experience of so ware engineers using tla pluscal and tlc
play

Experience of so-ware engineers using TLA+, PlusCal and TLC - PowerPoint PPT Presentation

Apr 08, 2023 •277 likes •588 views

Experience of so-ware engineers using TLA+, PlusCal and TLC Chris Newcombe Principal Engineer, Amazon Web Services 1 Amazon Web Services 30+

  1. Experience ¡of ¡so-ware ¡engineers ¡ using ¡TLA+, ¡PlusCal ¡and ¡TLC ¡ Chris ¡Newcombe ¡ Principal ¡Engineer, ¡ ¡Amazon ¡Web ¡Services ¡ 1 ¡

  2. Amazon ¡Web ¡Services ¡ • 30+ ¡services ¡ [1] ; ¡compute, ¡storage, ¡db, ¡queuing, ¡… ¡ • High ¡Scale: ¡ – S3 ¡(Simple ¡Storage ¡Service) ¡launched ¡in ¡2006 ¡ now ¡holds ¡over ¡1 ¡trillion ¡objects ¡ growing ¡by ¡3.5 ¡billion ¡per ¡day ¡ [2] ¡ • SophisVcated ¡features ¡ – DynamoDB: ¡strongly-­‑consistent, ¡highly ¡available, ¡ scalable, ¡predictable ¡performance, ¡mulV-­‑tenant ¡ • “NetFlix ¡is ¡now ¡100% ¡cloud” ¡(on ¡AWS) [3] ¡ 2 ¡

  3. Most ¡services ¡face ¡the ¡same ¡problem ¡ Interac(ng ¡ subtle ¡algorithms ¡ – complex ¡business ¡logic, ¡rules-­‑engines, ¡evolving ¡ schemas, ¡… ¡ – interacVons ¡with ¡other ¡systems ¡ – dynamic ¡group-­‑membership; ¡ ¡live ¡re-­‑sharding ¡/ ¡auto-­‑ scaling ¡ – concurrency-­‑control ¡ – consistency, ¡workflow ¡ – replicaVon, ¡fail-­‑over ¡ – acVons ¡by ¡human ¡operators ¡ 3 ¡

  4. Why ¡don’t ¡engineers ¡specify ¡their ¡ systems? ¡ • Deep ¡ignorance/confusion ¡about ¡benefit, ¡terminology, ¡ method, ¡tools ¡ • Deep ¡skepVcism ¡of ¡snake-­‑oil ¡ ¡“The ¡weight ¡of ¡evidence ¡for ¡an ¡extraordinary ¡claim ¡must ¡be ¡ propor(oned ¡to ¡its ¡strangeness.” ¡-­‑ ¡Laplace ¡ • No ¡Vme ¡to ¡look ¡at ¡anything ¡that ¡is ¡not ¡an ¡immediate ¡ producVvity ¡gain ¡ ¡ • Failing ¡to ¡disVnguish ¡design ¡flaw ¡vs. ¡implementaVon ¡bug ¡ • Skills ¡complacence ¡: ¡‘I ¡only ¡need ¡java/python/…’ ¡ • ResignaVon ¡: ¡‘Bugs ¡are ¡inevitable ¡anyway…’ ¡ • “Blog-­‑comment ¡culture” ¡-­‑ ¡more ¡fun ¡to ¡broadcast/defend ¡ an ¡immediate ¡personal ¡opinion ¡than ¡to ¡consider ¡changing ¡it ¡ 4 ¡

  5. Moving ¡from ¡‘intuiVve ¡correctness’ ¡to ¡precision ¡ From ¡ “Java ¡Concurrency ¡In ¡Prac(ce” , ¡page ¡17 ¡ ¡ ¡ ¡ ¡ ¡“Correctness ¡means ¡a ¡class ¡ conforms ¡to ¡its ¡specifica(on . ¡A ¡good ¡ specificaVon ¡defines ¡ invariants ¡ constraining ¡an ¡objects ¡state, ¡and ¡ postcondi(ons ¡ describing ¡the ¡effects ¡of ¡its ¡operaVons. ¡ ¡ ¡ ¡ ¡ ¡ ¡Since ¡we ¡o-en ¡don’t ¡write ¡adequate ¡specificaVons ¡for ¡our ¡classes, ¡how ¡can ¡ we ¡possibly ¡know ¡they ¡are ¡correct? ¡We ¡can’t, ¡but ¡that ¡doesn’t ¡stop ¡us ¡from ¡ using ¡them ¡anyway, ¡once ¡we’ve ¡convinced ¡ourselves ¡that ¡“the ¡code ¡works”. ¡ ¡ ¡ ¡ ¡ ¡ ¡This ¡“code ¡confidence” ¡is ¡about ¡as ¡close ¡as ¡many ¡of ¡us ¡get ¡to ¡correctness, ¡ so ¡ let’s ¡just ¡assume ¡that ¡single-­‑threaded ¡correctness ¡is ¡ something ¡that ¡“we ¡know ¡it ¡when ¡we ¡see ¡it” . ¡ ¡Having ¡ opVmisVcally ¡defined ¡correctness ¡as ¡something ¡that ¡can ¡be ¡ recognized, ¡we ¡can ¡now ¡define ¡thread ¡safety…” ¡ 5 ¡

  6. Terminology ¡difficulVes ¡ • Allergic ¡to ¡the ¡word ¡“formal” ¡ • Overloaded ¡terminology: ¡ ¡ ¡ “So, ¡‘specificaVon’ ¡means ¡inputs ¡and ¡outputs, ¡right?” ¡ • Current ¡best ¡soluVon: ¡ ¡call ¡it ¡ “ExhausVvely-­‑testable ¡pseudo-­‑code” ¡ 6 ¡

  7. The ¡most ¡persuasive ¡example ¡so ¡far ¡ 7 ¡

  8. A ¡famous ¡system ¡design ¡ ¡(2001) ¡ 8 ¡

  9. Ring ¡of ¡nodes ¡ “Three ¡features ¡that ¡dis(nguish ¡Chord ¡from ¡many ¡other ¡peer-­‑to-­‑peer ¡ lookup ¡protocols ¡are ¡its ¡simplicity, ¡ provable ¡correctness, ¡ and ¡ provable ¡performance.” ¡ 9 ¡

  10. Original ¡pseudo-­‑code ¡for ¡Chord ¡ 10 ¡

  11. Nine ¡years ¡later, ¡another ¡paper ¡… ¡ 11 ¡

  12. Found ¡ 8 ¡major ¡defects ¡in ¡the ¡ ¡ Chord ¡ring-­‑membership ¡protocol ¡ 12 ¡

  13. 13 ¡

  14. IniVal ¡conceptual ¡difficulVes ¡ ¡ when ¡engineers ¡are ¡learning ¡TLA+ ¡ • Single ¡global ¡state ¡-­‑-­‑ ¡“But ¡where ¡is ¡the ¡concurrency?” ¡ • Use ¡of ¡non-­‑determinism ¡ • Interleaving ¡vs. ¡non-­‑interleaving ¡specificaVon ¡ – “Can ¡‘either ¡… ¡or ¡…’ ¡allow ¡2 ¡or ¡more ¡clauses ¡to ¡happen?” ¡ • Unfamiliar ¡kinds ¡of ¡expressions ¡ ¡ – ‘programming’ ¡via ¡recursive ¡operators, ¡ ¡ instead ¡of ¡using ¡set ¡comprehensions ¡ • Idioms? ¡ ¡E.g. ¡for ¡abstracVng ¡network ¡ • “What ¡is ¡the ¡difference ¡between ¡ ¡[ ¡-­‑> ¡] ¡and ¡[ ¡|-­‑> ¡] ¡?” ¡ • AcVons ¡that ¡inadvertently ¡access ¡the ¡state ¡of ¡other ¡ processes ¡(e.g. ¡to ¡get ¡data ¡that ¡should ¡have ¡been ¡sent ¡as ¡ part ¡of ¡a ¡message ¡payload) ¡ 14 ¡

  15. More ¡advanced ¡conceptual ¡difficulVes ¡ • Liveness ¡is ¡a ¡property ¡of ¡an ¡infinite ¡behavior, ¡ so ¡what ¡does ¡TLC’s ¡“liveness ¡checking” ¡ actually ¡tell ¡you? ¡ • How ¡can ¡we ¡easily ¡tell ¡if ¡it ¡safe ¡to ¡use ¡a ¡ symmetry ¡set ¡for ¡model-­‑checking? ¡ 15 ¡

  16. SuggesVons ¡to ¡help ¡increase ¡adopVon ¡ • Syntax ¡highlighVng ¡for ¡PlusCal ¡ • A ¡wiki-­‑style ¡cookbook ¡of ¡specificaVon ¡idioms ¡ ¡ ¡ • A ¡wiki-­‑style ¡cookbook ¡of ¡tricks ¡for ¡using ¡TLC ¡ • More ¡real-­‑world ¡example ¡specificaVons ¡ and, ¡ideally, ¡their ¡inducVve ¡invariants. ¡ ¡ ¡ 16 ¡

  17. Use ¡at ¡Amazon ¡so ¡far ¡ 1. “Tim” ¡Fault-­‑tolerant ¡replicaVon ¡ ¡ ¡ ¡(interacVng ¡distributed ¡algorithms) ¡ 2. “Fan” ¡Fault-­‑tolerant ¡network ¡protocol ¡ 3. “Mike” ¡Lock-­‑free ¡data ¡structure ¡ 4. “Chris” ¡Concurrent ¡algorithm, ¡ ¡ ¡ ¡ ¡involving ¡third-­‑party ¡components ¡ 5. “Sam” ¡Fault-­‑tolerant ¡replicaVon ¡ ¡ ¡(interacVng ¡distributed ¡algorithms) ¡ 6. “Cahill” ¡IsolaVon ¡of ¡database ¡transacVons ¡ 17 ¡

  18. “Tim” ¡ interacVng ¡distributed ¡algorithms ¡ • Fault-­‑tolerant ¡replicaVon, ¡group-­‑membership ¡ • Principal ¡Engineer, ¡one ¡of ¡the ¡best ¡at ¡Amazon ¡ • Algorithm ¡was ¡already ¡designed, ¡and ¡coded ¡in ¡java, ¡with ¡months ¡of ¡ thorough ¡design ¡analysis ¡(30+ ¡pages ¡of ¡informal ¡prose ¡proofs) ¡ • Approx. ¡6 ¡weeks, ¡while ¡doing ¡other ¡work ¡ • Pure ¡TLA+. ¡ ¡ ¡We ¡might ¡have ¡considered ¡PlusCal, ¡but ¡hadn’t ¡tried ¡it ¡ yet. ¡ ¡Not ¡sure ¡how ¡PlusCal ¡works ¡with ¡mulVple ¡modules. ¡ • 939 ¡non-­‑comment, ¡non-­‑blank ¡lines ¡split ¡across ¡7 ¡modules ¡ • 529 ¡pure ¡comment ¡lines ¡ • 11 ¡invariants. ¡ ¡ ¡No ¡liveness ¡properVes. ¡ • Distributed ¡TLC, ¡on ¡cluster ¡of ¡10 ¡“cc1.4xl” ¡nodes ¡in ¡EC2 ¡ • TLC ¡found ¡3 ¡important ¡bugs . ¡ ¡Counter-­‑examples ¡had ¡35+ ¡steps. ¡ 18 ¡

Recommend

UAVs in an Australian Maritime Environment Marc Ware Lieutenant Commander RAN 14 July 2003 LCDR

UAVs in an Australian Maritime Environment Marc Ware Lieutenant Commander RAN 14 July 2003 LCDR

UAVs in an Australian Maritime Environment Marc Ware Lieutenant Commander RAN 14 July 2003 LCDR Marc Ware BSc BAvn MSc 23 years service in the RAN 2600 hours total flying experience 1400 hours Seahawk experience Capability

504 views • 36 slides
Implementation of a compiler from Pluscal to TLA+ with Tom Marc PINHEDE ESIAL-Telecom Nancy 1 /

Implementation of a compiler from Pluscal to TLA+ with Tom Marc PINHEDE ESIAL-Telecom Nancy 1 /

Environement Pesonal work Current situation Implementation of a compiler from Pluscal to TLA+ with Tom Marc PINHEDE ESIAL-Telecom Nancy 1 / 21 Marc PINHEDE Implementation of a compiler from Pluscal to TLA+ with Tom Environement Pesonal

400 views • 21 slides
CS 5150 So(ware Engineering 2. Steps in the so(ware development process William Y. Arms So(ware

CS 5150 So(ware Engineering 2. Steps in the so(ware development process William Y. Arms So(ware

Cornell University Compu1ng and Informa1on Science CS 5150 So(ware Engineering 2. Steps in the so(ware development process William Y. Arms So(ware Process Fundamental Assump1on: Good processes lead to good so(ware Good processes reduce risk

260 views • 22 slides
So#ware(Project Lecture'4 Wouter'Swierstra So#ware(project((Lecture(4 1 Last%&me

So#ware(Project Lecture'4 Wouter'Swierstra So#ware(project((Lecture(4 1 Last%&me

So#ware(Project Lecture'4 Wouter'Swierstra So#ware(project((Lecture(4 1 Last%&me Risks So(ware-architecture So#ware(project((Lecture(4 2 Working(effec,vely(with(git(and(GitHub. So#ware(project((Lecture(4 3

632 views • 45 slides
So#ware(Project Lecture'3 Wouter'Swierstra So#ware(project((Lecture(3 1 Last%&me

So#ware(Project Lecture'3 Wouter'Swierstra So#ware(project((Lecture(3 1 Last%&me

So#ware(Project Lecture'3 Wouter'Swierstra So#ware(project((Lecture(3 1 Last%&me Scrum'planning Product'backlog So#ware(project((Lecture(3 2 Working(effec,vely(with(git(and(GitHub. So#ware(project((Lecture(3 3

485 views • 36 slides
The Company ARDECO was established by Engineers with long standing activity and experience in

The Company ARDECO was established by Engineers with long standing activity and experience in

rail a r . DE . CO . rail arsenis design & construction a r . DE . CO . consulting engineers | rail experts The Company ARDECO was established by Engineers with long standing activity and experience in engineering,

387 views • 7 slides
So%ware Architecture Beyond the Blueprints Aligning So%ware Architecture with the facets of

So%ware Architecture Beyond the Blueprints Aligning So%ware Architecture with the facets of

So%ware Architecture Beyond the Blueprints Aligning So%ware Architecture with the facets of So%ware Development Business, Management, Engineering and OrganizaCon Eldo Architect, Philips Healthcare eldo.issac@philips.com SATURN 2009,

130 views • 10 slides
Compiling Distributed System Models into Implementations with PGo Finn Hackett, Ivan Beschastnikh

Compiling Distributed System Models into Implementations with PGo Finn Hackett, Ivan Beschastnikh

Compiling Distributed System Models into Implementations with PGo Finn Hackett, Ivan Beschastnikh Renato Costa, Matthew Do PGo Go Modular PlusCal GoLang Execution PGo PGo TLC PCal Model PlusCal TLA+ Checking Translator 1 Motivation

721 views • 68 slides
CS 5150 So(ware Engineering Steps in the So(ware Development

CS 5150 So(ware Engineering Steps in the So(ware Development

Cornell University Compu1ng and Informa1on Science CS 5150 So(ware Engineering Steps in the So(ware Development Process William Y. Arms

477 views • 21 slides
About SRS Engineering Over 25 years process technology experience with 50+ engineers on staff

About SRS Engineering Over 25 years process technology experience with 50+ engineers on staff

About SRS Engineering Over 25 years process technology experience with 50+ engineers on staff to include Electrical, Process, Application, Project, Mechanical, Chemical, Civil, Structural, and Controls. Recognized domestically by Fortune

230 views • 19 slides
Take Two So)ware Updates and See Me in the Morning:

Take Two So)ware Updates and See Me in the Morning:

Take Two So)ware Updates and See Me in the Morning: The Case for So,ware Security Evalua6ons of Medical Devices Steve Hanna 1 , Rolf Rolles 4 , Andres

259 views • 15 slides
CS 5150 So(ware Engineering 18. Reuse and Design Pa9erns William Y. Arms So(ware Reuse It is

CS 5150 So(ware Engineering 18. Reuse and Design Pa9erns William Y. Arms So(ware Reuse It is

Cornell University Compu1ng and Informa1on Science CS 5150 So(ware Engineering 18. Reuse and Design Pa9erns William Y. Arms So(ware Reuse It is o(en good to design a program to reuse exisCng components. This can lead to be9er so(ware at

668 views • 48 slides
CS 5150 So(ware Engineering Three Types of So(ware Process

CS 5150 So(ware Engineering Three Types of So(ware Process

Cornell University Compu1ng and Informa1on Science CS 5150 So(ware Engineering Three Types of So(ware Process William Y. Arms Types of

736 views • 25 slides
WFEO WFEO Younger Engineers/Future Leaders Younger Engineers/Future Leaders Movie Movie Who

WFEO WFEO Younger Engineers/Future Leaders Younger Engineers/Future Leaders Movie Movie Who

WFEO WFEO Younger Engineers/Future Leaders Younger Engineers/Future Leaders Movie Movie Who are we? Who are we? Young engineers with high energy, lack of experience and a thirst for knowledge. Impatient , but full of enthusiasm.

336 views • 15 slides
CS 5150 So(ware Engineering 1. So(ware Development in Prac:ce William Y. Arms Overall Aim of the

CS 5150 So(ware Engineering 1. So(ware Development in Prac:ce William Y. Arms Overall Aim of the

Cornell University Compu1ng and Informa1on Science CS 5150 So(ware Engineering 1. So(ware Development in Prac:ce William Y. Arms Overall Aim of the Course We assume that you are technically proficient. You know a good deal about

491 views • 22 slides
Toward so)ware engineering in prac0ce Claire Le Goues 15-214 April 27, 2017 1 Learning Goals

Toward so)ware engineering in prac0ce Claire Le Goues 15-214 April 27, 2017 1 Learning Goals

Toward so)ware engineering in prac0ce Claire Le Goues 15-214 April 27, 2017 1 Learning Goals Broad scope of so;ware engineering Importance of nontechnical issues IntroducCon to key challenges 2 So)ware is Everywhere So)ware is

1.01k views • 86 slides
So#ware Scaling Mo/va/on & Goals HW Configura/on & Scale Out So#ware Scaling

So#ware Scaling Mo/va/on & Goals HW Configura/on & Scale Out So#ware Scaling

So#ware Scaling Mo/va/on & Goals HW Configura/on & Scale Out So#ware Scaling Efforts System management Opera/ng system Programming environment PreAcceptance Work HW stabiliza/on & early scaling

390 views • 19 slides
T * est Tanja E. J. Vos So#ware Tes+ng and Quality Group

T * est Tanja E. J. Vos So#ware Tes+ng and Quality Group

Test Automa+on at the useR interface level T * est Tanja E. J. Vos So#ware Tes+ng and Quality Group Research center for So#ware Produc+on Methods

889 views • 68 slides
CS 5150 So(ware Engineering 3. So(ware Development Processes William Y. Arms Sequence of

CS 5150 So(ware Engineering 3. So(ware Development Processes William Y. Arms Sequence of

Cornell University Compu1ng and Informa1on Science CS 5150 So(ware Engineering 3. So(ware Development Processes William Y. Arms Sequence of Processes Lecture 2 introduced several process steps: Requirements User interface design

530 views • 34 slides
What( is (so#ware( sustainability( anyway? ( ( ( NSF(SI2(PI(Mee2ng ,( 17?18(January(2013(

What( is (so#ware( sustainability( anyway? ( ( ( NSF(SI2(PI(Mee2ng ,( 17?18(January(2013(

( www.software.ac.uk- What( is (so#ware( sustainability( anyway? ( ( ( NSF(SI2(PI(Mee2ng ,( 17?18(January(2013( Neil(Chue(Hong((@npch)( N.ChueHong@so#ware.ac.uk( ( So#ware(Sustainability(Ins2tute( www.software.ac.uk-

958 views • 72 slides
AAMI Exchange 2019 Cleveland, OH Partners Education Skills Experience Background v A

AAMI Exchange 2019 Cleveland, OH Partners Education Skills Experience Background v A

AAMI Exchange 2019 Cleveland, OH Partners Education Skills Experience Background v A Certification that can provide Indian Engineers working as biomedical engineers equal knowledge and future opportunities to install, calibrate and service

296 views • 13 slides
CS 5150 So(ware Engineering 3. Examples of so(ware development processes William Y. Arms

CS 5150 So(ware Engineering 3. Examples of so(ware development processes William Y. Arms

Cornell University Compu1ng and Informa1on Science CS 5150 So(ware Engineering 3. Examples of so(ware development processes William Y. Arms DefiniBons: AcBvity and Sprint Ac1vity An acBvity is a general term for any part of a project that

797 views • 28 slides
Readings Covered Further Readings Ware Interaction: Data Manipulation Ware, Chap 10: Interacting

Readings Covered Further Readings Ware Interaction: Data Manipulation Ware, Chap 10: Interacting

Readings Covered Further Readings Ware Interaction: Data Manipulation Ware, Chap 10: Interacting with Visualizations. first half, p 317-324 Toolglass and magic lenses: the see-through interface. Eric A. Bier, low-level control loops Maureen C.

41 views • 3 slides
CS 5150 So(ware Engineering 12. System Architecture William Y. Arms Design Design in So:ware

CS 5150 So(ware Engineering 12. System Architecture William Y. Arms Design Design in So:ware

Cornell University Compu1ng and Informa1on Science CS 5150 So(ware Engineering 12. System Architecture William Y. Arms Design Design in So:ware Development For a given set of requirements, the so(ware development team must design a system

570 views • 29 slides

More recommend