plus forte post-condition

a différents outils de simplification spécifiques écrits en HOL4 et enfin aux solveurs externes. Il s’agit d’une chaˆıne complètement automatique : la fonction ML verif y

prend en entrée le nom d’un programme à vérifier, génère la représentation interne,

fait l’exécution symbolique du programme en fournissant une trace des chemins ex-plorés et renvoie le terme RESU LT s si le programme est correct (s est l’état final), et renvoie ERROR s s’il y a une erreur. Dans ce dernier cas, s est instancié avec une des erreurs (i.e. solution trouvée par le solveur externe).

J’effectue une critique de ce premier travail dans la section VI.2 et en présente les questions ouvertes et perspectives. La section suivante est une formalisation de l’exécution symbolique en terme de génération de plus forte post-condition.

IV.3 Vérification des programmes par génération d’une

Cette section expose quelques éléments de l’article que Mike Gordon a été invité `

a écrire pour célébrer le 75î`êmeanniversaire de Tony Hoare, et dont je suis co-auteur.

Il est inclus comme article support section IV.5.1 page 186.

J’introduis tout d’abord, de fa¸con succincte et sans aucune perspective his-torique, les preuves par génération d’une plus faible pré-condition, et détaille l’exécution symbolique vue comme une génération de plus forte post-condition. Ce dernier point fournit un cadre théorique aux travaux de la section précédente. De plus, il pose de nombreuses questions et perpectives qui seront discutées au chapitre VI.

IV.3.1 V´erification de triplets de Hoare

Un triplet de Hoare {P }S {Q} (o`u P et Q sont des assertions et S est un

ensem-bles d’instructions) signifie que Q (la “post-condition”) est vraie dans chaque ´etat

at-teint par l’exécution de S à partir d’un état initial dans lequel P (la “pré-condition”)

est vraie. La logique de Hoare [8] est un système déductif dont les axiomes et les règles d’inférence fournissent une méthode pour prouver de tels triplets.

La génération de plus forte post-condition et plus faible pré-condition

permet ´egalement de prouver de tels triplets. Si P ⇒ Q alors P est dit plus fort que

Q. Un générateur¹⁰ de plus forte post-condition pour un programme S transforme le prédicat de pré-condition P en un prédicat de post-condition sp S P , qui est le prédicat ‘le plus fort’ qui est vrai après avoir exécuté S dans un état qui satisfait la pré-condition P . Il est plus fort dans le sens que si Q est vrai pour chaque état résultant de l’exécution de S quand P est vrai, alors sp S P est plus fort que Q – i.e. sp S P ⇒ Q.

Si P ⇒ Q alors Q est plus faible que P . Un générateur de plus faible pré-condition pour un programme S transforme le prédicat de post-condition Q en un prédicat de pré-condition wp S Q, qui est le prédicat le ‘plus faible’ qui assure que si un état le satisfait alors après exécution de S le prédicat Q est vrai. Il est plus faible dans le sens que si P a la propriété qu’exécuter S quand P est vrai assure que Q est vrai après exécution, alors wp S Q est plus faible que P – i.e. P ⇒ wp S Q.

Le lien entre ces deux générateurs et la vérification d’un triplet de Hoare est que le triplet {P }S {Q} est vérifié si et seulement si (sp S P ) ⇒ Q et aussi si et seulement si P ⇒ wp S Q. Les équations satisfaites par sp S P et wp S Q sont données figure

IV.8. Calculer sp (S₁;S₂) P avec ces équations revient à partir d’une pré-condition

P , à calculer d’abord sp S₁P et ensuite appliquer sp S₂ au prédicat résultant. Cela

correspond `a une ex´ecution symbolique en avant. Au contraire, calculer wp (S1;S2) Q

procède en arrière à partir de la post-condition Q en calculant d’abord wp S₂Q en

appliquant ensuite wp S₁ au pr´edicat r´esultant.

Une différence majeure entre les deux approches réside dans la règle de trans-formation de l’affectation. Le fait que cette règle soit plus complexe dans le cas en avant (à cause du quantificateur existentiel), semble expliquer pourquoi la plupart des prouveurs utilisent la génération en arrière. En effet, la règle de génération d’une plus faible pré-condition pour la sémantique de l’affectation V := E est :

wp(V := E) Q = Q[E/V ]

tandis que la règle de génération d’une plus forte post-condition est :

sp(V := E) P = ∃v. (V = E[v/V ]) ∧ P [v/V ]

où la notation M [E/V ], avec M formule ou expression, représente le résultat de

la substitution de V par E dans M . Pour la plus faible pré-condition, il suffit de remplacer V par E dans Q. Pour la plus forte post-condition, des quantificateurs existentiels sont introduits afin de représenter les modifications successives de la variable. En effet, ∃v. (V = E[v/V ]) ∧ P [v/V ] signifie qu’il existe une variable v qui était la valeur de V avant exécution de l’affectation et qui vérifie la pré-condition. De plus, la variable V après affectation (i.e. partie gauche de V = E[v/V ]) est calculée en fonction de cette valeur précédente. Notons que les renommages SSA utilisés dans notre précédente approche peuvent être vus comme une skolémisation

de ces quantificateurs existentiels11. L’exemple IV.5 compare la g´en´eration d’une

plus faible pré-condition, d’une plus forte post-condition et de la forme SSA pour vérifier un triplet de Hoare très simple.

Exemple IV.5 (R´egle d’affectation) Soit le triplet de Hoare suivant :

{x=0}x :=x+1 ;x :=x+2 ;{x=3}, sp´ecifiant le programme nomm´e “TresSimple”.

J’ai choisi d’appeler “g´en´erateur de plus forte post-condition” la notion de “strongest postcon-dition predicate transformer”.

IV.3. G ´EN ´ERATION D’UNE PLUS FORTE POST-CONDITION 179

Plus faible pr´e-condition

La plus faible pré-condition est générée en partant de la post-condition, en procédant vers l’arrière depuis la dernière instruction du programme et en rempla¸cant dans la post-condition courante les variables par les valeurs qui leur sont affectées.

wp TresSimple (x = 3) =

wp(x := x + 1; x := x + 2; ) (x = 3) =

wp(x := x + 1; ) (x+2 = 3) =

((x+1)+2 = 3)

Pour montrer le triplet de Hoare {x=0}x :=x+1 ;x :=x+2 ;{x=3} il faut alors

mon-trer que x=0 ⇒ wp TresSimple (x=3) c’est-`a-dire que x=0 ⇒ (x+1)+2=3 ce qui est

trivialement v´erifi´e. Plus forte post-condition

La plus forte post-condition est générée en partant de la pré-condition et en procédant vers l’avant depuis la première instruction du programme. Chaque affectation intro-duit un quantificateur existentiel pour représenter la valeur précédente de la variable modifiée.

sp TresSimple (x = 0) =

sp(x := x + 1; x := x + 2; ) (x = 0) =

sp(x := x + 2; ) (∃v₁. x = v₁+ 1 ∧ v₁= 0) =

(∃v₂. x = v₂+ 2 ∧ (∃v₁. v₂= v₁+ 1 ∧ v₁ = 0))

Pour montrer le triplet de Hoare {x=0}x :=x+1 ;x :=x+2 ;{x=3} il faut alors

mon-trer que sp TresSimple (x = 0) ⇒ x=3 c’est-`a-dire que (∃v₂. x = v₂+2∧(∃v₁. v₂ =

v₁+ 1 ∧ v₁= 0)) ⇒ x=3 ce qui est v´erifi´e.

Forme SSA

La forme SSA du programme est calcul´ee en introduisant un renommage de la

vari-able `a chaque nouvelle d´efinition (voir figure III.3 section III.2.2 page 97).

SSA(x :=x+1 ;x :=x+2 ;)=

x₁ = x₀+ 1; x₂ = x₁+ 2

Pour montrer le triplet de Hoare, il faut alors montrer que la conjonction de la

pr´e-condition (o`u les variables ont leur renommage initial, x0 ici) et du programme en

forme SSA implique la post-condition (o`u les variables ont leur renommage final, x₂

ici). Il faut donc montrer que (x₀ = 0 ∧ (x₁ = x₀ + 1 ∧ x₂ = x₁+ 2)) ⇒ x₂ = 3

ce qui est aussi trivialement vérifié. Notons que cette formule est exactement celle obtenue pour la plus forte post-condition si l’on skolémise l’expression en prenant la

constante x₀ pour v₁, la constante x₁ pour v₂ et que l’on renomme x en x₂. ♯

IV.3.2 Ex´ecution symbolique et preuve en avant

Le calcul na¨ıf de sp S P par les équations de la figure IV.8 produit des for-mules compliquées avec des quantifications existentielles imbriquées. Cependant, une stratégie plus fine est possible et constitue un cadre théorique pour l’exécution sym-bolique en vérification de logiciels [12].

Supposons que toutes les variables d’un programme S soient incluses dans la liste

sp SKIPP = P wp SKIPQ = Q sp(V := E) P = ∃v. (V =E[v/V ]) ∧ P [v/V ] wp(V := E) Q = Q[E/V ] sp(S1;S2) P = sp S2(sp S1P ) wp(S₁;S₂) Q = wp S₁(wp S₂Q)

sp(if B then S₁ else S₂) P = (sp S₁(P ∧ B)) ∨ (sp S₂(P ∧ ¬B))

wp(if B then S₁ else S₂) Q = ((wp S₁Q) ∧ B) ∨ ((wp S₂Q) ∧ ¬B)

sp(WHILE B DO S) P = (sp (WHILE B DO S) (sp S (P ∧ B))) ∨ (P ∧ ¬B)

wp(WHILE B DO S) Q = (wp S (wp (WHILE B DO S) Q) ∧ B) ∨ (Q ∧ ¬B)

Fig.IV.8 – Equations d´efinissant les plus fortes post-conditions (sp) et plus faibles

pr´e-conditions (wp)

d’´etats des variables du programme symboliquement par des formules logiques de la forme :

∃x1· · · xn. X₁ = e₁ ∧ · · · ∧ Xn= en ∧ φ

o`u x1,. . .,xn sont des variables logiques (i.e. xi repr´esente symboliquement la valeur

initiale de la variable Xi), e₁, . . .,en sont des expressions (ei repr´esente la valeur

courante de X_i) et φ est une formule logique qui ´etablit des relations entre les

valeurs des variables (i.e. post-condition en cours de construction pour le calcul de la plus forte post-condition par ex´ecution symbolique). Pour ´eviter les captures de

variables lors des substitutions, e₁,. . .,e_n et φ ne doivent pas contenir les variables

du programme X1,. . .,Xn; par contre, elles peuvent tr`es bien contenir les variables

logiques x₁,. . .,xn. Par exemple, la formule

∃i j. I = i ∧ J = j ∧ i < j

repr´esente l’ensemble des ´etats dans lesquels la valeur de la variable du programme

I(repr´esent´ee symboliquement par i) est plus petite que la valeur de la variable du

programme J (repr´esent´ee symboliquement par j). Cette formule est logiquement

´equivalente `a I < J.

En général, chaque prédicat P peut se réécrire :

∃x1· · · xn. X₁ = x₁ ∧ · · · ∧ Xn= xn ∧ P [x1, . . . , xn/X₁, . . . , Xn]

où P [x1, . . . , xn/X1, . . . , Xn] (qui correspond au φ précédent) dénote le résultat du

remplacement des occurrences de la variable du programme Xi par la variable xi

(1 ≤ i ≤ n) qui repr´esente symboliquement sa valeur.

Ainsi, calculer sp (Xi:=E) consiste à évaluer E dans l’état courant

(i.e. E[e₁, . . . , en/X₁, . . . , Xn]) et mettre à jour l’équation pour Xi pour spécifier

que c’est la nouvelle valeur apr`es l’ex´ecution symbolique de l’affectation.

Si X₁, . . . , Xn, x₁, . . . , xn et e₁, . . . , en sont libres par rapport au contexte, alors

on peut les abr´eger en X, x et e respectivement. Nous pouvons aussi ´ecrire X = e

pour X1= e1∧ . . . ∧ Xn= en. Avec ces notations, la r`egle d’affectation devient :

sp(Xi:=E) (∃x. X = e ∧ φ)

= ∃x. X1= e1∧ . . . ∧ Xi = E[e/X] ∧ . . . ∧ Xn= en∧ φ

IV.3. G ´EN ´ERATION D’UNE PLUS FORTE POST-CONDITION 181

P a la forme ∃x. X = e ∧ φ, alors pour calculer sp (S1;S2) P il suffit de mettre `a

jour les équations dans la conjonction correspondant à la variable affectée par S₁

suivi de celle affect´ee par S₂.

L’exemple IV.6 reprend le calcul de la plus forte post-condition du programme T resSimple de l’exemple IV.5 en montrant comment sont effectu´ees les affectations pour l’ex´ecution symbolique.

Exemple IV.6 (Plus forte post-condition par ex´ecution symbolique) Soit le

triplet de Hoare {x=0}x :=x+1 ;x :=x+2 ;{x=3} de l’exemple IV.5. Alors la plus forte post-condition est calculée de la fa¸con suivante avec la règle d’affectation pour l’exécution symbolique :

sp TresSimple (X = 0) =

sp(X := X + 1; X := X + 2; ) (∃x X = x ∧ x = 0) =

(par introduction de ∃ dans x = 0)

sp(x := X + 2; ) (∃x X = X+1[x/X] ∧ x = 0) =

(par la r`egle d^′af f ectation )

sp(x := X + 2; ) (∃x X = x + 1 ∧ x = 0) =

(apr`es substitution de X par x)

(∃x X = X+2[(x + 1)/X] ∧ x = 0) =

(par la r`egle d^′af f ectation )

(∃x X = (x + 1) + 2 ∧ x = 0)

(apr`es substitution de X par x + 1)

Dans cette dérivation, la fonction φ ci-dessus est le prédicat x = 0. Notons que l’intérêt majeur de cette nouvelle approche par rapport aux équations classiques de

sp est qu’elle ne g´en`ere qu’un seul quantificateur existentiel par variable du

pro-gramme, pour repr´esenter sa valeur initiale. ♯

Pour les conditionnelles, l’´equation pour calculer la plus forte post-condition est :

sp(if B then S1 else S2) P = (sp S1(P ∧ B)) ∨ (sp S2(P ∧ ¬B)).

Si P a la forme ∃x. X = e ∧ φ alors P ∧ B et P ∧ ¬B peuvent également être mis sous cette même forme. Par conséquent, si une conditionnelle est dans une séquence

alors comme sp S (P₁∨ P₂) = sp S P₁∨ sp S P₂ pour tout programme S, il suit que :

sp((if B then S₁ else S₂);S₃) P =

sp(S₁;S₃) (P ∧ B) ∨ sp (S₂;S₃) (P ∧ ¬B)

Cela établit que le calcul de la plus forte post-condition d’une séquence qui commence par une conditionnelle peut être effectué par des exécutions symboliques séparées. Donc si l’on peut montrer que P ∧ B ou P ∧ ¬B sont faux alors, puisque pour chaque S, sp S F = F, une des disjonctions peut être supprimée. Sinon, l’exécution symbolique des deux branches doit être faite (en appliquant différentes heuristiques d’exploration en profondeur ou en largeur d’abord).

L’exemple IV.7 illustre l’exécution symbolique d’instructions conditionnelles. Il montre la génération de la plus forte post-condition du programme AbsM inus présenté dans la sous-section IV.2 figure IV.3, quand la pré-condition est i < j. C’est la formalisation exacte de l’exécution symbolique détaillée dans la sous-section IV.2, en particulier en ce qui concerne le calcul de l’état. En effet, ∃x. X = e formalise

la gestion de l’´etat par des listes associatives o`u Xi sont les symboles des

associa-tions, xi sont les valeurs initiales associ´ees et ei les valeurs courantes associ´ees. De

plus, dans les formules ci-dessus, φ est la post-condition en cours de construction :

il s’agit de la pré-condition à l’état initial et de la conjonction de la pré-condition et

des décisions prises sur le chemin courant pour les états de calcul intermédiaires. Exemple IV.7 (Plus forte post-condition pour le programme AbsM inus) Pour chaque transformation, le terme qui a été introduit ou modifié est souligné.

sp AbsMinus (I < J) =

sp(R := 0;

K:= 0;

IF I< J THEN K := K + 1 ELSE SKIP;

IF K= 1 ∧ ¬(I = J) THEN R := J − I ELSE R := I − J)

(∃i j k r. I = i ∧ J = j ∧ K = k ∧ R = r ∧ i < j) = sp(K := 0;

IF I< J THEN K := K + 1 ELSE SKIP;

IF K= 1 ∧ ¬(I = J) THEN R := J − I ELSE R := I − J)

(∃i j k r. I = i ∧ J = i ∧ K = k ∧ R = 0 ∧ i < j) = sp(IF I < J THEN K := K + 1 ELSE SKIP;

IF K= 1 ∧ ¬(I = J) THEN R := J − I ELSE R := I − J)

(∃i j k r. I = i ∧ J = i ∧ K = 0 ∧ R = 0 ∧ i < j) =

(sp(K := K + 1; IF K = 1 ∧ ¬(I = J) THEN R := J − I ELSE R := I − J) (∃i j k r. I = i ∧ J = i ∧ K = 0 ∧ R = 0 ∧ (i < j ∧ (I < J)[i, j/I, J])) ∨

sp(SKIP; IF K = 1 ∧ ¬(I = J) THEN R := J − I ELSE R := I − J)

(∃i j k r. I = i ∧ J = i ∧ K = 0 ∧ R = 0 ∧ (i < j ∧ ¬(I < J)[i, j/I, J])))

Puisque (I < J)[i, j/I, J] = i < j la pré-condition de la seconde disjonction contient la conjonction i < j ∧ ¬(i < j) qui est fausse. Donc la seconde disjonction peut être supprimée pour obtenir :

sp(K := K + 1; IF K = 1 ∧ ¬(I = J) THEN R := J − I ELSE R := I − J) (∃i j k r. I = i ∧ J = i ∧ K = 0 ∧ R = 0 ∧ i < j)) =

sp(IF K = 1 ∧ ¬(I = J) THEN R := J − I ELSE R := I − J) (∃i j k r. I = i ∧ J = i ∧ K = (K+1)[0/K] ∧ R = 0 ∧ i < j)) = (sp(R := J − I) (∃i j k r. I = i ∧ J = i ∧ K = 1 ∧ R = 0 ∧ (i < j ∧ (1 = 1 ∧ ¬(i = j)))) ∨ sp(R := I − J) (∃i j k r. I = i ∧ J = i ∧ K = 0 ∧ R = 0 ∧ (i < j ∧ ¬(1 = 1 ∧ ¬(i = j))))) = I= i ∧ J = i ∧ K = 1 ∧ R = 0 ∧ (i < j ∧ ¬(1 = 1 ∧ ¬(i = j))))) =

La seconde disjonction est supprim´ee car i < j ∧ ¬(1 = 1 ∧ ¬(i = j)) se simplifie en F.

sp(R := J − I)

(∃i j k r. I = i ∧ J = i ∧ K = 1 ∧ R = 0 ∧ i < j) =

IV.3. G ´EN ´ERATION D’UNE PLUS FORTE POST-CONDITION 183

La partie droite de cette équation se simplifie en R = J−I∧I < J en effectuant la sub-stitution et en utilisant les propriétés des quantificateurs existentiels. Finalement :

sp AbsMinus (I < J) = R = J−I ∧ I < J. ♯

IV.3.3 Boucles et invariants

Le BMC déplie les boucles jusqu’à une certaine profondeur. La vérification est

donc plutˆot une recherche d’erreurs : en cas de succ`es, on peut seulement affirmer

que le programme ne contient pas d’erreurs jusqu’`a cette profondeur. D’autre part,

il n’y a pas de fa¸con générale pour calculer la plus forte post-condition ou la plus faible pré-condition pour les boucles WHILE : la réécriture avec les équations de la figure IV.8 peut ne pas terminer. Une fa¸con d’effectuer une preuve formelle et complète est donc d’utiliser des invariants de boucle qui peuvent être fournis par un humain ou par un algorithme de génération d’invariants. La logique de Hoare fournit la règle WHILE suivante :

⊢ P ⇒ R ⊢ {R ∧ B}S {R} R ∧ ¬B ⇒ Q

⊢ {P }WHILE B DO{R} S {Q}

où {R} est une assertion qui représente l’invariant. Cette règle est la base logique

de toutes les méthodes qui utilisent un invariant pour vérifier des programmes con-tenant des boucles. Elle stipule que le triplet {P}WHILE B DO{R} S{Q} est correct si l’invariant est impliqué par la pré-condition (P ⇒ R), si l’invariant est préservé par exécution d’une étape de la boucle {R ∧ B}S {R} et que la conjonction de l’invariant et de la condition de sortie de boucle implique Q (R ∧ ¬B ⇒ Q).

La génération des plus fortes post-conditions de programmes avec boucle en utilisant la règle WHILE ci-dessus, est distinguée de la génération classique (i.e. sans utiliser d’invariant) en l’appelant “approximation de la plus forte post-condition” (en ce sens que l’invariant peut donner un résultat approximé de l’exécution de la boucle). Les règles asp S P pour calculer l’approximation de la plus forte post-condition sont les mêmes que celles pour calculer sp S P sauf que la règle

asp WHILEB DO{R} S P a été ajoutée : asp (WHILE B DO{R} S) P = R ∧ ¬B

En effet, c’est la partie de la règle WHILE qui concerne la vérification de la post-condition. Dans le cadre de l’exécution symbolique, cette équation peut être ré-écrite en :

asp(WHILE B DO{R} S) (∃x. X₁= e₁∧ . . . ∧ Xn= e_n∧ φ)

= ∃x. X = x ∧ (R ∧ ¬B)[x/X]

Ainsi, ex´ecuter symboliquement WHILE B DO{R} S consiste `a supprimer la

pré-con-dition et à recommencer l’exécution dans un nouvel état symbolique qui correspond

a l’état spécifié comme vrai après la boucle par la règle WHILE de Hoare.

Pour effectuer correctement la v´erification d’un triplet de Hoare en utilisant la

r`egle WHILE, il faut s’assurer que le contexte de son utilisation est correct c’est-`

a-dire que la pré-condition implique l’invariant et que l’invariant en est bien un. Les méthodes de preuve basées sur ce principe génèrent donc deux types d’informa-tion : d’une part l’approximad’informa-tion de la plus forte post-condid’informa-tion (ou plus faible pré-condition), et d’autre part un ensemble de conditions de vérification notées svc S P

Dans le document Contribution à la vérication formelle et programmation par contraintes (Page 194-200)