25、基于分离逻辑增强堆程序符号执行以生成测试输入

基于分离逻辑增强堆程序符号执行以生成测试输入

1. 引言

符号执行因发现深层错误的能力而日益受到关注，不仅在学术领域，还在微软、NASA、IBM 和富士通等行业中得到广泛应用。然而，对于处理复杂堆数据结构输入的程序（即堆程序），符号执行的效果有限。

当前，堆程序符号执行的主流方法是惰性初始化，它会推迟引用变量和字段的初始化，直到被访问。但这种方法存在以下局限性：
- 缺乏对输入数据结构形状的简洁精确描述，导致生成大量无效测试输入。
- 枚举所有可能绑定到输入的堆对象，加剧了符号执行的路径爆炸问题。
- 生成的测试输入可能部分初始化，需要进一步具体化。

在基于逻辑的验证领域，分离逻辑已被研究近五十年。分离逻辑的优势在于其分离合取运算符 ∗，它能将堆划分为不相交的区域，实现局部推理，与全局推理形成对比。令人惊讶的是，利用分离逻辑增强符号执行以生成测试输入的工作却相对较少。

本文提出了基于分离逻辑的堆程序符号执行新方法，具体贡献如下：
1. 开发了基于分离逻辑的堆程序符号执行引擎。
2. 提出上下文敏感的惰性初始化方法，结合最小不动点分析，在符号执行期间生成有效测试输入。
3. 实现了名为 Java StarFinder 的工具，基于 Symbolic PathFinder 生成 Java 字节码的测试输入。
4. 在包含复杂可变数据结构的 Java 程序上进行评估，生成的测试输入均有效，平均分支覆盖率达 98.98%。

2. 动机与示例

下面通过一个示例说明本文方法的工作原理。考虑一个用单链表表示大非负整数的程序，每个节点包含一个数字。假设要为图 1