Критические точки и допущения (assertions)

Защитное программирование

Защитное программирование (defensivecoding) –это метод организации программного кода таким образом, чтобы при работе системы последствия проявления дефектов в ней не приводили к сбоям, отказам и авариям. Защитное программирование, как правило, не дает нам никакой информации о том, где находится дефект, поэтому его нельзя рассматривать как замену тестированию - эти два аспекта промышленной разработки дополняют друг друга.

Следует четко понимать разницу между обработкой ошибок и защитным программированием. При обработке ошибок локализуются и исправляются ситуации, в которых выполнение идет не так, как предполагает разработчик. Защитное программирование — это попытка учесть последствия таких проблем, которые на первый взгляд кажутся «невозможными». Подобные «невозможные» проблемы делятся на две категории.

· Пример проблемы первой категории: в модуле или классе для private функции можно гарантировать, что ей всегда будут передаваться валидные аргументы. Здесь целесообразно применить защитное программирование, чтобы обеспечить«разумное поведение» функции даже в такой ситуации, которая кажется невозможной. Но если эта же функция входит в состав общедоступной библиотеки, невозможногарантировать, что она никогда не получит некорректных данных, но можно добавить обработку ошибок на тот случай, что ей будут переданы некорректные данные. Таким образом, выбираемаястратегия — защитное программирование или явное добавление обработки ошибок — зависит от области применения конкретного ПО.

· Вторая проблема – пограничные случаи, в которых возможность или невозможность возникновения определенных условий является спорной. Рассмотрим следующий набор сценариев, которые могут сложиться в программе, если она получит невалидные данные:

1. программа принимает информацию от пользователя, который может ввести невалидные данные;

2. программа принимает данные из текстового файла, написанного человеком;

3. программа принимает данные из XML-файла;

4. программа считывает файл с бинарными данными, созданный другой программой;

5. программа считывает файл с бинарными данными, содержащий контрольную сумму для проверки наличия/отсутствия в нем повреждений;

6. программа считывает временный бинарный файл, только что созданный ею же;

7. программа считывает информацию из локальной переменной (то есть из памяти), которую она только что записала.

В какой момент мы можем быть уверены, что данные не могут оказаться невалидными?

Маловероятно, что файл с невалидными данными продолжает генерировать верную контрольную сумму (сценарий 5). Тем не менее, если данные обладают повышенной критичностью с точки зрения безопасности, необходимо учесть и вероятность того, что файл был специально подправлен для получения «верной» контрольной суммы.

Возможно, что программы будут вести себя непредсказуемо, если получат поврежденные файлы с бинарными данными(сценарии 4 - 6).

В случае аппаратной ошибки, намеренной подделки или других причин только что записанная локальная переменная может неожиданно принять некорректное значение(сценарий 7).

Итак, не всегда ясно, в каких случаях может понадобится специальный код для обработки ошибок, а в каких будет достаточно защитного программирования

Пример защитного программирования

Вариант 1	Вариант 2
size_tlen = strlen(str); for (i = 0; i<len; ++i) result += evaluate(str[i]);	size_tlen = strlen(str); for (i = 0; i!=len; ++i) result += evaluate(str[i]);

Почему же условия завершения цикла всегда пишутся только по первому образцу, а не по второму?

Во-первых, последствия возникновения «невозможного» условия (i==len) пагубны и, вероятно, могут привести к неприятным последствиям, например, к бесконечному циклу или нарушению доступа к памяти. Такое «невозможное» условие вполне может возникнуть в некоторых ситуациях:

· плохое оборудование могут привести к тому, что один из битов 'i' случайным образом изменит состояние;

· другой ошибочный процесс (поток) изменяет не принадлежащий ему фрагмент памяти;

· функция 'evaluate' содержит вредоносный указатель, изменяющий значение 'i'.

 

Основной прием защитного программирования – внедрение в программный код различного рода проверок на допустимость обрабатываемых данных или допустимость состояния системы в заданный момент времени. Таким образом, подход защитного программирования можно сформулировать таким образом:

"Прежде чем делать что-то - проверьте, с корректными ли данными и в корректный ли момент времени вы начинаете это делать".

Если все данные корректны –ПО функционирует в нормальном режиме. В случае, если данные неверны, запускается специально разработанная часть ПО, предназначенная для восстановления правильности функционирования и предотвращения сбоя (либо при помощи приведения данных к корректному виду, либо при помощи извещения оператора).

В настоящее время существует два основных механизма защитного программирования – проверка допущений в критических точках и обработка исключительных ситуаций.

 

Критические точки и допущения (assertions)

В любой программе есть участки, требующие предварительных проверок перед выполнением. Пример: один массив хранит имена и фамилии людей, а второй – номера телефонов. В нормальной ситуации число элементов в массивах должно совпадать и, при поиске фамилии в первом массиве, полученный индекс может быть использован для получения номера абонента:

string_vector surname;

string_vector phone;

…

int index = surname.find ("Петров");

foundPhone = phone.at(index);

Однако, в случае нарушения синхронизации массивов, индекс может оказаться неверным, например, выходить за границы массива. Вообще, при использовании индекса мы делаем неявное допущение о его корректности. В большинстве современных языков программирования (C, C++, C#, Java, Eiffel) существуют средства для явного задания таких допущений.

Например, в C существует функция assert(), определенная в заголовочном файле <assert.h>. Аргументом этой функции может выступать любое булево выражение. В случае, если оно равно false, функция прерывает работу программы. Таким образом, при помощи булевых выражений могут быть описаны допущения в критических точках программы. Предыдущий пример при использовании функции assert() будет выглядеть как

#include<assert.h>

string_vector surname;

string_vector phone;

…

int index = surname.find("Петров");

assert((index > 0) && (index <phone.size()));

foundPhone = phone.at(index);

Часто программисты определяют свою собственную функцию assert(), например, следующим образом:

#ifdef NODEBUG

#define assert(ignore) 0

#else

#define assert(ex)    ((ex)? 1: (printf("Assertion failed "))

#endif// NODEBUG

 

Эта функция отличается от стандартной тем, что в финальной сборке системы с установленным макросом NODEBUG, выдача предупреждений функцией assert() отключается. Такая организация функции assert() связана с широко распространенным заблуждением касательно того, что частые вызовы функции assert() значительно замедляют выполнение программы. Поэтому многие программисты используют допущения только на стадии отладки, считая, что они не могут сработать в конечном продукте. Однако достаточно небольшой проигрыш в скорости окупается дополнительной гарантией надежности системы.

Другая причина того, что программисты предпочитают отключать допущения в финальной версии кода, заключается в том, что при срабатывании допущения выполнение программы прерывается. Однако, существует метод использования допущений совместно с обработкой исключений (см. следующий раздел), при котором возможно определить функции, исправляющие ошибочное состояние системы и продолжающие ее выполнение.

Целесообразность использования допущений в критических точках:

· явно задавая условия, необходимые для корректной работы программы в критических точках, мы защищаем себя от выдачи программой неверных данных;

· помощь в сопровождении документации и документировании - явно заданные условия позволяют проще определить, синхронизирован ли программный код с проектной документацией, которая задает диапазоны значенийобрабатываемых данных;

· помощь в отладке - неверные допущения проявятся в процессе отладки, в результате упростится уточнение допущений.

Выделяют следующие их допущений:

· предусловия - такие допущения помещаются в начале функций или процессов обработки данных и предназначены для проверки того, все ли необходимые данные корректны;

· постусловия - такие допущения помещаются в конце функций или процессов обработки данных и предназначены для проверки полученного результата на корректность до того, как передать его дальше;

· инварианты классов - такие допущения предназначены для периодической проверки состояния данных объектов классов, которые не должны меняться в течение жизненного цикла объекта или должны меняться строго определенным образом. Примером инварианта класс может быть требование, чтобы число элементов в списке всегда было неотрицательным.

· инварианты циклов - такие допущения предназначены для проверки условий, которые должны быть всегда истинны во время выполнения цикла. Примером такого условия может служить допущение о том, что значение итератора цикла не должно превышать количества элементов массива, по которому организован цикл.

Применение допущений является основной для контрактного программирования, при котором в каждом классе явно определяются предусловия для использования методов этого класса. Таким образом, между объектами этого класса и другими объектами заключается своего рода "контракт" в котором четко прописан интерфейс взаимодействия не только по форматам вызова методов, но и по пересылаемым данным.

Основным источником информации для определения контрактов являются требования на систему - функциональные или архитектурные. Поэтому верификацию допущений необходимо проводить в два этапа: на первом этапе проверяется корректность условий каждого допущения по отношению к требованиям, и только затем на втором этапе моделируются ситуации, приводящие к нарушению допущения. Начинающие тестировщики часто забывают о первом этапе, переходя от функционального тестирования по требованиям к структурному тестированию по коду.

Инварианты класса