确保证明代码有缺陷？

Question

在下面，当相关的C代码被注释掉时，行为neg_limit的后置条件如何被证明是真实的？

安全 - >检查算术溢出之一是不可证明的，如预期的，但它似乎像neg_limit也应该是无法证明的。

语境：我使用的邮资-C-硼，杰西，并通过gWhy，按住Alt键人体工程学，以学习如何编写规范和证明功能的满足他们。任何关于规范策略，工具等的提示，RTFMing等也是值得赞赏的。到目前为止，我正在阅读ACSL 1.7实施手册（这是更近期的-Boron's）和Jessie教程& ref。手册。

谢谢！

/*@ behavior non_neg: 
     assumes v >= 0; 
     ensures \result == v; 

    behavior neg_in_range: 
     assumes INT32_MIN < v < 0; 
     ensures \result == -v; 

    behavior neg_limit: 
     assumes v == INT32_MIN; 
     ensures \result == INT32_MAX; 

    disjoint behaviors; 
    complete behaviors; 
*/ 
int32_t my_abs32(int32_t v) 
{ 
    if (v >= 0) 
    return v; 

    //if (v == INT32_MIN) 
    // return INT32_MAX; 

    return -v; 
} 

这是第一个后置条件的gWhy目标：

goal my_abs32_ensures_neg_limit_po_1: 
    forall v_2:int32. 
    (integer_of_int32(v_2) = ((-2147483647) - 1)) -> 
    (integer_of_int32(v_2) >= 0) -> 
    forall __retres:int32. 
    (__retres = v_2) -> 
    forall return:int32. 
    (return = __retres) -> 
    ("JC_13": (integer_of_int32(return) = 2147483647)) 

和第二：

goal my_abs32_ensures_neg_limit_po_2: 
    forall v_2:int32. 
    (integer_of_int32(v_2) = ((-2147483647) - 1)) -> 
    (integer_of_int32(v_2) < 0) -> 
    forall result:int32. 
    (integer_of_int32(result) = (-integer_of_int32(v_2))) -> 
    forall __retres:int32. 
    (__retres = result) -> 
    forall return:int32. 
    (return = __retres) -> 
    ("JC_13": (integer_of_int32(return) = 2147483647)) 

Answer 1

关于文件，你可能想在弗劳恩霍夫发展论坛看看” ACSL By Example：http://www.fokus.fraunhofer.de/de/quest/_download_quest/_projekte/acsl_by_example.pdf

关于你的问题，我用Frama-C Fluorine重复了你的结果（顺便说一句，你在代码中缺少#include <stdint.h>"），而Jessie + Alt-ergo仍然设法证明后置条件。但请记住，假设没有发生运行时错误（这不是代码的情况），因为失败的安全PO显示后条件被证明为。

即，第二个后置条件包含假设(integer_of_int32(result) = (-integer_of_int32(v_2)))，其可以被重写为(integer_of_int32(result) = 2147483648)。这与杰西的前奏中的一条公理相矛盾，那就是那个 forall v:int32. integer_of_int32(v)<=2147483647。

我想这再一次概括说明，只要某些证明义务没有被检查，即使它们不直接源自此注释，您也不能声称验证了ACSL注释。