Apport de la combinaison par rapport `a chaque technique seule

Dans cette partie, nous comparons l’option none de la m´ethode sante, qui combine l’analyse statique et la g´en´eration de tests structurels, sans simplification par le slicing, avec l’analyse de valeurs et avec la technique d’analyse dynamique all-threats DA (pr´e-sent´ee dans la partie 6.4) utilis´ees ind´ependamment. Dans cette comparaison, nous allons mesurer les crit`eres C1− C5.

N^o Analyse de valeurs all-threats DA sante none

? ? ?

1 4 4 0 7 0 1 7 0 1

2 11 5 0 15 0 1 15 0 1

3 2 15 0 0 17 0 15 0 2

4 0 12 0 0 12 0 0 12 0

5 4 4 0 7 0 1 7 0 1

6 3 12 0 0 14 1 3 11 1

7 19 10 0 27 0 2 27 0 2

8 8 2 0 0 10 0 8 2 0

9 14 5 0 18 0 1 18 0 1

Total 65 69 0 74 53 7 100 25 9

Figure 6.2 – R´esultats de classification par VA, all-threats DA et sante none avec le crit`ere “tous les chemins”

6.6.1 Classification avec la couverture “tous les chemins”

La figure 6.2 compare l’option none desanteavec les deux autres techniques, avec le crit`ere “tous les chemins” pourPathCrawler. On note que, `a l’exception de l’exemple 4, tous les bogues connus sont d´etect´es avec sante none. Les deux analyses comparatives suivantes exploitent de mani`ere d´etaill´ee ces premiers r´esultats.

sante vs analyse de valeurs.

La figure 6.2 montre que, dans la plupart des cas (exemples 1, 2, 3, 5, 6, 7, 8 et 9), l’analyse de valeurs seule r´eduit le nombre de menaces potentielles et prouve que certaines d’entre elles sont safe, mais g´en`ere une forte proportion d’alarmes, plus de 50% dans les exemples 1, 3, 4, 5 et 6. Nous voyons dans la mˆeme figure que, dans sept cas sur huit, sante confirme certaines alarmes comme de vrais bogues en fournissant un cas activant chaque bogue. Nous voyons ´egalement que sante laisse beaucoup moins d’alarmes avec le statut unknown en prouvant que certaines menaces sont fausses. Dans cinq cas, toutes les alarmes sont class´ees vraies ou fausses. Sur l’ensemble des neuf exemples,santeclasse 44 alarmes, parmi les 69 alarmes que l’analyse de valeurs n’a pas class´ees.

sante vs all-threats DA.

santed´etecte le mˆeme nombre d’erreurs queall-threats DApour tous les programmes, sauf pour le 3, o`u il en trouve deux de plus. sante classe beaucoup plus de menaces, en

´eliminant des menaces dans le cas des exemples 3, 6 et 8. Sur les neuf exemples, il ´eli-mine 28 alarmes parmi les 53 que all-threats DAn’a pas class´ees. Notons quesantenone

6.6. Apport de la combinaison par rapport `a chaque technique seule N^o all-threats DA sante none

chemins temps chemins temps

1 3602 22s 2454 14s

2 3876 20s 2694 10s

3 TO 37967 8min 43s

4 TO TO

5 18978 1min 56s 15250 1min 12s

6 TO TO

7 23502 5min 33s 12603 1min 31s

8 TO TO

9 1186 25s 878 18s

Figure 6.3 – Temps consomm´e par all-threats DA et sante none avec le crit`ere “tous les chemins”

trouve toutes les erreurs connues, sauf pour l’exemple 4, et que all-threats DA les trouve toutes sauf pour les exemples 3 et 4.

6.6.2 Dur´ ee d’analyse et chemins trait´ es avec la couverture “tous les chemins”

La figure 6.3 compare les temps d’ex´ecution entre les diff´erentes analyses et le nombre de chemins trait´es par la g´en´eration de tests pour les techniques all-threats DAetsante, avec le crit`ere “tous les chemins” pour PathCrawler.

La g´en´eration de tests guid´ee par les alarmes danssantetraite seulement les alarmes maintenues par l’analyse de valeurs alors queall-threats DAconsid`ere na¨ıvement toutes les menaces potentielles. Ainsi, la g´en´eration de test danssanteconsid`ere moins de chemins.

Pour les exemples 1, 2, 5, 7 et 9, santed´etecte le mˆeme nombre d’erreurs queall-threats DA en moins de temps. Pour l’exemple 3, le gain de temps permet `a sante d’´eviter le d´epassement de temps limite et aussi de classer deux erreurs de plus. Pour les cas 4, 6 et 8, le gain de temps est insuffisant pour classer toutes les alarmes.

Dans l’exemple 9, all-threats DA analyse 19 alarmes (voir figure 6.2 exemple 9), et il faut 25 secondes pour trouver un bogue et prouver que les ´etats d’erreur sont inat-teignables pour les 18 autres menaces (voir figure 6.3 exemple 9), tandis que l’analyse dynamique dans sante analyse 5 alarmes, parce que 14 ont ´et´e d´ej`a prouv´ees safe par l’analyse de valeurs. santenone prend 18 secondes pour classer toutes ces alarmes. (voir figure 6.3 exemple 9). La diminution du temps est la plus importante en proportion dans l’exemple 7 car santenone analyse 10 alarmes alors que all-threats DAen analyse 27.

N^o k all-threats DA sante none ? ?

1 3 0 7 1 4 3 1

2 10 0 15 1 11 4 1

3 3 0 15 2 2 13 2

4 2 0 9 3 0 9 3

5 2 0 7 1 4 3 1

6 3 0 14 1 3 11 1

7 2 0 27 2 19 8 2

8 2 0 10 0 8 2 0

9 2 0 18 1 14 4 1

Total 0 122 12 65 57 12

Figure 6.4 – R´esultats de classification parall-threats DAetsante none avec le crit`ere

“tous les k-chemins”

sante none termine dans le cas de l’exemple 3, o`u all-threats DA, fait un time / space out. Dans le pire des cas, o`u l’analyse de valeurs ne filtre aucune menace, sante none pourrait prendre autant de temps, voire un peu plus, que all-threats DApuisqu’elle effectue l’analyse de valeurs en plus. Mais aucun de nos exemples n’illustre cette situation.

C’est peut-ˆetre le cas de l’exemple 4 o`u l’analyse de valeurs ne classe aucune alarme. Mais le d´epassement de temps dans les 2 cas ne permet pas d’observer cette situation.

6.6.3 Classification avec la couverture “tous les k-chemins”

Nous r´ep´etons les mˆemes exp´erimentations avec le crit`ere de test partiel “tous les k-chemins” (k-path). La strat´egie “tous les k-chemins” est donn´ee pour le k minimal per-mettant de d´etecter tous les bogues connus avec sante.

Le crit`ere “tous les k-chemins” n’affectant pas l’analyse de valeurs, la figure 6.4 ne compare passante avec l’analyse de valeurs, mais seulement avec all-threats DA.

sante d´etecte le mˆeme nombre de bogues que all-threats DA sur tous les exemples et laisse beaucoup moins d’alarmes avec le statut unknown (Exemples 1, 2, 3, 5, 6, 7, 8 et 9). Mais notons que les fausses alarmes class´ees safe par sante l’ont toutes ´et´e par l’analyse de valeurs. En effet, le parcours avec le crit`ere de couverture “tous lesk-chemins”,

´etant partiel, il ne peut pas garantir l’absence d’erreurs et ne permet de classer aucune alarme safe. Donc la phase d’analyse dynamique de sante n’apporte pas d’am´elioration autre que celle de VA concernant l’´elimination de fausses alarmes. Dans le pire des cas, lorsque l’analyse de valeurs danssantene filtre aucune menace,santedonne les mˆemes r´esultats queall-threats DA(Exemple 4). Notons qu’il est normal que santenone et

all-6.6. Apport de la combinaison par rapport `a chaque technique seule N^o k all-threats DA sante none

chemins temps chemins temps

1 3 71 <1s 45 <1s

2 10 417 1s 325 1s

3 3 30977 9min 18s 18874 3min 35s

4 2 36690 TO 36690 TO

5 2 4509 25s 3319 18s

6 3 19806 9s 15544 8s

7 2 195 1s 88 1s

8 2 15 <1s 7 <1s

9 2 60 1s 18 <1s

Figure 6.5 – Temps consomm´e et nombre de chemins parcourus par all-threats DA et sante none avec le crit`ere “tous les k-chemins”

threats DA trouvent les mˆemes erreurs avec la mˆeme valeur dek car elles activent toutes les deux PathCrawler dans les mˆemes conditions. Maissante none pourrait d´etecter plus de bogues sur un exemple o`uall-threats DAferait untime / space out etsantenone terminerait, car all-threats DA doit analyser plus d’alarmes, donc plus de chemins, donc prend plus de temps. Mais aucun exemple n’illustre cette situation.

6.6.4 Dur´ ee d’analyse et chemins trait´ es avec la couverture “tous les k-chemins”

La figure 6.5 compare les temps d’ex´ecution entre les diff´erentes analyses et le nombre de chemins trait´es par la g´en´eration de tests pour les techniques all-threats DAetsante avec le crit`ere “tous les k-chemins” pourPathCrawler.

La g´en´eration de tests danssanteconsid`ere moins de chemins, comme nous le voyons sur les exemples 1, 2, 3 et 5. sante d´etecte le mˆeme nombre de bogues que all-threats DA en moins de temps. Dans le pire des cas, lorsque l’analyse de valeurs dans sante ne filtre aucune menace, sante peut prendre autant de temps queall-threats DA (Exemple 4), voire un peu plus.

Une difficult´e d’application de sante avec le crit`ere “tous les k-chemins” est li´ee au choix de la valeur de k. Dans nos exp´erimentations, la valeur minimale de k permettant de d´etecter tous les bogues connus est trouv´e s´equentiellement, ce qui n’est pas efficace.

De plus, dans une application r´eelle, ne connaissant pas le nombre de bogues connus, nous ne pourrons plus utiliser cette information comme crit`ere d’arrˆet. L’impossibilit´e de connaˆıtre la valeur de k qui permettra de d´etecter toutes les erreurs reste une limitation importante de la m´ethode sante avec le crit`ere “tous les k-chemins”.

Enfin, notons que la strat´egie “tous les k-chemins” peut s’av´erer plus efficiente que la strat´egie “tous les chemins”, comme l’illustre l’exemple 4 o`u, malgr´e le d´epassement de temps limite, les trois erreurs connues sont trouv´ees aveck = 2 alors que la strat´egie “tous les chemins” n’en trouve aucune.

6.6.5 Bilan de cette exp´ erimentation

Les principales conclusions de cette partie sont :

1. L’outilsante combinant l’analyse de valeurs et PathCrawler classe plus de me-naces que chacun de ces outils utilis´es s´epar´ement,

2. sante est plus efficace (en temps) qu’un outil de test structurel seul,

3. La g´en´eration de test guid´ee par la liste exhaustive des alarmes pour toutes les instructions potentiellement mena¸cantes examine plus de chemins infaisables que sante et prend donc plus de temps. Parfois elle peut faire un time / space out.

4. Avec le crit`ere de test partiel “tous lesk-chemins” (k-path),santenoneetall-threats DA d´etectent le mˆeme nombre de bogues mais sante none laisse moins d’alarmes non class´ees, grˆace au travail pr´ealable de l’analyse de valeurs.

5. Avec le crit`ere “tous les chemins”, sante none et all-threats DA classent plus d’alarmes qu’avec le crit`ere “tous les k-chemins”, sauf quand il y a un time / space out.

6. Avec le crit`ere “tous les k-chemins”, sante none et all-threats DA ont r´eussi `a d´e-tecter tous les bogues dans une dur´ee beaucoup plus courte qu’avec le crit`ere “tous les chemins”. Mais la d´efinition d’une m´ethode pour choisirk reste un travail `a faire avec pour objectif de trouver un compromis raisonnable et acceptable entre la pr´e-cision de la classification des alarmes et le temps d’analyse du programme.

7. Malgr´e l’apport de la combinaison par rapport `a chaque technique utilis´ee ind´e-pendamment, les exp´erimentations montrent aussi que sante none peut faire des d´epassements de temps limite et laisser beaucoup d’alarmes non class´ees.

6.7. Apport du slicing en classification et temps d’analyse