to the top
close form
Для получения триального ключа
заполните форму ниже
Team license
Enterprise license
** Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

close form
Запросите информацию о ценах
Новая лицензия
Продление лицензии
--Выберите валюту--
USD
EUR
* Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

close form
Бесплатная лицензия PVS-Studio для специалистов Microsoft MVP
** Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

close form
Для получения лицензии для вашего открытого
проекта заполните, пожалуйста, эту форму
** Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

close form
Мне интересно попробовать плагин на:
** Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

close form
check circle
Ваше сообщение отправлено.

Мы ответим вам на


Если вы так и не получили ответ, пожалуйста, проверьте папку
Spam/Junk и нажмите на письме кнопку "Не спам".
Так Вы не пропустите ответы от нашей команды.

>
>
>
Ложные представления программистов о не…

Ложные представления программистов о неопределённом поведении

17 Янв 2023
Автор:

Неопределённое поведение (UB) – непростая концепция в языках программирования и компиляторах. Я слышал много заблуждений в том, что гарантирует компилятор при наличии UB. Это печально, но неудивительно!

Мы опубликовали и перевели эту статью с разрешения правообладателя. Автор статьи — Predrag Gruevski. Оригинал опубликован на Predrag's Blog.

1024_FalsehoodsProgrammers_ru/image1.png

Для ознакомления с неопределённым поведением и с тем, почему мы не можем просто "определить все виды поведения", я настоятельно рекомендую доклад Чендлера Каррута "Garbage In, Garbage Out: Arguing about Undefined Behavior with Nasal Demons".

Возможно, вы также знакомы с моей серией блогов Compiler Adventures, где рассказывается о том, как работают оптимизации компилятора. Предстоящий эпизод будет посвящён внедрению оптимизаций, использующих преимущества неопределённого поведения, такого как деление на ноль. В нём мы рассмотрим UB "с другой стороны".

Неопределённое поведение != поведение, определяемое реализацией

Неопределённое поведение также не является тем же самым, что и неуточнённое поведение (unspecified behavior), которое похоже на поведение, определяемое реализацией (implementation-defined behavior), за исключением требования о том, что реализация должна документировать своё поведение и следовать ему. В статье мы уделяем внимание неопределённому поведению, а не неуточнённому, поэтому мы объединим неуточнённое поведение и поведение, определяемое реализацией.

Поведение программы делится на три группы, а не на две:

  • определяемое спецификацией: язык программирования сам определяет, что происходит. Это подавляющее большинство всех программ;
  • определяемое реализацией: точное поведение определяется вашим компилятором, операционной системой или аппаратным обеспечением. Например: сколько именно битов содержится в char или int в C++ (спецификация гарантирует не менее 8 бит для char и не менее 16 бит для int). Остальное определяется реализацией.
  • неопределённое поведение: может произойти всё, что угодно, вплоть до того, что придётся попрощаться с компьютером. Ни один из результатов не является ошибочным, если он вызван UB. Например: переполнение знаковых чисел в C или использование unsafe для создания двух &mut ссылок на одни и те же данные в Rust (в Википедии есть отличный список примеров, если вы хотите увидеть больше).

Вот список гарантий, которые компиляторы дают в отношении результатов неопределённого поведения:

Это весь список. Нет, я ничего не забыл. Да, серьёзно.

Можно проанализировать, как UB влияет на конкретную программу при компиляции конкретным компилятором или при выполнении на конкретной целевой платформе. Например, существуют "экзотические" компиляторы, операционные системы и аппаратное обеспечение (например, CHERI, с потрясающими возможностями относительно безопасности использования указателей). Они предоставляют дополнительные гарантии по сравнению с большинством распространённых платформ, гарантирующих изоляцию процессов только на уровне ОС. Мы не будем говорить о них в этой статье.

Посыл этой статьи следующий: "Если моя программа содержит UB, а компилятор создал двоичный файл, который делает X, является ли это ошибкой компилятора?"

Это не ошибка компилятора.

Все следующие предположения ошибочны

Заблуждения о том, когда "происходит" UB

  • Неопределённое поведение "происходит" только на высоких уровнях оптимизации, таких как -O2 или -O3.
  • Если я отключу оптимизацию флагом -O0, то UB не будет.
  • Если я включу отладочные символы в сборку, UB не будет.
  • Если я запущу программу под отладчиком, UB не случится.
  • Ладно, всё ещё присутствует вероятность UB, но моя программа "отработает правильно", несмотря ни на что.
  • Программа либо "отработает правильно", либо завершится с ошибкой сегментации (сигнал SIGSEGV).
  • Программа либо "отработает правильно", либо упадёт тем или иным способом.
  • Программа либо "отработает правильно", либо упадёт, либо зависнет.
  • По крайней мере UB не запустит случайный код из другой части программы.
  • По крайней мере UB не запустит какой-либо недостижимый код, который может содержать программа.

Заблуждения о выполнении UB

  • Если строка с UB ранее "отрабатывала правильно", то она продолжит это делать при следующем запуске программы.
  • Строка с UB по крайней мере будет продолжать "отрабатывать правильно", пока программа еще работает.
  • Можно определить, содержалось ли неопределённое поведение в предыдущей строке, и предотвратить возникновение проблем.
  • По крайней мере влияние UB ограничено кодом, который использует значения, полученные в результате UB.
  • По крайней мере влияние UB ограничено кодом, который находится в той же единице компиляции, что и строка с UB.
  • Хорошо, но по крайней мере влияние UB ограничено кодом, который выполняется после строки с UB. UB явно может менять поведение другого кода, включая даже операции, предшествующие ему! "Менять" здесь включает повреждение, откат или вообще предотвращение работы (как будто этого никогда не происходило) другого кода. Более подробную информацию и примеры неопределённого поведения, которые могут привести к "путешествиям во времени", можно найти в посте этого блога. Спасибо этим двум постам на Reddit (1, 2) за то, что предложили более удачные формулировки для пунктов выше.

Заблуждения о возможных последствиях неопределённого поведения

  • По крайней мере оно не приведёт к повреждению памяти программы.
  • По крайней мере оно не приведёт к повреждению памяти программы, кроме той, где находились данные, затронутые UB.
  • По крайней мере оно не повредит кучу.
  • По крайней мере оно не повредит стек.
  • По крайней мере оно не повредит текущий фрейм стека (я называю это ошибкой под названием "локальные переменные надежно хранятся в регистрах").
  • По крайней мере оно не приведёт к повреждению указателя стека.
  • По крайней мере оно не повредит регистр флагов процессора или любое другое состояние процессора.
  • По крайней мере неопределённое поведение не приведёт к повреждению исполняемой памяти программы.

С функциями безопасности ОС и оборудования, такими как W ^ X, такой исход маловероятен, однако самомодифицирующиеся программы могут быть построены так, что UB в принципе может привести к повреждению исполняемой памяти. Конечно, нет никакой гарантии, что UB не сделает этого!

  • По крайней мере это не повредит таким потокам, как stdout или stderr.
  • По крайней мере UB не приведёт к перезаписи файлов, которые уже были открыты программой.
  • По крайней мере оно не будет открывать новые файлы и перезаписывать их.
  • По крайней мере оно не приведёт к полному удалению данных с диска.
  • По крайней мере UB не повредит и не уничтожит какие-либо компоненты оборудования. Не все устройства имеют одинаковый уровень защиты от неправильных вводных данных, записанных в регистры управления. Это тот урок, который обычно усваивается на горьком опыте.
  • По крайней мере UB не начнёт воспроизводить Doom, если в программе еще не было исходного кода Doom. Я был бы весьма впечатлён, если бы вы создали компилятор, который заставляет программы запускать Doom, когда они сталкиваются с UB. Считайте это вызовом!

Заблуждения из серии "но раньше же прекрасно работало"

  • Если программа, содержащая UB, ранее "работала прекрасно", перекомпиляция программы без каких-либо изменений кода всё равно приведёт к созданию двоичного файла, который "прекрасно работает".
  • Перекомпиляция без изменений кода тем же компилятором и с теми же флагами приведёт к созданию двоичного файла, который по-прежнему "прекрасно работает".
  • Перекомпиляция в условиях, как указано выше, + на том же компьютере приведёт к созданию двоичного файла, который по-прежнему "прекрасно работает".
  • Если вы не перезагружали компьютер с момента последней компиляции, то перекомпиляция в условиях, указанных выше, создаст двоичный файл, который по-прежнему "прекрасно работает".
  • Перекомпиляция в условиях, указанных выше, + с теми же переменными окружения приведёт к созданию двоичного файла, который по-прежнему "прекрасно работает".
  • Перекомпиляция в условиях, указанных выше, + в то же время суток и в тот же день недели, что и раньше, во время лунного затмения, после принесения в жертву новой порции оперативной памяти богам двоичных файлов, создаст двоичный файл, который всё ещё "прекрасно работает".

Заблуждения об автономном поведении UB

  • Многократные запуски программы, скомпилированной в условиях, указанных выше, с одинаковыми входными данными будут приводить к одному и тому же поведению при каждом запуске.
  • Эти многократные запуски приведут к одному и тому же поведению, если программа, не учитывая UB, является детерминированной.
  • Эти же запуски приведут к одному и тому же поведению и в случае, если программа является однопоточной.
  • Результат будет тот же, если программа не считывает никаких внешних данных (файлы, сеть, переменные окружения и т. д.).

Заблуждения вокруг UB, распространённые сообществом

  • Использование отладчика в программе, содержащей UB, покажет состояние программы, соответствующее исходному коду. Это следствие заблуждения № 16, оно более подробно объясняется в этом посте. Неопределённое поведение может изменить поведение программы как до, так и после UB. Поэтому исходный код, который вы видите в своём редакторе, уже не соответствует фактически выполняемой программе. Конечно, всё ещё можно использовать отладчик для пошагового выполнения ассемблерных инструкций и просмотра состояния регистра. Но начнем с того, что хорошо оптимизированный ассемблерный код нелегко понять и странности, вызванные UB, только усложнят задачу. В целом это ситуация, которой лучше избегать. Почитать можно тут.
  • Неопределённое поведение — это исключительно явление времени выполнения. В Rust контрпримером является неправильное использование #[no_mangle] для перезаписи символа с неправильным типом. Контрпримером в C++ являются нарушения правила одного определения (ODR), о некоторых из которых компилятор не обязан сообщать, прежде чем вызвать хаос.

Заблуждения о UB в целом

  • Это любое разумное или неразумное поведение, которое происходит с какой-либо последовательностью или какой-либо гарантией.

В тот момент, когда ваша программа содержит UB, все ставки отменяются. Даже если это всего лишь одно маленькое неопределённое поведение. Даже если оно никогда не будет выполнено. Даже если вы вообще не знаете, что оно там есть. Возможно, даже если вы сами написали спецификацию языка и компилятор (говорю по собственному опыту. Надеюсь, вам не придётся его пережить, чтобы поверить).

Это не означает, что все исходы в приведённом выше списке одинаково вероятны или даже правдоподобны (особенно вариант с запуском Doom). Но все они являются разрешёнными, допустимыми, соответствующими спецификации поведениями.

Вполне возможно, что у вашей программы есть UB, и она работает нормально в течение многих лет без проблем. Это здорово! Я счастлив это слышать! Я даже не говорю, что вам нужно взять и переписать её, чтобы исключить неопределённое поведение. Но, принимая решения, полезно знать полную картину того, что компилятор будет или не будет гарантировать для вашей программы.

Почётное упоминание за одно особое предположение

"Если программа компилируется без ошибок, значит, у неё нет неопределённого поведения".

В языках C и C++ это на 100 % неверно.

Это также ложное утверждения для Rust, хотя оно может оказаться правдой с одним условием. Если в вашей программе на Rust никогда не используется unsafe, то в ней не должно быть неопределённого поведения. Другими словами: вызов UB без unsafe считается ошибкой в компиляторе Rust. Эти случаи редки, и вы вряд ли столкнётесь с ними.

Когда в Rust используется unsafe, то все ставки отменяются точно так же, как в C или C++. Но предположение о том, что "программы на Rust, которые компилируются без ошибок, не имеют UB", в основном верно.

Мы в долгу перед теми людьми, которые в совокупности вложили столетия инженерной мысли в то, чтобы сделать Rust таким. Это нелёгкий труд. Спасибо, что прочитали статью!

Спасибо arriven, Конраду Ладгейту, sharnoff, Брайану Грэму и нескольким людям, пожелавшим остаться неназванными, за отзывы о черновиках этого поста. Любые ошибки, допущенные в статье, принадлежат только мне.

Популярные статьи по теме
Под капотом SAST: как инструменты анализа кода ищут дефекты безопасности

Дата: 26 Янв 2023

Автор: Сергей Васильев

Сегодня речь о том, как SAST-решения ищут дефекты безопасности. Расскажу, как разные подходы к поиску потенциальных уязвимостей дополняют друг друга, зачем нужен каждый из них и как теория ложится на…
Топ-10 ошибок в C++ проектах за 2022 год

Дата: 29 Дек 2022

Автор: Владислав Столяров

Дело идёт к Новому году, а значит, самое время традиционно вспомнить десять самых интересных срабатываний, которые нашёл PVS-Studio в 2022 году.
PVS-Studio и RPCS3: лучшие предупреждения в один клик

Дата: 12 Дек 2022

Автор: Александр Куренев

Best Warnings — режим анализатора, оставляющий в окне вывода 10 лучших предупреждений. Мы предлагаем вам ознакомиться с обновлённым режимом Best Warnings на примере проверки проекта RPCS3.
Holy C++

Дата: 23 Ноя 2022

Автор: Гость

В этой статье постараюсь затронуть все вещи, которые можно без зазрения совести выкинуть из С++, не потеряв ничего (кроме боли), уменьшить стандарт, нагрузку на создателей компиляторов, студентов, из…
Продление жизни временных значений в С++: рецепты и подводные камни

Дата: 01 Ноя 2022

Автор: Гость

Прочитав эту статью, вы узнаете следующее: способы, которыми можно продлить время жизни временного объекта в С++; рекомендации и подводные камни этого механизма, с которыми может столкнуться С++ прог…

Комментарии (0)

Следующие комментарии next comments
close comment form
Unicorn with delicious cookie
Мы используем куки, чтобы пользоваться сайтом было удобно.
Хорошо