языке Си;

21. Заголовок Высшая школа экономики, Москва, 2016 Что можно сказать о

    функции на языке Си по её коду? (1) • Она существует и написана на языке Си; • Это чистая функция; • Она вычисляет среднее между двумя целыми числами;

22. Заголовок Высшая школа экономики, Москва, 2016 Что можно сказать о

    функции на языке Си по её коду? (1) • Она существует и написана на языке Си; • Это чистая функция; • Она вычисляет среднее между двумя целыми числами; • При определённых условиях возможно целочисленное переполнение.

23. Заголовок Высшая школа экономики, Москва, 2016 Что можно сказать о

    функции на языке Си по её коду? (2) • Возможно ли целочисленное переполнение в том контексте, где функция вызывается? • Считать ли возможное целочисленное переполнение ошибкой?

24. Заголовок Высшая школа экономики, Москва, 2016 Что можно сказать о

    функции на языке Си по её коду? (3) • Контекст: функция двоичного поиска; • Индексы l и h неотрицательны, l не превосходит h; • Возможна ошибка выхода за границу массива при целочисленном переполнении.

25. Заголовок Высшая школа экономики, Москва, 2016 Как доказать что код

    функции корректен? (1) •Описать контекст вызова: : × → ⊤, ⊥ , ≡ ≥ 0 ∧ ≥ 0 ∧ ≤

26. Заголовок Высшая школа экономики, Москва, 2016 Как доказать что код

    функции корректен? (1) •Описать контекст вызова: : × → ⊤, ⊥ , ≡ ≥ 0 ∧ ≥ 0 ∧ ≤ •Описать требования, которым должны удовлетворять результаты: : × × → {⊤, ⊥} , , ≡ = + 2

27. Заголовок Как доказать что код функции корректен? (2) • Формализовать

    понятие ошибки (целочисленное переполнение): _: → {⊤, ⊥} _ ≡ _ ≤ ≤ _

28. Заголовок Как доказать что код функции корректен? (2) • Формализовать

    понятие ошибки (целочисленное переполнение): _: → {⊤, ⊥} _ ≡ _ ≤ ≤ _ • Формализовать код программы: функция , которая возвращает результат (, ) в соответствии со своим программным кодом если завершается и завершается без ошибки, иначе возвращается специальное значение

29. Заголовок Высшая школа экономики, Москва, 2016 Как доказать что код

    функции корректен? (2) • Формализовать понятие ошибки (целочисленное переполнение): _: → {⊤, ⊥} _ ≡ _ ≤ ≤ _ • Формализовать код программы: функция , которая возвращает результат (, ) в соответствии со своим программным кодом если завершается и завершается без ошибки, иначе возвращается специальное значение • Доказать полную корректность: ∀, , ⇒ , ≠ && , , ,

30. Заголовок Высшая школа экономики, Москва, 2016 Как доказать что код

    функции корректен? (3) function to_int bint : int function of_int int : bint

31. Заголовок Высшая школа экономики, Москва, 2016 Как доказать что код

    функции корректен? (3) function to_int bint : int function of_int int : bint predicate in_bounds (n:int) = -2147483648 <= n && n <= 2147483647

32. Заголовок Высшая школа экономики, Москва, 2016 Как доказать что код

    функции корректен? (3) function to_int bint : int function of_int int : bint predicate in_bounds (n:int) = -2147483648 <= n && n <= 2147483647 constant a, b, o1, o2: bint axiom H0: a >= of_int 0 && b >= of_int 0 && b >= a

33. Заголовок Высшая школа экономики, Москва, 2016 Как доказать что код

    функции корректен? (3) function to_int bint : int function of_int int : bint predicate in_bounds (n:int) = -2147483648 <= n && n <= 2147483647 constant a, b, o1, o2: bint axiom H0: a >= of_int 0 && b >= of_int 0 && b >= a axiom H1: to_int o1 = 2 axiom H2: to_int o2 = (to_int a + to_int b)

34. Заголовок Высшая школа экономики, Москва, 2016 Как доказать что код

    функции корректен? (3) function to_int bint : int function of_int int : bint predicate in_bounds (n:int) = -2147483648 <= n && n <= 2147483647 constant a, b, o1, o2: bint axiom H0: a >= of_int 0 && b >= of_int 0 && b >= a axiom H1: to_int o1 = 2 axiom H2: to_int o2 = (to_int a + to_int b) goal avr_safety: in_bounds 2 ->

35. Заголовок Высшая школа экономики, Москва, 2016 Как доказать что код

    функции корректен? (3) function to_int bint : int function of_int int : bint predicate in_bounds (n:int) = -2147483648 <= n && n <= 2147483647 constant a, b, o1, o2: bint axiom H0: a >= of_int 0 && b >= of_int 0 && b >= a axiom H1: to_int o1 = 2 axiom H2: to_int o2 = (to_int a + to_int b) goal avr_safety: in_bounds 2 -> in_bounds(to_int a + to_int b) ->

36. Заголовок Высшая школа экономики, Москва, 2016 Как доказать что код

    функции корректен? (3) function to_int bint : int function of_int int : bint predicate in_bounds (n:int) = -2147483648 <= n && n <= 2147483647 constant a, b, o1, o2: bint axiom H0: a >= of_int 0 && b >= of_int 0 && b >= a axiom H1: to_int o1 = 2 axiom H2: to_int o2 = (to_int a + to_int b) goal avr_safety: in_bounds 2 -> in_bounds(to_int a + to_int b) -> not to_int o1 = 0 ->

37. Заголовок Высшая школа экономики, Москва, 2016 Как доказать что код

    функции корректен? (3) function to_int bint : int function of_int int : bint predicate in_bounds (n:int) = -2147483648 <= n && n <= 2147483647 constant a, b, o1, o2: bint axiom H0: a >= of_int 0 && b >= of_int 0 && b >= a axiom H1: to_int o1 = 2 axiom H2: to_int o2 = (to_int a + to_int b) goal avr_safety: in_bounds 2 -> in_bounds(to_int a + to_int b) -> not to_int o1 = 0 -> in_bounds(div (to_int o2) (to_int o1))

38. Заголовок Высшая школа экономики, Москва, 2016 Как доказать что код

    функции корректен? (4)

39. Заголовок Высшая школа экономики, Москва, 2016 Как доказать что код

    функции корректен? (4) Условие верификации

40. Заголовок Высшая школа экономики, Москва, 2016 Как доказать что код

    функции корректен? (4) Условие верификации Исправление кода

41. Заголовок Высшая школа экономики, Москва, 2016 Как доказать что код

    функции корректен? (4) Условие верификации Исправление кода Уточнение спецификаций

42. Стек инструментов дедуктивной верификации CIL CIL with annotations С program

    with ACSL annotations Frama-C

43. Высшая школа экономики, Москва, 2016 Стек инструментов дедуктивной верификации CIL

    CIL with annotations С program with ACSL annotations Jessie program (with annotations built-in) Jessie translator Why3 support Jessie2 CIL visitors (rewriters) Frama-C Jessie plugin

44. Высшая школа экономики, Москва, 2016 Стек инструментов дедуктивной верификации CIL

    CIL with annotations С program with ACSL annotations Jessie program (with annotations built-in) Jessie translator Why3 support Why3 VC generator Why3 WhyML modules Verification conditions in Why3ML VC transformations Why3 encoders + drivers Logical formulas/scripts in SMT-LIB/SMT-LIBv2/native format Coq, PVS, Isabelle proof templates Why3 transformation/proof/shapes database Alt-Ergo Z3 CVC4 Coq PVS Why3 IDE ... Jessie2 CIL visitors (rewriters) Frama-C Jessie plugin Why3 Isabelle ...

45. Заголовок • Код • Что формальная верификация может проверить и

    чего не может? • Формальные спецификации • Можно ли разработать формальные спецификации до стадии написания кода? • Что в них должно быть отображено? • Что инструмент (его модели и теоретическая основа) позволяет в них отобразить? • Насколько полными/точными/непротиворечивыми должны быть спецификации? • Код и спецификации • Можно ли дважды ошибиться и при этом доказать, что всё корректно? Где может встречаться ошибка?

46. Заголовок • Зависит от того, какие модели заложены в инструментах

    верификации • Памяти, целочисленной арифметики, битовой арифметики… • Чем сложнее модель, тем детальнее она отражает действительность • Чем сложнее модель, тем более сложными становятся формулы условий верификации • Чем сложнее формулы, тем хуже на них работают автоматические доказатели логических формул • Аналогия QEMU⟺BOCHS Ошибки, которые «ловятся» в коде (1)

47. Заголовок • Деление на ноль • Разыменование указателя • Некратный

    сдвиг типизированного указателя • Выход за границу массива • Целочисленное переполнение • Переполнение при операциях с плавающей запятой • Бесконечные циклы • … Ошибки, которые «ловятся» в коде (2)

48. Заголовок •А как вы моделируете память (read, write)? char *p

    = "побольше цинизма, Киса"; p[0] = 'П'; •А как вы моделируете указатели (переполнение указателей)? char *p = UINT_MAX - 1; strlen(p); Вопрос гарантии отсутствия ошибок в коде (ошибки, которые «не ловятся»)

49. Заголовок •А как вы моделируете стек (ограниченный или безграничный)? #define

    STACK_SIZE 1000*0x1000 //@ ensures \result == 1; int main(void) { int a[STACK_SIZE]; memset(a, 0, STACK_SIZE); a[STACK_SIZE-1] = 1; return a[STACK_SIZE-1]; } Вопрос гарантии отсутствия ошибок в коде (ошибки, которые «не ловятся»)

50. Заголовок •Что мы пишем в функциональные требования? ensures \result >=

    0; long abs(int a) { return 4; } Ошибки, специфичные для спецификаций (полнота) (1)

51. Заголовок •Что мы пишем в функциональные требования? ensures \result >=

    0; long abs(int a) { return 4; } •Как мы пишем функциональные требования? unsigned abs(int a) return a >= 0 ? a :-((long)a); ensures \result == a || \result == -a; Ошибки, специфичные для спецификаций (полнота) (1)

52. Заголовок •Что мы пишем в функциональные требования? ensures \result >=

    0; long abs(int a) { return 4; } •Как мы пишем функциональные требования? unsigned abs(int a) return a >= 0 ? a :-((long)a); ensures \result == a || \result == -a; ensures \result == -a <==> a < 0; Ошибки, специфичные для спецификаций (полнота) (1)

53. Заголовок •Что мы пишем в функциональные требования? ensures \result >=

    0; long abs(int a) { return 4; } •Как мы пишем функциональные требования? unsigned abs(int a) return a >= 0 ? a :-((long)a); ensures \result == a || \result == -a; ensures \result == -a <==> a < 0; ensures a>=0 ? \result==a : \result==-a; Ошибки, специфичные для спецификаций (полнота) (1)

54. Заголовок • Какие свойства мы выражаем в требованиях? requires n

    == 2 && \valid(a+(0..n-1)); ensures \forall integer i, j; 0 <= i < j < n ==> a[i] <= a[j]; // отсортированность void sort(size_t n, int a[n]) { a[0] = 1; a[1] = 2; } Ошибки, специфичные для спецификаций (полнота) (2)

55. Заголовок • Какие свойства мы выражаем в требованиях? requires n

    == 2 && \valid(a+(0..n-1)); ensures \forall integer i, j; 0 <= i < j < n ==> a[i] <= a[j]; // отсортированность void sort(size_t n, int a[n]) { a[0] = 1; a[1] = 2; } • Как правильно их выразить? ... //сохранение всех элементов ensures \forall int *i; a <= i < a + n ==> Сount{Pre}(a, n, *i) == Сount{Post}(a, n, *i); void sort(size_t n,int a[n]){if(a[0]>a[1])swap(a,0,1);} Ошибки, специфичные для спецификаций (полнота) (2)

56. Заголовок • Противоречие в логических утверждениях a == 1 &&

    a == 2 Ошибки, специфичные для спецификаций (противоречия) (1)

57. Заголовок • Противоречие в логических утверждениях a == 1 &&

    a == 2 • Изо лжи следует всё, что угодно requires 0 == 1; ensures \result == 0 && \result == 1 && \result == 2; int main(void) { int a = 1; return a / 0; } Ошибки, специфичные для спецификаций (противоречия) (1)

58. Заголовок • Противоречие в логических утверждениях a == 1 &&

    a == 2 • Изо лжи следует всё, что угодно requires 0 == 1; ensures \result == 0 && \result == 1 && \result == 2; int main(void) { int a = 1; return a / 0; } • Мертвый код void test(int a){ if (a > 0) if (a < 0) a/0; } Ошибки, специфичные для спецификаций (противоречия) (1)

59. Заголовок • Verification Engineering of Safety and Security Critical Industrial

    Applications (VESSEDIA) • STANCE project • Programme Inter Carnot Fraunhofer from BMBF and ANR • Начало проекта - 2009 Пример ошибки в реальном проекте (1)

60. Заголовок logic integer Count{L}(int *a, integer m, integer n, int

    v); Пример ошибки в реальном проекте (2)

61. Заголовок logic integer Count{L}(int *a, integer m, integer n, int

    v); axiom CountSectionEmpty: \forall int *a, v, integer m, n; n <= m ==> Count(a, m, n, v) == 0; Пример ошибки в реальном проекте (2)

62. Заголовок logic integer Count{L}(int *a, integer m, integer n, int

    v); axiom CountSectionEmpty: \forall int *a, v, integer m, n; n <= m ==> Count(a, m, n, v) == 0; axiom CountSectionHit: \forall int *a, v, integer n, m; a[n] == v ==> Count(a,m,n+1,v)==Count(a,m,n,v)+1; Пример ошибки в реальном проекте (2)

63. Заголовок logic integer Count{L}(int *a, integer m, integer n, int

    v); axiom CountSectionEmpty: \forall int *a, v, integer m, n; n <= m ==> Count(a, m, n, v) == 0; axiom CountSectionHit: \forall int *a, v, integer n, m; a[n] == v ==> Count(a,m,n+1,v)==Count(a,m,n,v)+1; int a = 5; assert Count(&a+1,0,-1,5) == 0 && Count(&a+1,0,0,5) == 0; Пример ошибки в реальном проекте (2)

64. Заголовок logic integer Count{L}(int *a, integer m, integer n, int

    v); axiom CountSectionEmpty: \forall int *a, v, integer m, n; n <= m ==> Count(a, m, n, v) == 0; axiom CountSectionHit: \forall int *a, v, integer n, m; a[n] == v ==> Count(a,m,n+1,v)==Count(a,m,n,v)+1; int a = 5; assert Count(&a+1,0,-1,5) == 0 && Count(&a+1,0,0,5) == 0; assert Count(&a+1,0,0,5) == Count(&a + 1,0,-1,5)+1; Пример ошибки в реальном проекте (2)

65. Заголовок logic integer Count{L}(int *a, integer m, integer n, int

    v); axiom CountSectionEmpty: \forall int *a, v, integer m, n; n <= m ==> Count(a, m, n, v) == 0; axiom CountSectionHit: \forall int *a, v, integer n, m; a[n] == v ==> Count(a,m,n+1,v)==Count(a,m,n,v)+1; int a = 5; assert Count(&a+1,0,-1,5) == 0 && Count(&a+1,0,0,5) == 0; assert Count(&a+1,0,0,5) == Count(&a + 1,0,-1,5)+1; assert 0 == 1; Пример ошибки в реальном проекте (2)

66. Заголовок size_t strlen(const char *s) { const char *sc; for

    (sc = s; *sc != '\0'; ++sc) /* nothing */; return sc - s; } Как выглядит разработка спецификации для функции? (1)

67. Заголовок requires \exists size_t i; 0 <= i && s[i]

    == '\0' && \valid(s+(0..i)); size_t strlen(const char *s) Как выглядит разработка спецификации для функции? (2) (Контракт)

68. Заголовок requires \exists size_t i; 0 <= i && s[i]

    == '\0' && \valid(s+(0..i)); assigns \nothing; size_t strlen(const char *s) Как выглядит разработка спецификации для функции? (2) (Контракт)

69. Заголовок requires \exists size_t i; 0 <= i && s[i]

    == '\0' && \valid(s+(0..i)); assigns \nothing; ensures s[\result] == '\0'; size_t strlen(const char *s) Как выглядит разработка спецификации для функции? (2) (Контракт)

70. Заголовок requires \exists size_t i; 0 <= i && s[i]

    == '\0' && \valid(s+(0..i)); assigns \nothing; ensures s[\result] == '\0'; ensures \forall size_t i; 0 <= i< \result ==> s[i] != '\0'; size_t strlen(const char *s) Как выглядит разработка спецификации для функции? (2) (Контракт)

71. Заголовок const char *sc; /*@ loop invariant s <= sc;

    */ for (sc = s; *sc != '\0'; ++sc) /* nothing */; return sc - s; Как выглядит разработка спецификации для функции? (3) (Инварианты цикла)

72. Заголовок const char *sc; /*@ loop invariant s <= sc;

    loop invariant \forall char *p; s <= p < sc ==> *p != '\0'; */ for (sc = s; *sc != '\0'; ++sc) /* nothing */; return sc - s; Как выглядит разработка спецификации для функции? (3) (Инварианты цикла)

73. Заголовок const char *sc; /*@ loop invariant s <= sc;

    loop invariant \forall char *p; s <= p < sc ==> *p != '\0'; loop variant SIZE_MAX - (sc - s); */ for (sc = s; *sc != '\0'; ++sc) /* nothing */; return sc - s; Как выглядит разработка спецификации для функции? (3) (Инварианты цикла)

74. Заголовок Как выглядит разработка спецификации для функции? (4) (Инструменты)

75. Заголовок Как выглядит разработка спецификации для функции? (4) (Инструменты)

76. Заголовок Как выглядит разработка спецификации для функции? (4) (Инструменты)

77. Заголовок Как выглядит разработка спецификации для функции? (4) (Инструменты)

78. Заголовок Как выглядит разработка спецификации для функции? (4) (Инструменты)

79. Заголовок Как выглядит разработка спецификации для функции? (5) (Инструменты)

80. Заголовок Как выглядит разработка спецификации для функции? (4) (Инструменты)

81. Заголовок Как выглядит разработка спецификации для функции? (4) (Инструменты)

82. Заголовок Как выглядит разработка спецификации для функции? (6) (Инструменты)

83. Заголовок logic integer strlen(char *s) = s == '\0' ?

    0 : 1 + strlen(s + 1); Как выглядит разработка спецификации для функции? (7) (аксиоматика)

84. Заголовок logic integer strlen(char *s) = s == '\0' ?

    0 : 1 + strlen(s + 1); lemma strlen_shift: \forall char *s; (\exists integer i; 0 <= i && s[i] == '\0') && *s != '\0' ==> strlen(s) == strlen(s + 1) + 1; Как выглядит разработка спецификации для функции? (7) (аксиоматика)

85. Заголовок logic integer strlen(char *s) = s == '\0' ?

    0 : 1 + strlen(s + 1); lemma strlen_shift: \forall char *s; (\exists integer i; 0 <= i && s[i] == '\0') && *s != '\0' ==> strlen(s) == strlen(s + 1) + 1; lemma strlen_strend: \forall char *s; *s == '\0' ==> strlen(s) == 0; Как выглядит разработка спецификации для функции? (7) (аксиоматика)

86. Заголовок /*@ ... ensures \result == strlen(s); */ size_t strlen_str(const

    char *s) { const char *sc; /*@ ... loop invariant strlen(s) == strlen(sc) + (sc - s); ... */ for (sc = s; *sc != '\0'; ++sc) /* nothing */; return sc - s; } Как выглядит разработка спецификации для функции? (8) (аксиоматика)

87. Заголовок • Трудоёмкость • В разы больше чем разработка •

    Каждой строчке кода соответствует ~3-5 строчек спецификаций • Инструменты поддерживают не все конструкции языков программирования • Goto назад по коду • Switch с “проваливающимися” case • Цикломатическая сложность функций (< 15) • … • Применяется для проектов небольшого размера • обычно не более 10 тыс. строк Ограничения по применению дедуктивной верификации

88. Заголовок • Серебряной пули не существует • Формальная верификация имеет

    как плюсы, так и минусы • Сложность применения • Что мы доказываем (безопасность(safety), функциональные требования) • Предположения, исходя из которых проводится верификация • Формальная верификация не гарантирует отсутствие всех ошибок • Формальная верификация не является заменой тестированию • При дедуктивной верификации существенна роль человека Резюме

89. Заголовок • Система верификации на основе Frama- C+Jessie+Why3 опубликована под

    свободной лицензией • http://linuxtesting.ru/astraver • Руководства и введение в инструменты на русском • http://astraver.linuxtesting.org/ • Спецификации для библиотечных функций ядра Linux • https://github.com/evdenis/verker/ Дополнительная информация

90. Заголовок ptsecurity.com Спасибо! Спасибо!