Publication: Generating runtime verification specifications based on static code analysis alerts
Institution Authors
Authors
Journal Title
Journal ISSN
Volume Title
Type
Master's thesis
Sub Type
Access
restrictedAccess
Publication Status
Unpublished
Abstract
There are various approaches in order to find bugs in a software system. One of these approaches is static code analysis, which tries to achieve this goal by analyzing code without executing it. Another complementary approach is runtime verification, which is employed to verify dynamic system behavior with respect to a set of specifications at runtime. These specifications are often created manually based on system requirements and constraints. In this thesis, we propose a novel methodology and tool support for automatically generating runtime verification specifications based on alerts that are reported by static code analysis tools. We introduce a domain specific language for defining a set of rules to be checked for an alert type. Violations of the rules indicate either the absence or existence of an actual bug designated by the instances of that alert type. Formal verification specifications are automatically generated for each reported alert instance based on the defined rules. Then, runtime monitors are automatically synthesized and integrated into the system. These monitors report detected errors or false positive alerts during software execution. The set of rules can be reused across different projects. We performed case studies with two open source software systems to illustrate this. Our tool currently supports the use of two different static code analysis tools for generating runtime monitors in Java language. It is designed to be extendible for supporting other tools as well.
Yazılım hatalarının bulunması amacıyla kullanılan birçok yöntem bulunmaktadır. Bu yöntemlerden biri olan statik kod analizi koddaki hataların, kodun çalıştırılmadan ortaya çıkarılmasını sağlamaktadır. Bunu tamamlayıcı nitelikte olan çalışma zamanı doğrulama ise dinamik sistem davranışlarını yazılmış olan kurallara göre kontrol etmek için kullanılmaktadır. Bu kural listesi genellikle sistem gereksinimleri ve kısıtlarına göre manuel olarak oluşturulmaktadır. Bu tezde, statik kod analizi araçlarının oluşturduğu uyarılardan çalışma zamanı doğrulama kurallarını otomatik olarak oluş- turan yeni bir yöntem ve araç geliştirilmiştir. Alana özgü bir dil geliştirilerek, uyarı tiplerine özgü kurallar tanımlanması sağlanmıştır. Oluşturulan bu kuralların ihlal edilip edilmediğine göre hatanın gerçekleşip gerçekleşmediğine karar verilmektedir. Çalışma zamanı doğrulama kuralları her bir uyarı için daha önceden tanımlanmış kurallara göre otomatik oluşturulmaktadır. Daha sonra ise, oluşan bu kurallara ilişkin çalışma izleyiciler otomatik sentezlenerek, sisteme entegre edilmektedir. Bu izleyiciler yazılımla birlikte çalışarak tespit edilen hataları ve yanlış üretilmiş uyarıları raporlamaktadır. Bir kere oluşturulan kurallar farklı projelerde kullanılabilmektedir. Bu durumu gösterebilmek için iki farklı açık kaynak kod üzerinde vaka çalışmaları gerçekleştirilmiştir. Aracımız şu anda Java programlama dili için uyarı üreten iki farklı statik kod analiz aracını desteklemektedir. Ayrıca bu araç, yeni statik kod araçlarını destekleyebilecek şekilde tasarlanmıştır.
Yazılım hatalarının bulunması amacıyla kullanılan birçok yöntem bulunmaktadır. Bu yöntemlerden biri olan statik kod analizi koddaki hataların, kodun çalıştırılmadan ortaya çıkarılmasını sağlamaktadır. Bunu tamamlayıcı nitelikte olan çalışma zamanı doğrulama ise dinamik sistem davranışlarını yazılmış olan kurallara göre kontrol etmek için kullanılmaktadır. Bu kural listesi genellikle sistem gereksinimleri ve kısıtlarına göre manuel olarak oluşturulmaktadır. Bu tezde, statik kod analizi araçlarının oluşturduğu uyarılardan çalışma zamanı doğrulama kurallarını otomatik olarak oluş- turan yeni bir yöntem ve araç geliştirilmiştir. Alana özgü bir dil geliştirilerek, uyarı tiplerine özgü kurallar tanımlanması sağlanmıştır. Oluşturulan bu kuralların ihlal edilip edilmediğine göre hatanın gerçekleşip gerçekleşmediğine karar verilmektedir. Çalışma zamanı doğrulama kuralları her bir uyarı için daha önceden tanımlanmış kurallara göre otomatik oluşturulmaktadır. Daha sonra ise, oluşan bu kurallara ilişkin çalışma izleyiciler otomatik sentezlenerek, sisteme entegre edilmektedir. Bu izleyiciler yazılımla birlikte çalışarak tespit edilen hataları ve yanlış üretilmiş uyarıları raporlamaktadır. Bir kere oluşturulan kurallar farklı projelerde kullanılabilmektedir. Bu durumu gösterebilmek için iki farklı açık kaynak kod üzerinde vaka çalışmaları gerçekleştirilmiştir. Aracımız şu anda Java programlama dili için uyarı üreten iki farklı statik kod analiz aracını desteklemektedir. Ayrıca bu araç, yeni statik kod araçlarını destekleyebilecek şekilde tasarlanmıştır.
Date
2017-12