programming with contracts juan pablo galeotti alessandra
play

Programming with Contracts Juan Pablo Galeotti, - PowerPoint PPT Presentation

Sep 04, 2022 •166 likes •597 views

Programming with Contracts Juan Pablo Galeotti, Alessandra Gorla Saarland University, Germany Contract A (formal) agreement between Method M (callee) Callers

  1. ¡ Programming ¡with ¡Contracts ¡ ¡ Juan ¡Pablo ¡Galeotti, ¡Alessandra ¡Gorla ¡ Saarland ¡University, ¡Germany ¡

  2. Contract ¡ A ¡(formal) ¡agreement ¡between ¡ Method ¡M ¡(callee) ¡ Callers ¡of ¡M ¡ Rights ¡ Responsabilities ¡ Rights ¡ Responsabilities ¡

  3. Contract ¡ Compute ¡square ¡root ¡of ¡a ¡real ¡number ¡ Caller ¡ Method ¡(callee): ¡ get-­‑fibonaci-­‑number ¡ get-­‑square-­‑root ¡ ¡ Invoke ¡method ¡ Expects ¡non ¡ Return ¡the ¡square ¡ Obtain ¡the ¡square ¡ with ¡non ¡negative ¡ negative ¡numbers ¡ root ¡ root ¡ numbers ¡

  4.  Contract : ¡Agreement ¡between ¡parts ¡  In ¡this ¡case: ¡method ¡and ¡user ¡method ¡  The ¡method ¡pre ¡& ¡postconditions ¡defines ¡an ¡ agreement ¡between ¡caller ¡and ¡callee. ¡  The ¡client ¡(caller) ¡must ¡ ensure ¡the ¡precondition ¡ and ¡ assume ¡the ¡postcondition ¡  The ¡method ¡(callee) ¡may ¡ assume ¡the ¡precondition , ¡but ¡ it ¡must ¡ ensure ¡the ¡postcondition ¡ Responsabilities ¡ Rights ¡ Caller ¡ Pre_Callee ¡ Post_Callee ¡ Callee ¡ Post_Callee ¡ Pre_Callee ¡

  5.  A ¡component ¡implements ¡some ¡entity ¡or ¡ important ¡element ¡for ¡our ¡solution ¡  Component ¡= ¡set ¡of ¡classes ¡  Class ¡= ¡set ¡of ¡methods ¡  Contracts ¡  At ¡method ¡level: ¡ ¡ Requires , ¡ Ensures ¡  At ¡class ¡level: ¡object/class ¡ invariants ¡  At ¡component ¡level: ¡ownerships ¡+ ¡invariantes ¡among ¡ different ¡objects ¡

  6.  Dataflow ¡analysis ¡and ¡typestate ¡checking ¡are ¡very ¡effective ¡ for ¡dealing ¡with ¡“weak” ¡specifications ¡  Very ¡simple ¡correction ¡properties ¡  Null ¡pointers, ¡zero ¡division, ¡API ¡usage, ¡etc. ¡  They ¡are ¡inadequate ¡for ¡dealing ¡with ¡complex/complete ¡ specifications ¡(“strong” ¡specifications) ¡  This ¡functions ¡computes ¡an ¡invoice ¡for ¡a ¡customer ¡  The ¡candidate ¡declared ¡as ¡winner ¡is ¡the ¡one ¡who ¡has ¡more ¡votes ¡  Can ¡we ¡write ¡several ¡weak ¡specifications ¡to ¡express ¡a ¡strong ¡ specification? ¡ ¡ ¡

  7.  The ¡Verifying ¡Compiler ¡  automatically ¡checks ¡that ¡a ¡program ¡conforms ¡to ¡its ¡ specification ¡  The ¡correction ¡can ¡be ¡specified ¡using ¡types, ¡assertions ¡ or ¡any ¡other ¡redudant ¡annotation ¡to ¡the ¡program ¡  The ¡Verifying ¡Compiler: ¡A ¡Grand ¡Challenge ¡for ¡ Computing ¡Research ¡ ¡[Hoare, ¡2004] ¡  First ¡Proposal: ¡1969 ¡

  8.  Soundness : ¡  If ¡the ¡formula ¡is ¡true, ¡then ¡ Program ¡ Specification ¡ the ¡program ¡satisfies ¡the ¡ specification ¡ Translator ¡ Logical ¡ Verifier ¡ Formula ¡ Automatic ¡ Theorem ¡Prover ¡ Valid ¡ Invalid ¡

  9.  Programming ¡ Language ¡ Program ¡ Specification ¡ JML JAVA  Specification ¡Language ¡ Translator ¡ ESC/Java2 Weakest  Logical ¡representation ¡ Precondition Logical ¡ ¡ Verifier ¡ of ¡the ¡program ¡ Formula ¡ (Dijsktra) SMT-Solver  Automatic ¡Decision ¡ Automatic ¡ Theorem ¡Prover ¡ (Simplify) Procedure ¡ Valid ¡ Invalid ¡

  10.  Soundness ¡  If ¡the ¡verifier ¡reports ¡no ¡failure, ¡then ¡the ¡program ¡does ¡ not ¡fail ¡  Completeness ¡  If ¡the ¡verifier ¡reports ¡a ¡failure, ¡then ¡the ¡program ¡fails ¡  Termination ¡  Given ¡any ¡program ¡P, ¡ ¡the ¡verifier ¡finishes ¡the ¡analysis ¡of ¡ P ¡(even ¡with ¡an ¡unknown ¡result) ¡

  11. Program ¡ Specification ¡ JML JAVA Translator ¡ Logical ¡ Verifier ¡ Formula ¡ Automatic ¡ Theorem ¡Prover ¡ Valid ¡ Invalid ¡

  12.  Formal ¡specification ¡language ¡for ¡Java ¡  Objective: ¡Design ¡a ¡specification ¡language ¡easy ¡to ¡ use ¡for ¡most ¡of ¡the ¡programmers ¡  Origin: ¡runtime ¡assertion ¡checking ¡  Inspiration: ¡Eiffel ¡language ¡(Design ¡by ¡Contract™) ¡  For ¡C#: ¡Spec#, ¡CodeContracts™ ¡

  13.  Within ¡comments ¡in ¡the ¡Java ¡code ¡using ¡/*@...@*/, ¡or ¡ after ¡//@ ¡…. ¡  Boolean ¡Java ¡expressions ¡extended ¡with ¡some ¡new ¡ operators ¡  (\old, ¡\forall, ¡\result,\sum...) ¡  Several ¡kinds ¡of ¡annotations ¡  Modifiers: ¡pure, ¡non_null, ¡nullable… ¡  Method ¡level: ¡requires, ¡ensures, ¡signals, ¡ ¡  Class ¡level: ¡invariant ¡

  14. /*@ ¡ requires ¡amount>=0; ¡ ¡ ¡ ¡ ¡@ ¡ ensures ¡balance ¡== ¡ \old (balance)-­‑amount; ¡ ¡ ¡ ¡ ¡@ ¡ ensures ¡ \result ¡== ¡balance ¡ ¡ ¡ ¡ ¡@*/ ¡ ¡ ¡ ¡public ¡int ¡debit(int ¡amount) ¡{...} ¡  \ old (...) ¡returns ¡the ¡value ¡of ¡the ¡expression ¡before ¡ the ¡execution ¡of ¡the ¡method ¡  \ result ¡refers ¡to ¡the ¡return ¡value ¡of ¡the ¡method ¡

  15. /*@ ¡ requires ¡amount>=0; ¡ ¡ ¡ ¡ ¡@ ¡ ensures ¡\result ¡== ¡balance ¡ ¡ ¡ ¡ ¡@*/ ¡ ¡ ¡ ¡public ¡int ¡debit(int ¡amount) ¡{...} ¡  JML ¡specifications ¡can ¡be ¡as ¡weak ¡(or ¡strong) ¡as ¡we ¡ want ¡them ¡to ¡be. ¡  This ¡specification ¡is ¡stronger ¡or ¡weaker ¡then ¡the ¡ previous ¡one? ¡

  16. /*@ ¡ requires ¡amount>=0; ¡ ¡ ¡ ¡ ¡ ¡@ ¡ ensures ¡true; ¡ ¡ ¡ ¡ ¡ ¡@ ¡ signals ¡(BankException ¡e) ¡ ¡ ¡ ¡ ¡@ ¡ ¡ ¡ ¡amount ¡> ¡balance ¡&& ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡@ ¡ ¡ ¡balance==\old(balance) ¡&& ¡ ¡ ¡ ¡ ¡ ¡@ ¡ ¡ ¡ ¡e.getReason().equals(...) ¡ ¡ ¡ ¡ ¡ ¡@*/ ¡ ¡ public ¡int ¡debit(int ¡amount) ¡throws ¡BankException ¡{...} ¡  If ¡the ¡program ¡signals ¡an ¡exception ¡of ¡ ¡type ¡ BankException, ¡then ¡the ¡predicate ¡holds ¡

  17.  All ¡exceptions ¡are ¡allowed ¡by ¡default ¡(ensures ¡only ¡ applies ¡to ¡normal ¡termination). ¡  To ¡change ¡this: ¡ ¡  Forbid ¡all ¡exceptions ¡ /*@ ¡ normal_behaviour ¡ ¡ ¡ ¡ ¡ @ ¡requires ¡… ¡ ¡ ¡ ¡ ¡@ ¡ ensures ¡… ¡ ¡ ¡ ¡ ¡@*/ ¡ ¡ ¡ ¡ ¡

  18.  All ¡exceptions ¡are ¡allowed ¡by ¡default ¡(ensures ¡only ¡ applies ¡to ¡normal ¡termination). ¡  To ¡change ¡this: ¡ ¡  Forbid ¡all ¡exceptions ¡  Forbid ¡one ¡exception ¡type ¡E ¡ //@ ¡ signals ¡(E) ¡false; ¡ ¡

  19.  All ¡exceptions ¡are ¡allowed ¡by ¡default ¡(ensures ¡only ¡ applies ¡to ¡normal ¡termination). ¡  To ¡change ¡this: ¡ ¡  Forbid ¡all ¡exceptions ¡  Forbid ¡one ¡exception ¡type ¡E ¡ ¡  Allow ¡only ¡some ¡exceptions ¡types ¡E1,…,En ¡ //@ ¡ signals_only ¡E1,…,En; ¡ ¡

  20. //@ ¡ signals ¡(Ex ¡e) ¡P(e); ¡ ¡  This ¡means: ¡if ¡an ¡exception ¡e ¡of ¡type ¡Ex ¡is ¡thrown, ¡ then ¡P(e) ¡holds ¡  Can ¡we ¡say: ¡if ¡this ¡precondition ¡holds, ¡then ¡the ¡ exception ¡Ex ¡is ¡thrown? ¡

  21. /*@ ¡ normal_behavior ¡ ¡ ¡ ¡ ¡ ¡@ ¡ ¡ ¡ ¡ ¡ requires ¡amount<=this.balance; ¡ ¡ ¡ ¡ ¡@ ¡ also ¡ ¡ ¡ ¡ ¡@ ¡ exceptional_behavior ¡ ¡ ¡ ¡ ¡@ ¡ ¡ ¡ ¡ ¡ requires ¡amount>this.balance; ¡ ¡ ¡ ¡ ¡@ ¡ ¡ ¡ ¡ ¡ signals ¡(BankException ¡e) ¡e.getReason().equals(…); ¡ ¡ ¡ ¡ ¡@*/ ¡ public ¡int ¡debit(int ¡amount) ¡throws ¡BankException ¡{…} ¡  normal_behavior ¡implicitly ¡includes ¡a ¡clause: ¡  signals ¡(Exception ¡ex) ¡false; ¡

  22.  An ¡assertion ¡specifies ¡a ¡property ¡that ¡holds ¡at ¡a ¡ given ¡program ¡point ¡ if ¡(i<=0 ¡|| ¡j<0) ¡{ ¡ ¡ ¡... ¡ } ¡else ¡if ¡(j<5) ¡{ ¡ ¡ ¡//@ ¡ assert ¡i>0 ¡&& ¡0<j ¡&& ¡j<5; ¡ ¡ ¡... ¡ } ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Verification Conditions Juan Pablo Galeotti, Alessandra Gorla,

Verification Conditions Juan Pablo Galeotti, Alessandra Gorla,

Verification Conditions Juan Pablo Galeotti, Alessandra Gorla, Andreas Rau Saarland University, Germany 30% projects (10% each) At least 50% threshold

653 views • 31 slides
ESC/Java2 vs. JMLForge Juan Pablo Galeotti, Alessandra Gorla,

ESC/Java2 vs. JMLForge Juan Pablo Galeotti, Alessandra Gorla,

ESC/Java2 vs. JMLForge Juan Pablo Galeotti, Alessandra Gorla, Andreas Rau Saarland University, Germany ESC/Java2: the formula is built using Dijsktras

439 views • 43 slides
Web Applications Testing Automated testing and JP Galeotti, Alessandra Gorla verification

Web Applications Testing Automated testing and JP Galeotti, Alessandra Gorla verification

Web Applications Testing Automated testing and JP Galeotti, Alessandra Gorla verification Thursday, January 31, 13 Why are Web applications different Web 1.0: Static content Client and Server side execution Different components and

442 views • 33 slides
Combinatorial Testing Automated testing and J.P . Galeotti - Alessandra Gorla verification

Combinatorial Testing Automated testing and J.P . Galeotti - Alessandra Gorla verification

Combinatorial Testing Automated testing and J.P . Galeotti - Alessandra Gorla verification Wednesday, November 28, 12 Combinatorial testing: Basic idea Identify distinct attributes that can be varied In the data, environment, or

1.02k views • 52 slides
Integration, System and Regression Testing Automated testing and J.P .Galeotti Alessandra Gorla

Integration, System and Regression Testing Automated testing and J.P .Galeotti Alessandra Gorla

Integration, System and Regression Testing Automated testing and J.P .Galeotti Alessandra Gorla verification Thursday, January 31, 13 Actual Needs and Delivered User Acceptance (alpha, beta test) Constraints Package Review System

999 views • 69 slides
Introduction to Soot Automated testing and J.P . Galeotti - Alessandra Gorla verification

Introduction to Soot Automated testing and J.P . Galeotti - Alessandra Gorla verification

Introduction to Soot Automated testing and J.P . Galeotti - Alessandra Gorla verification Thursday, November 22, 12 The Java virtual machine (JVM) The Java compiler translates a Java program into Java bytecode (input language of the JVM)

446 views • 20 slides
Structural and dataflow testing (cont.) Automated testing and J.P . Galeotti - Alessandra Gorla

Structural and dataflow testing (cont.) Automated testing and J.P . Galeotti - Alessandra Gorla

Structural and dataflow testing (cont.) Automated testing and J.P . Galeotti - Alessandra Gorla verification Thursday, January 17, 13 Structural testing Judging test suite thoroughness based on the structure of the program itself Also

944 views • 80 slides
Test case selection and adequacy criteria Automated testing and J.P . Galeotti - Alessandra

Test case selection and adequacy criteria Automated testing and J.P . Galeotti - Alessandra

Test case selection and adequacy criteria Automated testing and J.P . Galeotti - Alessandra Gorla verification Wednesday, November 21, 12 Adequacy: We cant get what we want What we would like: A real way of measuring e ff ective

880 views • 54 slides
DYNALLOY : AN EXTENSION OF ALLOY FOR WRITING AND ANALYZING BEHAVIOURAL MODELS Germn Regis |

DYNALLOY : AN EXTENSION OF ALLOY FOR WRITING AND ANALYZING BEHAVIOURAL MODELS Germn Regis |

DYNALLOY : AN EXTENSION OF ALLOY FOR WRITING AND ANALYZING BEHAVIOURAL MODELS Germn Regis | Csar Cornejo | Simn Gutirrez Brida | Mariano Politano | Fernando Raverta | Pablo Ponzio | Nazareno Aguirre | Juan Pablo Galeotti | Marcelo Frias

450 views • 23 slides
Introduction to software testing and quality process Automated testing and J.P . Galeotti -

Introduction to software testing and quality process Automated testing and J.P . Galeotti -

Introduction to software testing and quality process Automated testing and J.P . Galeotti - Alessandra Gorla verification Engineering processes Engineering disciplines pair construction activities activities that check intermediate

801 views • 58 slides
Audio Content Analysis Juan Pablo Bello EL9173 Selected Topics in Signal Processing: Audio Content

Audio Content Analysis Juan Pablo Bello EL9173 Selected Topics in Signal Processing: Audio Content

Audio Content Analysis Juan Pablo Bello EL9173 Selected Topics in Signal Processing: Audio Content Analysis NYU Poly Juan Pablo Bello O ffi ce: Room 626, 6th floor, 35 W 4th Street (ext. 85736) O ffi ce Hours: Tuesdays 2-5pm email:

460 views • 14 slides
Nonlocal, nonlinear, nonsmooth Juan Pablo Borthagaray Department of Mathematjcs, University of

Nonlocal, nonlinear, nonsmooth Juan Pablo Borthagaray Department of Mathematjcs, University of

Nonlocal, nonlinear, nonsmooth Juan Pablo Borthagaray Department of Mathematjcs, University of Maryland, College Park Fractjonal PDEs: Theory, Algorithms and Applicatjons ICERM Brown University June 22, 2018 Pointwise limits as s : s u

935 views • 57 slides
TEAM Juan Pablo Alatorre is a designer specialized in the manufacture and design of

TEAM Juan Pablo Alatorre is a designer specialized in the manufacture and design of

TEAM Juan Pablo Alatorre is a designer specialized in the manufacture and design of architectural products and projects. He has worked in different professional and academic projects with an emphasis on speculative design in different cities

757 views • 23 slides
Regional Pericarditis: an unusual diagnosis Nitin Gupta DO, Juan Pablo Rodriguez-Escudero MD,

Regional Pericarditis: an unusual diagnosis Nitin Gupta DO, Juan Pablo Rodriguez-Escudero MD,

Regional Pericarditis: an unusual diagnosis Nitin Gupta DO, Juan Pablo Rodriguez-Escudero MD, Rehan Ansari MD, Roger Chaffee MD, Otto Costantini MD Overview Review Case Differential Diagnosis Disease Pathogenesis Patient Update

606 views • 37 slides
PRICING CARBON IN AN EMERGING ECONOMY: THE ROAD TO PARIS FOR CHILE Juan-Pablo Montero

PRICING CARBON IN AN EMERGING ECONOMY: THE ROAD TO PARIS FOR CHILE Juan-Pablo Montero

PRICING CARBON IN AN EMERGING ECONOMY: THE ROAD TO PARIS FOR CHILE Juan-Pablo Montero Department of Economics and Center for Global Change PUC-Chile CERDI-Clermont-Ferrand, France, October 8, 2014 Outline 2 1. Some background information

861 views • 38 slides
Functors on posets, extra-fine sheaves, and interaction decompositions Juan Pablo Vigneaux

Functors on posets, extra-fine sheaves, and interaction decompositions Juan Pablo Vigneaux

Functors on posets, extra-fine sheaves, and interaction decompositions Juan Pablo Vigneaux Arizt a Join work D. Bennequin, O. Peltre, and G. Sergeant-Perthuis arXiv:2009.12646 Leipzig, October 30, 2020 October 30, 2020 1 / 32 Outline

580 views • 37 slides
HOPWA/COVID-19: A Review of Current Questions and Answers for HOPWA Grantees and Sponsors Q&amp;A

HOPWA/COVID-19: A Review of Current Questions and Answers for HOPWA Grantees and Sponsors Q&amp;A

HOPWA/COVID-19: A Review of Current Questions and Answers for HOPWA Grantees and Sponsors Q&amp;A Webinar 2 May 6, 2020 Presenters Kate Briddell, HIV Housing and Health Program, Collaborative Solutions Crystal Pope, HIV Housing and Health

527 views • 34 slides
PAYE Modernisation Thesaurus Webinar November 2019 Overview PAYE Modernisation Update

PAYE Modernisation Thesaurus Webinar November 2019 Overview PAYE Modernisation Update

PAYE Modernisation Thesaurus Webinar November 2019 Overview PAYE Modernisation Update Data Integrity Project myAccount Enhancements 2019 Employment Detail Summary Employee Statement of Liability Transition 2019/2020

1.23k views • 70 slides
From Functional to Reactive patterns in domain modeling Debasish Ghosh @debasishg Tuesday, 6

From Functional to Reactive patterns in domain modeling Debasish Ghosh @debasishg Tuesday, 6

From Functional to Reactive patterns in domain modeling Debasish Ghosh @debasishg Tuesday, 6 October 15 Tuesday, 6 October 15 Domain Modeling Tuesday, 6 October 15 Domain Modeling (Functional) Tuesday, 6 October 15 Domain Modeling

1.37k views • 126 slides
Just-Right As available as possible, consistent when necessary Consistency The CAP theorem

Just-Right As available as possible, consistent when necessary Consistency The CAP theorem

Just-Right Consistency: Just-Right As available as possible, consistent when necessary Consistency The CAP theorem forces a choice In contrast, checking a data between strong consistency (CP) precondition on partitioned state is and

567 views • 10 slides
Jartege : a Tool for Random Generation of Unit Tests for Java Classes Catherine Oriat LSR/IMAG,

Jartege : a Tool for Random Generation of Unit Tests for Java Classes Catherine Oriat LSR/IMAG,

LSR Jartege : a Tool for Random Generation of Unit Tests for Java Classes Catherine Oriat LSR/IMAG, Grenoble, France (presented by Yves Ledru) SOQUA05, Erfurt, Germany, Sep. 22nd 2005 1 The need for automatic test generation LSR

365 views • 24 slides
Chapter 6: Process [&amp; Thread] Synchronization Why is synchronization needed? CSCI [4|6]

Chapter 6: Process [&amp; Thread] Synchronization Why is synchronization needed? CSCI [4|6]

Chapter 6: Process [&amp; Thread] Synchronization Why is synchronization needed? CSCI [4|6] 730 Synchronization Language/Definitions: What are race conditions? Operating Systems What are critical sections? What are atomic

488 views • 11 slides
UNIVERSITY OF CALIFORNIA Economics 134 DEPARTMENT OF ECONOMICS Spring 2018 Professor David

UNIVERSITY OF CALIFORNIA Economics 134 DEPARTMENT OF ECONOMICS Spring 2018 Professor David

UNIVERSITY OF CALIFORNIA Economics 134 DEPARTMENT OF ECONOMICS Spring 2018 Professor David Romer LECTURE 4 REVIEW OF ISLM/MP FRAMEWORK JANUARY 29, 2018 I. T HE ISLM/MP M ODEL A. Overview 1. Introduction 2. Where we are headed 3.

474 views • 36 slides
Advanced JML and more tips and pitfalls David Cok, Joe Kiniry, and Erik Poll Eastman Kodak

Advanced JML and more tips and pitfalls David Cok, Joe Kiniry, and Erik Poll Eastman Kodak

Advanced JML and more tips and pitfalls David Cok, Joe Kiniry, and Erik Poll Eastman Kodak Company, University College Dublin, and Radboud University Nijmegen David Cok, Joe Kiniry &amp; Erik Poll - ESC/Java2 &amp; JML Tutorial p.1/ ?? Core

776 views • 55 slides

More recommend