esc java2 vs jmlforge juan pablo galeotti alessandra
play

ESC/Java2 vs. JMLForge Juan Pablo Galeotti, Alessandra - PowerPoint PPT Presentation

Oct 04, 2022 •9 likes •439 views

ESC/Java2 vs. JMLForge Juan Pablo Galeotti, Alessandra Gorla, Andreas Rau Saarland University, Germany ESC/Java2: the formula is built using Dijsktras

  1. ¡ ESC/Java2 ¡vs. ¡JMLForge ¡ ¡ Juan ¡Pablo ¡Galeotti, ¡Alessandra ¡Gorla, ¡Andreas ¡Rau ¡ Saarland ¡University, ¡Germany ¡

  2.  ESC/Java2: ¡the ¡formula ¡is ¡built ¡using ¡Dijsktra’s ¡ Weakes ¡precondition. ¡Automatic ¡theorem ¡ prover: ¡Simplify ¡SMT ¡Solver. ¡ ¡ http://kindsoftware.com/products/opensource/ESCJava2/ ¡  JMLForge: ¡the ¡formula ¡is ¡built ¡using ¡symbolic ¡ execution. ¡Automatic ¡theorem ¡prover: ¡off-­‑the-­‑ shelf ¡SAT-­‑Solver. ¡ http://sdg.csail.mit.edu/forge/jmlforge.html ¡

  3.  Programming ¡ language ¡ JM Program ¡ Specification ¡ JAVA L  Specification ¡ Language ¡ ESC/Java2 Translator ¡  Logical ¡representation ¡ Weakest Logical ¡ of ¡correctness ¡ Verifier ¡ Precondition Formula ¡ (Dijsktra)  Automatic ¡decision ¡ Automatic ¡ SMT-Solver Theorem ¡Prover ¡ procedure ¡ (Simplify) Valid ¡ Invalid ¡

  4. class ¡Bag ¡{ ¡ ¡ ¡int[] ¡a; ¡ ¡ ¡int ¡n; ¡ ¡ ¡int ¡extractMin() ¡{ ¡ ¡ ¡ ¡int ¡mindex=0; ¡ ¡ ¡int ¡m=a[mindex]; ¡ ¡ ¡ ¡ ¡ ¡ ¡int ¡i=1; ¡ ¡ ¡ ¡ ¡ ¡ ¡for ¡(i=1;i<n;i++) ¡{ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡if ¡(a[i]<m) ¡{ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡mindex=i; ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡m ¡= ¡a[i]; ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡} ¡ ¡ ¡ ¡ ¡ ¡ ¡} ¡ ¡ ¡ ¡ ¡ ¡ ¡n-­‑-­‑; ¡ ¡ ¡ ¡ ¡ ¡ ¡a[mindex]=a[n]; ¡ ¡ ¡ ¡ ¡ ¡ ¡return ¡m; ¡ ¡ ¡} ¡ ¡ ¡

  5. public class Exercise1 { //@ requires array!=null; //@ requires array.length==len; public int sum(int[] array, int len) { int sum = 0; int i=0; //@ loop_invariant i>=0; //@ loop_invariant i<=len; while (i < len) { sum = sum + array[i]; i=i+1; } return sum; } }

  6. public ¡class ¡Exercise2 ¡{ ¡ ¡//@ ¡requires ¡m>=0; ¡ ¡ ¡//@ ¡requires ¡n>=0; ¡ ¡//@ ¡ensures ¡\result ¡==m*n; ¡ ¡ ¡int ¡multiply ¡( ¡int ¡m, ¡int ¡n) ¡{ ¡ ¡ ¡int ¡product ¡= ¡0; ¡ ¡ ¡int ¡i=0; ¡ ¡ ¡//@ ¡loop_invariant ¡i>=0; ¡ ¡ ¡ ¡//@ ¡loop_invariant ¡i<=n; ¡ ¡ ¡//@ ¡loop_invariant ¡product==m*i; ¡ ¡ ¡ ¡//@ ¡decreasing ¡n-­‑i; ¡ ¡ ¡ ¡while ¡(i ¡< ¡n) ¡{ ¡ ¡ ¡ ¡product ¡= ¡add(product ¡, ¡m); ¡ ¡ ¡ ¡i=i+1; ¡ ¡ ¡} ¡ ¡ ¡return ¡product ¡; ¡ ¡ ¡} ¡ } ¡

  7. ¡ ¡ ¡//@ ¡ensures ¡\result==left+right; ¡ ¡int ¡add(int ¡left, ¡int ¡right) ¡{ ¡ ¡ ¡return ¡left+right; ¡ ¡} ¡

  8. public class Exercise3 { /*@ nullable @*/ Object object; //@ modifies this.object; void changeObject() { if (this.object==null) { this.object=null; } else { this.object=this.object; } } }

  9. public int hashCode_1(Object o) { � � // @ asume o!=null; � � return o.hashCode(); � } � � public int hashCode_2(Object o) { � � // @ assert o!=null; � � return o.hashCode(); � } �

  10. class StringAppender { � � String str = ""; � � � //@ normal_behavior � � //@ � requires o!=null; � � //@ also � � //@ exceptional_behavior � � //@ � requires o==null; � � //@ � signals_only ConcatException; � � public String append(/*@ nullable @*/Object o) � � throws ConcatException { � � � if (o!=null) { � � � � str += o. toString (); � � � } else { � � � � throw new ConcatException("Argument…"); � � � } � � } � } �

  11.  Bag ¡example ¡we ¡saw ¡last ¡class. ¡

  12.  Reasons ¡over ¡each ¡method ¡separately ¡ Class ¡MyArray ¡{ ¡ ¡ ¡ ¡byte[] ¡b; ¡ ¡ ¡ ¡ ¡void ¡createArray() ¡{ ¡b ¡= ¡new ¡byte[10]; ¡} ¡ ¡ ¡ ¡ ¡void ¡storeArray() ¡{ ¡createArray(); ¡b[0]=1; ¡} ¡ } ¡  What ¡is ¡happening ¡here? ¡ ¡ ¡

  13.  Reasons ¡over ¡each ¡method ¡separately ¡ Class ¡MyArray ¡{ ¡ ¡ ¡ ¡byte[] ¡b; ¡ ¡ ¡ ¡//@ ¡ ensures ¡ b!=null ¡&& ¡b.length==10; ¡ ¡ ¡ ¡void ¡createArray() ¡{ ¡b ¡= ¡new ¡byte[10]; ¡} ¡ ¡ ¡ ¡ ¡void ¡storeArray() ¡{ ¡createArray(); ¡b[0]=1; ¡} ¡ } ¡  ESC/Java2 ¡always ¡deals ¡with ¡the ¡callee ¡contract, ¡ nor ¡the ¡implementation ¡ ¡ ¡

  14.  ESC/Java2 ¡may ¡fail ¡to ¡prove ¡all ¡legal ¡JML ¡ specifications ¡ ¡ ¡ /*@ requires n>0; @ ensures \result==(\forall int n; ¡ @ (\exists int x,y,z ; ¡ @ Math.pow(x,n)+Math.pow(y,n) @ ==Math.pow(z,n))); ¡ @*/ Public boolean m(int n) { return true; } ¡  ESC/Java2 ¡reports ¡a ¡warning ¡

  15.  ESC/Java2 ¡sacrifices ¡precision ¡for ¡performance ¡ ¡ ¡ //@ invariant n>0; ¡ public void increase() ¡ n++; ¡ } ¡  ESC/Java2 ¡reports ¡no ¡warning ¡(should ¡it?) ¡

  16.  Is ¡method ¡ loseMoney ¡correct? ¡ class Purse { ¡ int money; //@ invariant money >= 0;  What ¡will ¡ESC/Java2 ¡report? ¡ } class PoorPerson { class RichPerson { String slum_address; String mansion_address; Purse purse; Purse purse; //@ invariant purse.money < 100; //@ invariant purse.money > 10; //@ requires purse.money > 0; public void earnMoney() { public void loseMoney(RichPerson purse.money = purse.money +1; my_rich_friend) { } purse.money = purse.money -1; }

  17. Possibly relevant items from the counterexample context: typeof(brokenObj<4>) <: T_RichPerson typeof(this) <: T_PoorPerson (brokenObj<4>).(purse:7.25) == tmp0!purse: 23.4 this.(purse:7.25) == tmp0!purse:23.4 (tmp0!purse:23.4).(money@pre:4.3.6) == 11 (tmp0!purse:23.4).(money:23.10) == 10 ....

  18. invariant purse.money > 10; invariant purse.money < 100; RichPerso PoorPerso RichPerson this n n Initial State Purse Money =11 loseMoney() invariant purse.money > 10; invariant purse.money < 100; RichPerso RichPerson PoorPerson n Final this State Purse money=10

  19.  Is ¡method ¡ loseMoney ¡correct? ¡ class Purse { ¡ int money; //@ invariant money >= 0;  What ¡will ¡ESC/Java2 ¡report? ¡ } class PoorPerson { class RichPerson { String slum_address; String mansion_address; Purse purse; Purse purse; //@ invariant purse.money < 100; //@ invariant purse.money > 10; //@ requires purse.money > 0; public void earnMoney() { public void loseMoney(RichPerson purse.money = purse.money +1; my_rich_friend) { } purse.money = purse.money -1; }

  20.  ESC/Java2 ¡con ¡PoorPerson, ¡RichPerson, ¡Purse ¡  PoorPerson: loseMoney() …  [0.197 s 39390680 bytes] passed ¡  ESC/Java2 ¡found ¡no ¡bug: ¡  It ¡did ¡not ¡verify ¡if ¡the ¡invariant ¡for ¡RichPerson ¡ was ¡preserved ¡  ESC/Java2 ¡believed ¡it ¡was ¡not ¡important ¡

  21.  Only ¡some ¡class ¡invariants ¡are ¡checked ¡at ¡ exiting ¡a ¡method ¡  \reach ¡expressions ¡are ¡not ¡supported. ¡  -­‑LoopSafe ¡for ¡checking ¡loop ¡correctness, ¡ otherwise ¡–Loop ¡X ¡for ¡unrolling ¡loops ¡X ¡times. ¡

  22.  Relies ¡on ¡a ¡SAT-­‑Solver ¡instead ¡of ¡a ¡SMT-­‑Solver ¡  Objective : ¡Find ¡counterexamples ¡within ¡some ¡ fixed ¡user-­‑provided ¡bound. ¡  http://sdg.csail.mit.edu/forge/jmlforge.html ¡

  23.  Programming ¡ language ¡ JM Program ¡ Specification ¡ JAVA L  Specification ¡ Language ¡ JMLForge Translator ¡  Logical ¡representation ¡ Dijsktra Logical ¡ of ¡correctness ¡ Verifier ¡ Guarded Formula ¡ Commands  Automatic ¡decision ¡ Automatic ¡ SAT-Solver Theorem ¡Prover ¡ procedure ¡ (MINISAT) Valid ¡ Invalid ¡

  24.  “Small-­‑scope ¡hypothesis” ¡  Most ¡bugs ¡can ¡be ¡exhibited ¡using ¡small ¡domains ¡  No ¡validity ¡proof ¡ ¡  Search ¡for ¡a ¡counterexample ¡ ¡  Traverses ¡the ¡representation ¡of ¡ a ¡ concrete ¡search ¡space . ¡ ¡  We ¡need ¡to ¡select ¡a“scope” ¡to ¡ check ¡the ¡programs ¡

  25.  We ¡have ¡to ¡define ¡a ¡“scope” ¡for ¡each ¡analysis ¡  Maximum ¡size ¡of ¡List ¡domain ¡  Maximum ¡size ¡of ¡Node ¡domain ¡  Integer ¡bitwidth ¡  Maximum ¡number ¡of ¡loop ¡execution ¡ ▪ Number ¡of ¡times ¡it ¡is ¡allowed ¡to ¡execute ¡a ¡loop/recursion ¡  Because ¡of ¡this ¡finitization: ¡  Encode ¡program ¡and ¡contract ¡as ¡SAT ¡propositional ¡ formula ¡=> ¡Feed ¡to ¡SAT-­‑Solvers ¡

Recommend

Programming with Contracts Juan Pablo Galeotti, Alessandra

Programming with Contracts Juan Pablo Galeotti, Alessandra

Programming with Contracts Juan Pablo Galeotti, Alessandra Gorla Saarland University, Germany Contract A (formal) agreement between Method M (callee) Callers

597 views • 42 slides
Verification Conditions Juan Pablo Galeotti, Alessandra Gorla,

Verification Conditions Juan Pablo Galeotti, Alessandra Gorla,

Verification Conditions Juan Pablo Galeotti, Alessandra Gorla, Andreas Rau Saarland University, Germany 30% projects (10% each) At least 50% threshold

653 views • 31 slides
Web Applications Testing Automated testing and JP Galeotti, Alessandra Gorla verification

Web Applications Testing Automated testing and JP Galeotti, Alessandra Gorla verification

Web Applications Testing Automated testing and JP Galeotti, Alessandra Gorla verification Thursday, January 31, 13 Why are Web applications different Web 1.0: Static content Client and Server side execution Different components and

442 views • 33 slides
Combinatorial Testing Automated testing and J.P . Galeotti - Alessandra Gorla verification

Combinatorial Testing Automated testing and J.P . Galeotti - Alessandra Gorla verification

Combinatorial Testing Automated testing and J.P . Galeotti - Alessandra Gorla verification Wednesday, November 28, 12 Combinatorial testing: Basic idea Identify distinct attributes that can be varied In the data, environment, or

1.02k views • 52 slides
Integration, System and Regression Testing Automated testing and J.P .Galeotti Alessandra Gorla

Integration, System and Regression Testing Automated testing and J.P .Galeotti Alessandra Gorla

Integration, System and Regression Testing Automated testing and J.P .Galeotti Alessandra Gorla verification Thursday, January 31, 13 Actual Needs and Delivered User Acceptance (alpha, beta test) Constraints Package Review System

999 views • 69 slides
Introduction to Soot Automated testing and J.P . Galeotti - Alessandra Gorla verification

Introduction to Soot Automated testing and J.P . Galeotti - Alessandra Gorla verification

Introduction to Soot Automated testing and J.P . Galeotti - Alessandra Gorla verification Thursday, November 22, 12 The Java virtual machine (JVM) The Java compiler translates a Java program into Java bytecode (input language of the JVM)

446 views • 20 slides
Structural and dataflow testing (cont.) Automated testing and J.P . Galeotti - Alessandra Gorla

Structural and dataflow testing (cont.) Automated testing and J.P . Galeotti - Alessandra Gorla

Structural and dataflow testing (cont.) Automated testing and J.P . Galeotti - Alessandra Gorla verification Thursday, January 17, 13 Structural testing Judging test suite thoroughness based on the structure of the program itself Also

944 views • 80 slides
Test case selection and adequacy criteria Automated testing and J.P . Galeotti - Alessandra

Test case selection and adequacy criteria Automated testing and J.P . Galeotti - Alessandra

Test case selection and adequacy criteria Automated testing and J.P . Galeotti - Alessandra Gorla verification Wednesday, November 21, 12 Adequacy: We cant get what we want What we would like: A real way of measuring e ff ective

880 views • 54 slides
DYNALLOY : AN EXTENSION OF ALLOY FOR WRITING AND ANALYZING BEHAVIOURAL MODELS Germn Regis |

DYNALLOY : AN EXTENSION OF ALLOY FOR WRITING AND ANALYZING BEHAVIOURAL MODELS Germn Regis |

DYNALLOY : AN EXTENSION OF ALLOY FOR WRITING AND ANALYZING BEHAVIOURAL MODELS Germn Regis | Csar Cornejo | Simn Gutirrez Brida | Mariano Politano | Fernando Raverta | Pablo Ponzio | Nazareno Aguirre | Juan Pablo Galeotti | Marcelo Frias

450 views • 23 slides
The ESC/Java2 Calculi and Object Logics Implications on Specification and Verification Joseph

The ESC/Java2 Calculi and Object Logics Implications on Specification and Verification Joseph

The ESC/Java2 Calculi and Object Logics Implications on Specification and Verification Joseph Kiniry Department of Computer Science University College Dublin ESC/Java2 ESC/Java2 is an extended static checker based upon DEC/Compaq SRC

278 views • 27 slides
Introduction to software testing and quality process Automated testing and J.P . Galeotti -

Introduction to software testing and quality process Automated testing and J.P . Galeotti -

Introduction to software testing and quality process Automated testing and J.P . Galeotti - Alessandra Gorla verification Engineering processes Engineering disciplines pair construction activities activities that check intermediate

801 views • 58 slides
Audio Content Analysis Juan Pablo Bello EL9173 Selected Topics in Signal Processing: Audio Content

Audio Content Analysis Juan Pablo Bello EL9173 Selected Topics in Signal Processing: Audio Content

Audio Content Analysis Juan Pablo Bello EL9173 Selected Topics in Signal Processing: Audio Content Analysis NYU Poly Juan Pablo Bello O ffi ce: Room 626, 6th floor, 35 W 4th Street (ext. 85736) O ffi ce Hours: Tuesdays 2-5pm email:

460 views • 14 slides
Nonlocal, nonlinear, nonsmooth Juan Pablo Borthagaray Department of Mathematjcs, University of

Nonlocal, nonlinear, nonsmooth Juan Pablo Borthagaray Department of Mathematjcs, University of

Nonlocal, nonlinear, nonsmooth Juan Pablo Borthagaray Department of Mathematjcs, University of Maryland, College Park Fractjonal PDEs: Theory, Algorithms and Applicatjons ICERM Brown University June 22, 2018 Pointwise limits as s : s u

935 views • 57 slides
TEAM Juan Pablo Alatorre is a designer specialized in the manufacture and design of

TEAM Juan Pablo Alatorre is a designer specialized in the manufacture and design of

TEAM Juan Pablo Alatorre is a designer specialized in the manufacture and design of architectural products and projects. He has worked in different professional and academic projects with an emphasis on speculative design in different cities

757 views • 23 slides
Regional Pericarditis: an unusual diagnosis Nitin Gupta DO, Juan Pablo Rodriguez-Escudero MD,

Regional Pericarditis: an unusual diagnosis Nitin Gupta DO, Juan Pablo Rodriguez-Escudero MD,

Regional Pericarditis: an unusual diagnosis Nitin Gupta DO, Juan Pablo Rodriguez-Escudero MD, Rehan Ansari MD, Roger Chaffee MD, Otto Costantini MD Overview Review Case Differential Diagnosis Disease Pathogenesis Patient Update

606 views • 37 slides
PRICING CARBON IN AN EMERGING ECONOMY: THE ROAD TO PARIS FOR CHILE Juan-Pablo Montero

PRICING CARBON IN AN EMERGING ECONOMY: THE ROAD TO PARIS FOR CHILE Juan-Pablo Montero

PRICING CARBON IN AN EMERGING ECONOMY: THE ROAD TO PARIS FOR CHILE Juan-Pablo Montero Department of Economics and Center for Global Change PUC-Chile CERDI-Clermont-Ferrand, France, October 8, 2014 Outline 2 1. Some background information

861 views • 38 slides
Soundness and Completeness Warnings in ESC/Java2 Joe Kiniry, Alan Morkan, and Barry Denby

Soundness and Completeness Warnings in ESC/Java2 Joe Kiniry, Alan Morkan, and Barry Denby

Soundness and Completeness Warnings in ESC/Java2 Joe Kiniry, Alan Morkan, and Barry Denby presented by David Cok Systems Research Group School of Computer Science and Informatics University College Dublin ESC/Java2 by design, neither sound

628 views • 33 slides
Nuclear Systems Juan Antonio Blanco 9 th April 2019 Director: Pablo Rubiolo (CNRS) Co-director:

Nuclear Systems Juan Antonio Blanco 9 th April 2019 Director: Pablo Rubiolo (CNRS) Co-director:

Neutronic-Thermohydraulic-Thermomechanic Coupling for the Modeling of Accidents in Nuclear Systems Juan Antonio Blanco 9 th April 2019 Director: Pablo Rubiolo (CNRS) Co-director: Eric Dumonteil (IRSN) Grenoble, France Outline 1. Criticality

753 views • 31 slides
Functors on posets, extra-fine sheaves, and interaction decompositions Juan Pablo Vigneaux

Functors on posets, extra-fine sheaves, and interaction decompositions Juan Pablo Vigneaux

Functors on posets, extra-fine sheaves, and interaction decompositions Juan Pablo Vigneaux Arizt a Join work D. Bennequin, O. Peltre, and G. Sergeant-Perthuis arXiv:2009.12646 Leipzig, October 30, 2020 October 30, 2020 1 / 32 Outline

580 views • 37 slides
Profiling a warehouse-scale computer Svilen Kanev Harvard University Juan Pablo Darago

Profiling a warehouse-scale computer Svilen Kanev Harvard University Juan Pablo Darago

Profiling a warehouse-scale computer Svilen Kanev Harvard University Juan Pablo Darago Universidad de Buenos Aires Kim Hazelwood Yahoo Labs Parthasarathy Ranganathan, Tipp Moseley Google Inc. Gu-Yeon Wei, David Brooks Harvard University

245 views • 21 slides
ESC/Java2 Use and Features David Cok, Joe Kiniry, Erik Poll Eastman Kodak Company, University

ESC/Java2 Use and Features David Cok, Joe Kiniry, Erik Poll Eastman Kodak Company, University

ESC/Java2 Use and Features David Cok, Joe Kiniry, Erik Poll Eastman Kodak Company, University College Dublin, and Radboud University Nijmegen David Cok, Joe Kiniry &amp; Erik Poll - ESC/Java2 &amp; JML Tutorial p.1/ ?? The ESC/Java2 tool

489 views • 19 slides
ESC/Java2 Use and Features David Cok, Joe Kiniry, Erik Poll Eastman Kodak Company, University

ESC/Java2 Use and Features David Cok, Joe Kiniry, Erik Poll Eastman Kodak Company, University

ESC/Java2 Use and Features David Cok, Joe Kiniry, Erik Poll Eastman Kodak Company, University College Dublin, and Radboud University Nijmegen David Cok, Joe Kiniry &amp; Erik Poll - ESC/Java2 &amp; JML Tutorial p.1/ ?? The ESC/Java2 tool

923 views • 24 slides
Constant-factor approximation algorithms for the minmax regret problem Juan Pablo Fern andez

Constant-factor approximation algorithms for the minmax regret problem Juan Pablo Fern andez

Constant-factor approximation algorithms for the minmax regret problem Juan Pablo Fern andez G. n Cra 87 N o 30 - 65, Colombia Universidad de Medell e-mail : jpfernandez@udem.edu.co Adviser : Eduardo Conde Universidad de Sevilla, Espa

686 views • 46 slides
Structured training for large-vocabulary chord recognition Brian McFee* &amp; Juan Pablo Bello

Structured training for large-vocabulary chord recognition Brian McFee* &amp; Juan Pablo Bello

Structured training for large-vocabulary chord recognition Brian McFee* &amp; Juan Pablo Bello Small chord vocabularies Typically a supervised learning problem Frames chord labels N 1-of-K classification models are common

416 views • 38 slides

More recommend