Как доказать простые равенства недетерминированных значений в Frama-C + EVA?

Question

Меня немного смущает поведение Frama-C версии 18.0 (Argon).

Учитывая следующую программу:

#include <assert.h>
#include <limits.h>


/*@ requires order: min <= max;
    assigns \result \from min, max;
    ensures result_bounded: min <= \result <= max ;
 */
extern int Frama_C_interval(int min, int max);


int main() {

  int i,j;

  i = Frama_C_interval(INT_MIN, INT_MAX);

  j = i;

  assert(j == i);

  return 0;
}

Я ожидаю, что утверждение будет легко доказано с помощью любой из абстрактных областей, которые отслеживают равенство. Однако, ссылаясь на

frama-c -eva -eva-равенство-домен -eva-полька-равенства foo.c

Дает:

[eva] Warning: The Apron domains binding is experimental.
[kernel] Parsing stupid_test.c (with preprocessing)
[eva] Analyzing a complete application starting at main
[eva] Computing initial state
[eva] Initial state computed
[eva:initial-state] Values of globals at initialization

[eva] using specification for function Frama_C_interval
[eva] using specification for function __FC_assert
[eva:alarm] foo.c:20: Warning: 
  function __FC_assert: precondition 'nonnull_c' got status unknown.
[eva] done for function main
[eva] ====== VALUES COMPUTED ======
[eva:final-states] Values at end of function main:
  i ∈ [--..--]
  j ∈ [--..--]
  __retres ∈ {0}

Я что-то упустил?

Answer 1

Интересно.Ваш пример не обработан -eva -eva-equality-domain, который был написан с другими целями.Таким образом, специальный случай для x == y, когда x и y, как известно, равны, не был записан.Это было бы довольно легко добавить.

(Учитывая имя домена, это может показаться удивительным. Домен равенства больше ориентирован на возможность более обратного распространения, когда у нас есть неинтересные псевдонимы, например, добавлены временные ссылкиядром.)

Что касается доменов, поступающих из Apron, это более удивительно.Я изменил ваш пример следующим образом:

  j = i;

  int b = j - i;
  int c = j == i;
  Frama_C_dump_each_domain();

Запуск frama-c -eva -eva-polka-equalities foo.c -value-msg-key d-apron дает следующий результат:

[eva] c/eq.c:23: 
  Frama_C_dump_each_domain:
  # Cvalue domain:
  i ∈ [--..--]
  j ∈ [--..--]
  b ∈ {0}
  c ∈ {0; 1}
  __retres ∈ UNINITIALIZED
  # Polka linear equalities domain:
  [|-i_44+j_45=0; b_46=0|]

Как видите, Apron вывел соотношение между i и j (суффикс - номер строки), упрощенный b до 0, но не упрощенный c до 1. Это меня удивляет, но объясняет неточность, которую вы наблюдали.Он также не работает с доменом восьмиугольников.

Я не так хорошо знаком с абстрактными преобразователями в реляционных областях, поэтому этого можно ожидать, но это, безусловно, озадачивает.Код для обработки реляционных операторов существует во Frama-C / Eva / Apron, но частично написан на дому (это не просто вызов примитива Apron).В частности, он вызывает оператор вычитания и анализирует равенство результата с 0. Трудно понять, почему b будет точным, а не c.