une introduction à frama-c - linux-francedmentre/gulliver/presentations/expose-frama-c... ·...

David MentréDavid Mentré

[email protected]@linux-france.orgGulliverGulliver

Une introduction à Frama-CUne introduction à Frama-C

Analyse et preuve de programmes CAnalyse et preuve de programmes C

mailto:[email protected]

2011-01-31 Introduction à Frama-C 2

Prélude : quelques exemples illustratifs


Ce code contient une erreur !

Calcul de la valeur absolue d’un nombre en langage C

int z_abs_x(const int x) {

int z; if (x < 0) z = -x; else /* x >= 0 */ z = x; return z; }


Ce code contient une erreur !

Calcul de la valeur absolue d’un nombre en langage C

int z_abs_x(const int x) {

int z; if (x < 0) z = -x; else /* x >= 0 */ z = x; return z; }

Si x = -231, 231 n'existe pas (seulement 231 -1)


Un autre exemple, en Java

Recherche par Dichotomie dans un tableau triépublic static int binarySearch(int[] a, int key) { int low = 0; int high = a.length - 1;

while (low <= high) { int mid = (low + high) / 2; int midVal = a[mid];

if (midVal < key) low = mid + 1 else if (midVal > key) high = mid - 1; else return mid; // key found } return -(low + 1); // key not found.}


Un autre exemple, en Java




Solution6: int mid = low + ((high - low) / 2);

ProblèmeBug présent dans le JDK de Sun !




http://googleresearch.blogspot.com/2006/06/extra-extra-read-all-about-it-nearly.html

http://googleresearch.blogspot.com/2006/06/extra-extra-read-all-about-it-nearly.html


Un cas d'école

Un exemple concret de l'utilité des méthodes d'analyse statique

http://esamultimedia.esa.int/docs/esa-x-1819eng.pdf

http://esamultimedia.esa.int/docs/esa-x-1819eng.pdf


Un cas d'école : causes

Chaine d'événements techniques


Un cas d'école : suite des causes

Chaîne d'événements techniques (suite)

[...]


Un cas d'école : recommandations pour Ariane 501

Plus de tests

Plus de formel (indirectement)

→ Analyse abstraite (PolySpace, A. Deutsch)


Analyse abstraite


Analyse abstraite : PolySpace

PolySpaceLogiciel expérimental puis industrialisé d'analyse de code Ada, C, C++ (PolySpace → MathWorks)Vérification automatique à 95% de l'absence de Run Time Error pour Ariane 502, 503, …

Inertial Measurement Unit (30.000 lignes)Flight Software (60.000 lignes)


Analyse abstraite : interprétation abstraite

Basée sur l'interprétation abstraiteApproximations faites sur le sens (la sémantique) du langage C

Formalisé par Patrick et Radia Cousot (fin 70)Signale toutes les erreurs possibles pour des classes d'erreurs

Division par zéro, débordement de tableau, dépassement de capacité sur des entiers, …

Parfois signale des erreurs qui n'en sont pas (fausses alarmes)


Analyse abstraite : aperçu

Un exemple : signe d'un calculSign(x) = -1 si x < 0, +1 sinonSign(x * y) = Sign(x) * Sign(y) Sign(x / y) = Sign(x) * Sign(y)Sign(x + y) = ? Sign(x – y) = ? => approximation

Analyse abstraiteAller de l'espace concret (programme) dans l'espace abstrait d'analyseFaire l'analyse

Dans un temps et espace fini et raisonnable sur des propriétés potentiellement infinies

Projeter le résultat sur l'espace concret


Analyse abstraite : fondements

Fondements théoriques plus compliquésGarantir que l'analyse est valide

Tout ce qui est démontré sur l'abstraction l'est aussi sur le vrai système

Idéalement, garantir que l'analyse est complèteToute erreur signalée sur l'analyse est une erreur sur le vrai systèmeTout du moins, limiter les fausses alarmes


Analyse abstraite : outils

Outils commerciaux et propriétairesAstrée http://www.absint.de/astree/

Vérification du logiciel embarqué d'AirbusPolySpace http://www.mathworks.com/products/polyspace

Issu des vérifications pour Ariane 502Outil libre et gratuit

Frama-C http://frama-c.com/ Framework plus général d'analyse et de preuve de code C

http://www.absint.de/astree/

http://www.mathworks.com/products/polyspace

http://frama-c.com/


Analyse abstraite : grille de lecture

Domaine d'application : code Ada / C / C++À vérifier : les fausses alarmesNiveau d'expertise : NulNiveau d'intervention : sur le code final de production, annotations

Fidèle, suit les changementsOutils disponibles et automatiquesExpressivité : que certaines classes de propriétés

Division par zéro, non débordement de tableaux et entiers, ...


Analyse de code C avec Frama-C(un peu de concret !)


Qu'est-ce que Frama-C ?

Framework d'analyse de code C http://frama-c.com/ Développé par le CEA LIST et INRIA SaclayProgrammé et extensible (plugins) en OCamlDifférentes analyses, combinables entre elles

Analyse de valeurs, vérification déductive, slicing, code mort, propagation de constantes, dépendances entre variables, ...

Interface graphique pour montrer les résultats d'analysePaquets Debian et Ubuntu frama-c

http://frama-c.com/


Plugin fondamental : analyse de valeur

Activé par l'option -val : valeur des variablesValeurs pour des variables entières

Énumérations : a ∈ {4; 5; }Intervalle : i ∈ [0..100] a ∈ [--..--]

Intervalle avec périodicité : i ∈ [2..42]%2,10

Toutes les valeurs de l’intervalle ayant pour reste 2 après division par 10 : 2, 12, 22, 32, 42

Valeurs pour des variables flottantesValeur exacte (3.0) et intervalle ([-1.0..1.0])

Valeurs pour des tableaux et pointeursEnsemble d'adresses sous forme base + offset (en octets)p ∈ {{ &a ; &b ;}}

p ∈ {{ &t + {0; 4; 8; 12;} ; &s + { 0; } ; }}


Exemple d'analyse de valeur : démo !


Frama-C pour l'analyse de code

frama-c-gui -val value-analysis.c

Permet de faire des vérifications exhaustivesConsidère tous les cas possibles

Notamment très difficilement accessibles au test

Alarmes : bug potentiel !Ajout d'une assertion : continuer l'analyse

Sous hypothèse que l'assertion est vraieParfois donne des sur-approximations

Fausses alarmes. Finesse avec -slevel


Normalisation des boucles

Boucle originaleint loop1(void) { int i; for (i=0; i<10; i++){ i = i + 1; } return i;}

Boucle vue par Frama-Cint loop1(void) { int i ; i = 0; while (i < 10) { i ++; i ++; } return (i);}


Informations fournies par Frama-C sur les boucles

i = 0

while (i < 10)

i ++

i ++ return (i)

i UNINITIALIZED∈

i {0; 2; 4; 6; 8; ∈ 10; }

i {1; 3; 5; 7; 9; }∈

i {0; 2; 4; 6; 8; 10; }∈

i {10; }∈

i {0; ∈ 2; 4; 6; 8; 10; }

i {0; 2; 4; 6; 8; }∈

i {1; 3; 5; 7; 9; }∈

i {∈ 0; 2; 4; 6; 8; 10; }


Alarmes générées

Division et modulo par zéro 10 / y 10 % y

Décalage indéfini (hors de [0..31]) 1 << c

Dépassement en arithmétique non signée ou signéeAvec option -val-signed-overflow-alarms

Valeurs flottantes dangereusesQuand une opération peut rendre une valeur infinie ou NaNUtilisation d'une valeur entière comme flottant

Variables non initialisées et pointeurs sur des variables localesAccès mémoire invalides

Par exemple, débordement de tableauComparaison de pointeurs ou effets de bord dangereux


Exemple : valeur absolue (1/2)


Exemple valeur absolue (2/2)

frama-c-gui –val –val-signed-overflow-alarms absolute.c

L'analyse de valeur de Frama-CA inféré que la variable x a une valeur dans le domaine [-∞,+∞]En déduit que l'opération « -x » est une erreur pour x = 231

Poursuit l'analyse en supposant que x ≠ -231

Insertion d'une assertionÀ prouver par la suite avec d'autres hypothèsesOu modifier le code (par ex. ajouter un test)


Autres exemples

Boucles : démo !Alarmes : démo !

frama-c-gui –val –val-signed-overflow-alarms alarms.c

Division possible par zéro : utilisation de -slevelPrendre en compte au plus n chemins différents lors de l'analyseComparer

frama-c-gui –val possible-zero.cframa-c-gui –val –slevel 2 possible-zero.c


Preuve de programme(encore plus fort !)


Pourquoi la preuve de programme ?

La vérification abstraite ne permet de vérifier que des classes de propriétésOn veut pouvoir vérifier des propriétés plus larges

Liées au domaine de l'applicationCorrection de bon fonctionnement du programme

=> Utilisation de la preuve de programmeEn utilisant principalement la logique de Hoare

On va en donner des exemples en CExiste aussi pour d'autres langages comme Java


Introduction théorique : la logique de Hoare

Logique de Hoare ou triplets de Hoare {P} C {Q}P : Précondition, C : Programme, Q : PostconditionRègles logiques pour raisonner sur la correction d'un programme informatiqueSi P est vraie, alors Q est vraie après exécution de la commande Chttp://fr.wikipedia.org/wiki/Logique_de_Hoare

http://fr.wikipedia.org/wiki/Logique_de_Hoare


Avantages et limites de la preuve de programme

On peut (parfois) calculer PCalcul de plus faible pré-condition(WP : Weakest Precondition)

Preuves statiquesValables pour toutes les exécutions du programme !

Preuve par rapport à une spécificationSi la spécification est fausse, on prouvera un programme correct mais qui ne fait pas le travail attendu !

Équivalent à la programmation par contrat (Eiffel)


En pratique dans Frama-C

Workflow1.Programme original en C, annoté en ACSL

ACSL : ANSI C Specification Language2.Génération des obligations de preuves avec le plugin

Jessie3.Génération des obligations de preuves pour un

prouveur particulier avec Why + Visualisation (gWhy)4.Preuve des obligations de preuve

Prouveurs automatiques : Alt-Ergo, CVC3, …Prouveurs manuels : Coq, Isabelle, …

Généralement des erreurs donc on reboucle sur 1.


Un exemple de preuve

Calcul de a + bTrois versions

StandardAvec vérificationAvec spécification

Impact sur la preuve ?Démo !frama-c -jessie sum.c

Impact sur l'efficacité ?3e version : pas de tests !


Résultat de la preuve


Parenthèse : notion d'invariant

Un invariant : propriété toujours vraieDépend de la définition de « toujours »

Dans Frama-C : utilisé pour les bouclesPropriétés toujours vraies dans une boucle

Également avant d'entrer dans le boucleÉgalement en sortie de boucle

On peut aussi spécifier des invariants sur des variables globalesPar opposition, un variant : décroit strictement

Borné par 0, pour prouver la terminaison des boucles


Un exemple plus complet : recherche sur un tableau trié

Exemplearchi-classiquetableau t trié,de longeur nRecherche pardichotomie d'une valeur vDeux bornesl : loweru : upperm = (l+u)/2


Première spécification fonctionnelle en ACSL

#pragma JessieIntegerModel(math)

#pragma JessieTerminationPolicy(user)

/*@ requires n >= 0 && \valid_range(t, 0, n-1);

behavior success:

assumes \forall integer k1, k2; 0 <= k1 <= k2 <= n-1

==> t[k1] <= t[k2];

assumes \exists integer k; 0 <= k <= n-1 && t[k] == v;

ensures 0 <= \result <= n-1;

behavior failure:

assumes \forall integer k; 0 <= k <= n-1 ==> t[k] != v;

ensures \result == -1;

*/


Premier résultat : pas beaucoup de preuve ! :-(


Problème des boucles « opaques »

Le problème : la boucle est « opaque »Solution : ajouter un invariant de boucle

Construire progressivement la propriété que l'on veut obtenirÉtape difficile !

En profiter pour ajouter un variant de boucleProuver la terminaison


Invariant de boucle

Construireprogressi-vementla propriétérecherchée\forall int k ;0≤k<n &&t[k] == v=>l ≤ k ≤ u


Preuves fonctionnelles : nettement mieux !

Toutes les obligations de preuves sont prouvéesAutomatiquement par Alt-Ergo !


Spécification plus complète : arithmétique habituelle


Corriger l'erreur !

Erreur habituelle d'overflow !Correction : m = l + (u – l) / 2;

Toutes les preuves sont faitesToujours automatiquement !En toutegénéralité !

Quelles quesoient lesentrées/sortiesdu programme


Pour aller plus loin...

Spécification des pointeurs et des tableauxCrucial en langage CParfois difficile

Spécification algébriquePour exprimer des choses plus complexes

Par exemple, spécification et preuve d'un algorithme de tri


Pour finir...


Limites de Frama-C

Analyse statiqueDonne des résultats exhaustifs mais......problème des approximations... temps de calculs

PreuveMoins simple à utiliserParfois difficile d'établir les annotations

Outil en développementChange régulièrement => suivre les évolutions


Conclusion

Frama-C + Why + Alt-ErgoSolution libre complète pour l'analyse et la preuve de code C

Analyse de sécurité basique (overflow, …)Preuves plus élaborées

Fonctionnement correct par rapport à une spécification

Technologie loin d'être parfaite, parfois difficileMais ce n'est pas une raison pour ne pas l'utiliser ! ;-)


Pour aller plus loin

Documentation de Frama-C sur son site webDocumentations spécifiques de l'Analyse de valeur et de JessieNotamment http://frama-c.com/training_berlin_2010.html

Voir « Tutorial ACSL by Example », projet DEVICE-SOFT de Fraunhofer First

Formalisation et preuve d'une bibliothèque de structures de données en C

http://frama-c.com/training_berlin_2010.html

une introduction à frama-c - linux-francedmentre/gulliver/presentations/expose-frama-c... ·...

Documents