没有可用于程序/功能的全球合同
No Global Contract available for procedure / function
我在调用标准 Ada-Text_IO.Put_Line.
的 SPARK 模块中有一个过程
在证明过程中我收到以下警告 warning: no Global contract available for "Put_Line"。
我已经知道如何将相应的数据依赖契约添加到我自己编写的过程和函数中,但是如何将它们添加到我无法编辑源文件的其他人编写的过程/函数中?
我查看了 Adacore SPARK 2014 用户指南的第 5.2 和 7.4 节,但没有找到解决我的问题的示例。
我认为您不能在您不拥有的代码上添加 Spark 合约,尤其是来自 Ada 标准的代码。
关于Text_Io,我在参考手册中发现something可能对你有用
编辑
根据 "Building high integrity applications with Spark" book,与 Martin 所说的相比,另一种解决方案是创建包装程序包。
由于 Spark 要求您处理 Spark 包,但允许您依赖带有 Ada 主体的 Spark 规范,因此解决方案是构建一个包装您的 Ada.Text_io 调用的 Spark 包。
这可能很乏味,因为您必须包装可能的异常,可能定义特定类型等等,但这样,您将能够在完整的 Spark 包上释放 VC。
这意味着分析器无法"see"调用此函数时全局变量是否会受到影响。因此它假设这个调用没有修改任何东西(否则所有其他证据都可以立即被反驳)。对于您的特定示例,这可能是一个有效的假设,但它在嵌入式系统上可能无效,在嵌入式系统中,Put_Line 的自定义实现可能会做任何事情。
传达缺失信息的方式有两种:
- 验证者可以检查函数的源代码。然后它可以尝试自己生成全局合约。
- 全球合同已明确指定,请参阅 RM 6.1.4 (http://docs.adacore.com/spark2014-docs/html/lrm/subprograms.html#global-aspects)
在这种情况下,您调用的过程是 运行 时间系统 (RTS) 的一部分,因此源不可见,您可能 cannot/should 不会更改它。
实践中要做什么?
抑制警告几乎从来都不是一个好主意,尤其是当你在处理对安全至关重要的事情时。通常必须更改代码,直到警告消失,或者必须启动一些合理化过程。
如果你对分析结果很在意,我建议不要使用这样的子程序。如果你真的需要在那里输出,要么编写你自己的过程来替换 RTS 子程序,要么确保子程序真的没有副作用。 Frédéric 所链接的内容进一步支持了这一点:即使被调用方没有副作用,您也不知道它是否会为特定输入(例如,非常长的字符串)引发异常。
如果您对结果不是那么认真,那么您可以将这个特定的结果视为您可以接受的警告。
可在此处找到用于开发 SPARK 应用程序的包装程序包:
https://github.com/joakim-strandberg/aida_2012
我在调用标准 Ada-Text_IO.Put_Line.
在证明过程中我收到以下警告 warning: no Global contract available for "Put_Line"。
我已经知道如何将相应的数据依赖契约添加到我自己编写的过程和函数中,但是如何将它们添加到我无法编辑源文件的其他人编写的过程/函数中?
我查看了 Adacore SPARK 2014 用户指南的第 5.2 和 7.4 节,但没有找到解决我的问题的示例。
我认为您不能在您不拥有的代码上添加 Spark 合约,尤其是来自 Ada 标准的代码。
关于Text_Io,我在参考手册中发现something可能对你有用
编辑
根据 "Building high integrity applications with Spark" book,与 Martin 所说的相比,另一种解决方案是创建包装程序包。
由于 Spark 要求您处理 Spark 包,但允许您依赖带有 Ada 主体的 Spark 规范,因此解决方案是构建一个包装您的 Ada.Text_io 调用的 Spark 包。
这可能很乏味,因为您必须包装可能的异常,可能定义特定类型等等,但这样,您将能够在完整的 Spark 包上释放 VC。
这意味着分析器无法"see"调用此函数时全局变量是否会受到影响。因此它假设这个调用没有修改任何东西(否则所有其他证据都可以立即被反驳)。对于您的特定示例,这可能是一个有效的假设,但它在嵌入式系统上可能无效,在嵌入式系统中,Put_Line 的自定义实现可能会做任何事情。
传达缺失信息的方式有两种:
- 验证者可以检查函数的源代码。然后它可以尝试自己生成全局合约。
- 全球合同已明确指定,请参阅 RM 6.1.4 (http://docs.adacore.com/spark2014-docs/html/lrm/subprograms.html#global-aspects)
在这种情况下,您调用的过程是 运行 时间系统 (RTS) 的一部分,因此源不可见,您可能 cannot/should 不会更改它。
实践中要做什么?
抑制警告几乎从来都不是一个好主意,尤其是当你在处理对安全至关重要的事情时。通常必须更改代码,直到警告消失,或者必须启动一些合理化过程。
如果你对分析结果很在意,我建议不要使用这样的子程序。如果你真的需要在那里输出,要么编写你自己的过程来替换 RTS 子程序,要么确保子程序真的没有副作用。 Frédéric 所链接的内容进一步支持了这一点:即使被调用方没有副作用,您也不知道它是否会为特定输入(例如,非常长的字符串)引发异常。
如果您对结果不是那么认真,那么您可以将这个特定的结果视为您可以接受的警告。
可在此处找到用于开发 SPARK 应用程序的包装程序包: https://github.com/joakim-strandberg/aida_2012