Vers des analyseurs syntaxiques efﬁcaces et bien typ ´es

(1)

Introduction Un automate Implantation en ML Au-del `a de ML Conclusion 1

Vers des analyseurs syntaxiques efficaces et bien typ ´es

Franc¸ois Pottier et Yann R ´egis-Gianas

4 janvier 2005

(2)

Introduction

Un automate

Implantation en ML

Au-del `a de ML

Conclusion

(3)

En bref

Le propos de cet expos é est d’illustrer le slogan informel selon lequel un système de types expressif permet de garantir la sûret é de programmes complexes.

La classe de programmes consid ér ée sera celle des analyseurs syntaxiques LR et le système de types une extension de ML.

(4)

Les analyseurs LR

On aime sp ´ecifier un analyseur syntaxique sous forme d’une

grammaire non contextuelle, typiquement au format BNF, d écor ée par des actions s émantiques.

On aime implanter un analyseur syntaxique sous forme d’un automate d ´eterministe `a pile (DPDA).

Les grammaires LR sont celles pour lesquelles une telle implantation est possible.

(5)

Les g ´en ´erateurs d’analyseurs LR

Il existe des outils pour engendrer, `a partir d’une grammaire LR, un programme qui simule l’ex ´ecution de l’automate correspondant.

Peut-on garantir la sûret é des programmes ainsi engendr és sans devoir exiger une confiance en la correction de l’outil ?

(6)

Introduction

Un automate

Implantation en ML

Au-del `a de ML

Conclusion

(7)

Une grammaire simple

Voici une grammaire LR tr`es simple, tir ´ee du « Dragon Book: » (1) E{x}+T{y} → E{x+y}

(2) T{x} → E{x}

(3) T{x}*F{y} → T{x×y}

(4) F{x} → T{x}

(5) (E{x}) → F{x}

(6) int{x} → F{x}

Les terminaux ou lexèmes sont +, *, (, ) et int. Les non-terminaux sont E, T et F. Les quatre premiers n’ont pas de valeur s émantique ; les quatre derniers ont une valeur s émantique entière.

(8)

S12 ...

S11 ...

)

S3 ...

+

S10 ...

<)> F:Int.

...

S9 ...

S8 ...

Int F

S4 ...

(

S7 ...

*

S6 ...

*

S5 ...

E

Int T

F (

Int T

F ( S2

... +

S1 ...

Int T

F

(

E

Voici un automate `a pile qui reconnaˆıt cette grammaire.

(9)

S12 ...

S11 ...

)

S3 ...

+

S10 ...

<)> F:Int.

...

S9 ...

S8 ...

Int F

S4 ...

(

S7 ...

*

S6 ...

*

S5 ...

E

Int T

F (

Int T

F ( S2

... +

S1 ...

Int T

F

(

E

S1

´Etat Pile

Entr ´ee Prochaine action

shift S4

( int ) $

(10)

S12 ...

S11 ...

)

S3 ...

+

S10 ...

<)> F:Int.

...

S9 ...

S8 ...

Int F

S4 ...

(

S7 ...

*

S6 ...

*

S5 ...

E

Int T

F (

Int T

F ( S2

... +

S1 ...

Int T

F

(

E

S4

´Etat Pile

S1 ( shift S10

int ) $

(11)

S12 ...

S11 ...

)

S3 ...

+

S10 ...

<)> F:Int.

...

S9 ...

S8 ...

Int F

S4 ...

(

S7 ...

*

S6 ...

*

S5 ...

E

Int T

F (

Int T

F ( S2

... +

S1 ...

Int T

F

(

E

S10

´Etat Pile

S1 ( S4 int reduce int→F, goto F ) $

(12)

S12 ...

S11 ...

)

S3 ...

+

S10 ...

<)> F:Int.

...

S9 ...

S8 ...

Int F

S4 ...

(

S7 ...

*

S6 ...

*

S5 ...

E

Int T

F (

Int T

F ( S2

... +

S1 ...

Int T

F

(

E

´Etat Pile

S1 ( S4 F goto F

) $

(13)

S12 ...

S11 ...

)

S3 ...

+

S10 ...

<)> F:Int.

...

S9 ...

S8 ...

Int F

S4 ...

(

S7 ...

*

S6 ...

*

S5 ...

E

Int T

F (

Int T

F ( S2

... +

S1 ...

Int T

F

(

E

S5

´Etat Pile

S1 ( S4 F reduce F→T, goto T ) $

(14)

S12 ...

S11 ...

)

S3 ...

+

S10 ...

<)> F:Int.

...

S9 ...

S8 ...

Int F

S4 ...

(

S7 ...

*

S6 ...

*

S5 ...

E

Int T

F (

Int T

F ( S2

... +

S1 ...

Int T

F

(

E

S6

´Etat Pile

S1 ( S4 T reduce T →E, goto E ) $

(15)

S12 ...

S11 ...

)

S3 ...

+

S10 ...

<)> F:Int.

...

S9 ...

S8 ...

Int F

S4 ...

(

S7 ...

*

S6 ...

*

S5 ...

E

Int T

F (

Int T

F ( S2

... +

S1 ...

Int T

F

(

E

S11

´Etat Pile

S1 ( S4 E shift S12

) $

(16)

S12 ...

S11 ...

)

S3 ...

+

S10 ...

<)> F:Int.

...

S9 ...

S8 ...

Int F

S4 ...

(

S7 ...

*

S6 ...

*

S5 ...

E

Int T

F (

Int T

F ( S2

... +

S1 ...

Int T

F

(

E

S12

´Etat Pile

S1 ( S4 E S11 ) reduce (E)→F, goto F

$

(17)

S12 ...

S11 ...

)

S3 ...

+

S10 ...

<)> F:Int.

...

S9 ...

S8 ...

Int F

S4 ...

(

S7 ...

*

S6 ...

*

S5 ...

E

Int T

F (

Int T

F ( S2

... +

S1 ...

Int T

F

(

E

S5

´Etat Pile

S1 F reduce F→T, goto T

$

(18)

S12 ...

S11 ...

)

S3 ...

+

S10 ...

<)> F:Int.

...

S9 ...

S8 ...

Int F

S4 ...

(

S7 ...

*

S6 ...

*

S5 ...

E

Int T

F (

Int T

F ( S2

... +

S1 ...

Int T

F

(

E

S6

´Etat Pile

S1 T reduce T →E, goto E

$

(19)

S12 ...

S11 ...

)

S3 ...

+

S10 ...

<)> F:Int.

...

S9 ...

S8 ...

Int F

S4 ...

(

S7 ...

*

S6 ...

*

S5 ...

E

Int T

F (

Int T

F ( S2

... +

S1 ...

Int T

F

(

E

S2

´Etat Pile

S1 E accept

$

(20)

Introduction

Un automate

Implantation en ML

Au-del `a de ML

Conclusion

(21)

Que produisent les outils existants ?

Yacc, Bison, etc. produisent des programmes C, donc sans garantie de sûret é. Ils utilisent une union pour repr ésenter les valeurs s émantiques.

ML-Yacc ou Happy produisent des programmes ML ou Haskell, donc typ és. N éanmoins, le typage n’empêche pas la lev ée d’une exception pendant l’ex écution, en cas d’ échec d’un filtrage.

A quoi ressemble le code produit par ces derniers ?`

(22)

Interface avec l’analyseur lexical

Les lexèmes sont constitu és d’une étiquette et éventuellement d’une valeur s émantique:

val peek : unit → token val discard : unit → unit

(23)

Structures de donn ´ees

Le type des états se d éfinit ais ément:

type state = S0 | S1 | . . . | S11

(24)

Structures de donn ´ees (suite)

La pile est form ée de paires d’un état et d’une valeur s émantique dont le type d épend du non-terminal auquel elle est associ ée. Il s’agit donc d’une liste chaˆın ée de cellules étiquet ées.

type stack =

| SEmpty

| SPlus of stack × state

| SStar of stack × state

| SLeft of stack × state

| SRight of stack × state

| SEnd of stack × state

| SInt of stack × state × int

| SE of stack × state × int

| ST of stack × state × int

| SF of stack × state × int

(25)

Implantation (structure g ´en ´erale)

L’automate est implant é par une fonction run qui, étant donn és l’ état, la pile et (implicitement) le flot de lexèmes courants, produit la valeur s émantique correspondant au mot complet ou bien échoue.

let rec run (s : state) (stack : stack) : int = match s, peek() with

| . . . (∗ transitions shift ou reduce ∗)

| , →

raise SyntaxError

(26)

Implantation (d ´ecalage)

Une transition shift empile état courant et valeur s émantique associ ée au lexème courant, consomme ce dernier, et modifie l’ état courant:

| . . .

| S9, KStar → (∗ shift S₇ ∗) discard ();

run S7 (SStar (stack, S9))

| . . .

(27)

Implantation (r ´eduction)

Une transition reduce d ´epile un certain nombre de valeurs s ´emantiques, les exploite pour en calculer une nouvelle, et empile celle-ci.

| . . .

| S9, KPlus → (∗ reduce E{x}+T{y} →E{x+y} ∗) let ST (SPlus (SE (stack, s , x ), ), , y) = stack in let stack = SE (stack, s, x + y) in

gotoE s stack (∗ goto E ∗)

| . . .

On observe ici un filtrage non exhaustif.

(28)

Implantation (fin)

Une transition goto se base sur l’ état extrait de la pile pendant la r éduction pour d éterminer le prochain état courant.

and gotoE (s : state) : stack → int = match s with

| S0 → run S1

| S4 → run S8

On observe un nouveau filtrage non exhaustif.

(29)

En r ´esum ´e

Ce programme est consid ér é par le compilateur ML comme bien typ é.

N éanmoins, celui-ci affiche des avertissements pour filtrage non exhaustif, ce qui signifie que l’absence d’ échec à l’ex écution n’est pas garantie.

Le problème est de r é écrire le programme de façon à n’effectuer que des filtrages exhaustifs. En supprimant les tests dynamiques

redondants, on obtiendra une garantie de sûret é et une meilleure efficacit é.

(30)

Introduction

Un automate

Implantation en ML

Au-del `a de ML

Conclusion

(31)

Pourquoi ces tests sont-ils redondants ?

Les tests dynamiques effectu ´es lors de la transition reduce

pr éc édente sont redondants parce que, lorsque l’automate est dans l’ état S₉, la pile est n écessairement de la forme

. . . ? E ? + ? T

Les tests dynamiques effectu ´es lors de la transition goto E

pr éc édente sont redondants parce que, lorsque l’automate est dans l’ état S₉, la pile est n écessairement de la forme

. . . (S₀|S₄) ? ? ? ? ?

(32)

L’invariant (fragment)

En fait, on peut d émontrer que, lorsque l’automate est dans l’ état S9, la pile est n écessairement de la forme

. . . (S0|S4) E (S1|S8) + S6 T

Plus g én éralement, la connaissance de l’ état courant d étermine celle d’un suffixe de la pile...

(33)

L’invariant complet

Pile ´Etat

S0

S₀ E S₁

. . . (S₀|S₄) T S₂

. . . (S0|S4|S6) F S3

. . . (S₀|S₄|S₆|S₇) ( S₄

. . . (S0|S4|S6|S7) int S5

. . . (S0|S4) E (S1|S8) + S6

. . . (S₀|S₄|S₆) T (S₂|S₉) * S₇ . . . (S0|S4|S6|S7) ( S4 E S8

. . . (S₀|S₄) E (S₁|S₈) + S₆ T S₉ . . . (S₀|S₄|S₆) T (S₂|S₉) * S₇ F S₁₀ . . . (S0|S4|S6|S7) ( S4 E S8 ) S11

(34)

Vers un typage plus fin

On d émontre manuellement sans difficult é, par induction structurelle sur une ex écution de l’automate, la correction de l’invariant.

Pour que le compilateur puisse exploiter cet invariant, il faut qu’on le lui fournisse explicitement, et qu’il le v ´erifie m ´ecaniquement.

Le langage de programmation doit être dot é d’un système de types suffisamment expressif pour permettre le codage de l’invariant.

(35)

L’id ´ee

Il faut expliquer au compilateur qu’il y a corr ´elation entre ´etat courant et structure de la pile.

Pour cela, nous param étrons le type state par une variable de types α. L’id ée est que si l’ état courant admet le type αstate, alors la pile courante est de type α.

(36)

Structure des piles

Le type stack disparaˆıt. La structure des piles sera d éfinie à l’aide d’une famille de types param étr és d éfinis de façon mutuellement ind épendante:

type empty = SEmpty

type α cellPlus = SPlus of α×αstate type α cellStar = SStar of α×αstate type α cellLeft = SLeft of α×αstate type α cellRight = SRight of α×αstate type α cellInt = SInt of α×αstate type α cellE = SE of α×αstate×int type α cellT = ST of α×αstate×int type α cellF = SF of α×αstate×int (Comparer `a la d ´efinition originale.)

(37)

Codage de l’invariant (fragment)

Le fait, lorsque l’automate est dans l’ ´etat S9, la pile est n ´ecessairement de la forme

. . . ? E ? + ? T,

sera cod ´e en attribuant `a la constante S9 le type

∀α.αcellE cellPlus cellTstate

et de mˆeme pour les autres ´etats.

Une telle d éclaration est impossible en ML! Le type state sera un type de donn ées alg ébrique g én éralis é ou gard é (GADT).

(38)

Structure des ´etats

type state : ∗ → ∗ where

| S0 : empty state

| S1 : empty cellE state

| S2 : ∀α.αcellT state

| S3 : ∀α.αcellF state

| S4 : ∀α.αcellLeft state

| S5 : ∀α.αcellInt state

| S6 : ∀α.αcellE cellPlus state

| S7 : ∀α.αcellT cellStar state

| S8 : ∀α.αcellLeft cellE state

| S9 : ∀α.αcellE cellPlus cellT state

| S10 : ∀α.αcellT cellStar cellF state

| S11 : ∀α.αcellLeft cellE cellRight state

(39)

Implantation (structure g ´en ´erale)

Le type de la fonction run est modifi é: elle accepte un état arbitraire et une pile dont la structure est coh érente vis- à-vis de cet état.

let rec run : ∀α.αstate→α→int = fun s stack →

match s, peek() with

| . . .

| , →

raise SyntaxError (Comparer au type original.)

(40)

Implantation (d ´ecalage)

Le code d’une transition shift est inchang ´e, mais la v ´erification de types devient plus subtile.

| S9, KStar →

(∗ SStar (stack, S9) a le type αcellStar ∗) (∗ run S7 a le type ∀γ.γcellT cellStar→int ∗) (∗ Or α=βcellE cellPlus cellT, pour β inconnu ∗)

(∗ Donc αcellStar=γ cellT cellStar, pour γ=βcellE cellPlus ∗) discard ();

run S7 (SStar (stack, S9)) (Consulter la d ´efinition du type des ´etats.)

(41)

Implantation (r ´eduction)

Le code d’une transition reduce est ´egalement inchang ´e, mais le filtrage est maintenant exhaustif.

| S9, KPlus →

(∗ α=βcellE cellPlus cellT, pour β inconnu ∗) (∗ Donc stack:βcellE cellPlus cellT ∗)

let ST (SPlus (SE (stack, s , x ), ), , y) = stack in (∗ stack:β, s:βstate, x:int, y:int ∗)

let stack = SE (stack, s, x + y) in (∗ stack:βcellE ∗)

gotoE s stack

(42)

Implantation (fin)

Le type attribu é à gotoE indique qu’au sommet de pile doit se trouver une cellule associ ée au non-terminal E et que le reste de la pile doit être coh érent avec l’ état s.

and gotoE : ∀α.αstate→αcellE→int = fun s →

match s with

| S0 → run S1

| S4 →

(∗ run S8 a le type βcellLeft cellE→int, pour tout β ∗) (∗ Or α=βcellLeft, pour β inconnu ∗)

run S8

(Ce filtrage reste non exhaustif.)

(43)

En r ´esum ´e

Nous avons cod é une partie de l’invariant dans les d éclarations de types de donn ées et dans les types attribu és aux fonctions run et goto. On pourrait coder l’int égralit é de l’invariant.

Alors, la v ´erification des types contient la d ´emonstration de l’invariant.

Le filtrage fournit localement de nouvelles hypothèses, que l’on peut exploiter pour établir une égalit é entre types.

(44)

Introduction

Un automate

Implantation en ML

Au-del `a de ML

Conclusion

(45)

R ´esultats

Nous avons obtenu une garantie de sûret é à propos de l’analyseur syntaxique engendr é, sans devoir exiger une confiance en la correction du g én érateur.

L’outil qui produit l’automate connaˆıt l’invariant, ou croit le connaˆıtre, et engendre sans difficult é les d éclarations de types appropri ées.

Si l’outil produit un programme incorrect, celui-ci sera rejet ´e par le compilateur.

Il reste n ´ecessaire d’avoir confiance en la correction du compilateur,

`a moins d’employer un compilateur certifiant.

(46)

Mieux prouver nos programmes

Nous avons exploit é un système de types très expressif pour prouver la sûret é d’un programme.

Des assistants à la preuve, comme Coq, permettent cela depuis longtemps. Ici, cependant, nous sommes rest és dans le cadre d’un langage de programmation dot é, en particulier, d’un m écanisme d’inf érence de types puissant et d’un sch éma de compilation très efficace.

R ´eduire le foss ´e entre programmation et preuve reste l’objet de recherches actives.

(47)

R ´ef ´erences

Transparents de cet expos é, version pr éliminaire de l’article, prototype du v érificateur de types et prototype du g én érateur d’analyseurs syntaxiques sont disponibles en ligne:

http: // cristal. inria. fr/ ~fpottier/

http: // cristal. inria. fr/ ~regisgia/