依赖于无符号整数溢出的代码的证明？

2 回答

• 1

  我正在使用Frama-C Fluorine-20130601

  很高兴看到你找到了使用最新版本的方法 .

  以下是一些随机信息，虽然它们没有完全回答您的问题，但不适合StackOverflow注释：

  杰西有：

  #pragma JessieIntegerModel(modulo)
  

  上面的编译指示使得它考虑所有溢出（未定义的有符号的和已定义的无符号的）都包围（在有符号的溢出中，在2的补码算法中） . 生成的证明义务要困难得多，因为它们在任何地方都包含额外的模运算 . 在自动化定理证明器中，通常只有Simplify能够对它们做一些事情 .

  在Fluorine中，默认情况下RTE不会警告b：

  $ frama-c -rte t.c -then -print
  [kernel] preprocessing with "gcc -C -E -I.  t.c"
  [rte] annotating function my_add
  /* Generated by Frama-C */
  typedef unsigned int uint32_t;
  uint32_t my_add(uint32_t a, uint32_t b)
  {
    uint32_t __retres;
    uint32_t r;
    r = a + b;
    if (r < a) {
      __retres = 4294967295U;
      goto return_label;
    }
    __retres = r;
    return_label: return __retres;
  }
  

  可以使用选项 -warn-unsigned-overflow 对RTE进行无符号添加警告：

  $ frama-c -warn-unsigned-overflow -rte t.c -then -print
  [kernel] preprocessing with "gcc -C -E -I.  t.c"
  [rte] annotating function my_add
  /* Generated by Frama-C */
  typedef unsigned int uint32_t;
  uint32_t my_add(uint32_t a, uint32_t b)
  {
    uint32_t __retres;
    uint32_t r;
    /*@ assert rte: unsigned_overflow: 0 ≤ a+b; */
    /*@ assert rte: unsigned_overflow: a+b ≤ 4294967295; */
    r = a + b;
    …
  

  但这恰恰与你想要的相反，所以我不明白为什么你会这样做 .

  回复于 2024-04-29T10:21:32+08:00
• 1

  您没有提供您一直使用的确切命令行 . 我想这是 frama-c -wp -wp-rte file.c -pp-annot . 实际上，在这种情况下，生成了RTE可能发出的所有断言 . 然而，您可以通过指示frama-c首先仅生成您感兴趣的RTE类别来对其进行更精细的控制（请注意它们由两种选项控制： frama-c -rte-help 和 -warn-{signed,unsigned}-{overflow,downcast} 定义的那些在内核中），然后在结果上启动wp . 这是由 frama-c -rte -pp-annot file.c -then -wp 完成的 . 默认情况下，rte不认为无符号溢出是一个错误，所以使用上面的命令行，我能够证明你的函数遵循以下规范：

  /*@
    behavior no_overflow:
      assumes a + b <= UINT32_MAX;
      ensures \result == a+b;
    behavior saturate:
      assumes a+b > UINT32_MAX;
      ensures \result == UINT32_MAX;
   */
   uint32_t my_add(uint32_t a,uint32_t b);
  

  回复于 2024-04-29T10:21:32+08:00