大規模コードの非終端性検証

紹介論文

今回紹介する論文はNon-Termination Proving: 100 Million LoC and Beyondという論文です。

この論文を一言でまとめると

Pulse∞ツールを用いて、1億行を超えるコードベースにおける非終端性の証明に成功。従来の研究を遥かに凌駕する規模で、実用的な非終端性検出の可能性を示しました。本記事では、その技術的な詳細と、実際のコードで見つかった興味深い事例を紹介します。

はじめに：なぜ非終端性検証が重要なのか

プログラムの非終端性、つまり無限ループは、現代のソフトウェア開発において深刻な問題です。システムが永遠に処理を終えられなくなるため、リソースの枯渇、応答の停止、そして最悪の場合にはシステム全体のダウンを引き起こす可能性があります。想像してみてください。ECサイトで商品を購入しようとしたら、いつまでも処理が終わらず、最終的にサイトがダウンしてしまったら…大きな機会損失に繋がります。

非終端性による具体的な影響

• システムリソースの浪費: CPUやメモリを消費し続け、他のプロセスに影響を与えます。
• 応答停止: ユーザーからの操作を受け付けなくなり、サービスの品質を低下させます。
• DoS攻撃のリスク: 悪意のあるユーザーに悪用され、意図的にシステムを停止させられる可能性があります。
• 組み込みシステムの誤動作: 医療機器や自動車など、人命に関わるシステムでは致命的な結果を招くことがあります。

大規模コードにおける検証の難しさ

近年のソフトウェアは、その規模と複雑さを増しており、非終端性のリスクはますます高まっています。手動でのコードレビューだけでは、巧妙に隠された無限ループをすべて見つけ出すことは困難です。 特に大規模なコードベースでは、以下の理由から自動化された検証ツールが不可欠となります。

• コード量の増大: コード行数が増えるほど、非終端性のパターンも複雑化し、発見が困難になります。
• モジュール間の相互作用: 複数のモジュールが連携することで、予期せぬ無限ループが発生する可能性があります。
• 既存ツールの限界: 従来の検証ツールは、スケーラビリティの問題から、大規模コードベースには適用できない場合があります。
• 計算コスト: 大規模コードベースの検証には膨大な計算コストがかかり、現実的な時間内で結果を得ることが難しい場合があります。

Pulse∞の登場

そこで登場するのが、今回ご紹介するPulse∞です。Pulse∞は、大規模なコードベースにおける非終端性を効率的に検出するために開発された、最先端の静的解析ツールです。次のセクションでは、Pulse∞がどのようにして大規模コードの検証を可能にしているのか、その技術的な詳細を解説していきます。

Pulse∞：大規模検証を可能にする技術

プログラムの信頼性を高めるためには、バグの早期発見が不可欠です。特に、無限ループなどの非終端性は、システム全体の停止やリソースの枯渇を引き起こす深刻な問題です。しかし、大規模なコードベースでは、従来の検証ツールでは対応が難しく、手動でのコードレビューにも限界があります。

そこで登場するのが、Pulse∞です。Pulse∞は、数百万行を超える大規模なコードベースでも、効率的に非終端性を検出できる静的解析ツールです。従来のツールが数十行から数百行のコードしか扱えなかったのに対し、Pulse∞は桁違いの規模を誇ります。このセクションでは、Pulse∞が大規模検証を可能にする技術について詳しく解説します。

分離論理：コードを分割統治する

Pulse∞は、プログラムの状態を局所的に推論することを可能にする分離論理を基盤としています。分離論理を用いることで、Pulse∞はコードを小さな部分に分割し、個別に解析することができます。これにより、コード全体の複雑さを軽減し、解析のスケーラビリティを向上させています。

具体的には、Pulse∞は抽象的なプログラムの状態を記述するために分離論理を使用します。例えば、ある関数が特定のメモリ領域のみを操作する場合、分離論理はその関数が他のメモリ領域に影響を与えないことを保証します。これにより、関数間の相互作用を考慮せずに、個々の関数を独立して解析することが可能になります。

双方向演繹的記号実行：自動で事前・事後条件を推論

Pulse∞は、プログラムの事前条件と事後条件を自動的に推論する双方向演繹的記号実行という技術を使用しています。この技術は、Facebook (Meta) で開発された静的解析フレームワークInferから導入されました。Inferは、大規模なコードベースにおけるバグ検出に成功しており、その実績がPulse∞にも活かされています。

双方向演繹的記号実行を用いることで、Pulse∞はコードをモジュール化して解析し、スケーラビリティを向上させることができます。例えば、ある関数が別の関数を呼び出す場合、Pulse∞はその呼び出し先の関数の事後条件を自動的に推論し、呼び出し元の関数の解析に利用します。これにより、関数間の依存関係を考慮しながら、効率的に解析を進めることができます。

UNTERロジック：健全性を支える理論的基盤

Pulse∞の健全性、つまり誤検出（false positive）を避けるために、UNTER (Under-Approximate Non-Termination Reasoning) ロジックを基盤としています。UNTERロジックは、非終端性を健全に証明するための形式的な体系であり、プログラムの可能な動作の一部のみを考慮するunder-approximationに基づいています。これにより、Pulse∞は非終端性の証明において誤検出を回避し、信頼性の高い結果を提供します。

主要な特徴：大規模コード解析を可能にする3つの要素

Pulse∞が大規模コード解析を可能にする主な特徴は、以下の3つです。

• 構成可能性 (Compositionality): プログラムを小さな部分に分割して個別に解析し、その結果を組み合わせることで、大規模なプログラム全体の解析を可能にします。
• 過小評価 (Under-approximation): 非終端性の証明において、可能な動作の一部のみを考慮することで、誤検出を避けます。これにより、Pulse∞は健全性を保証します。
• オンデマンド解析 (On-demand Analysis): 必要に応じてコードを解析することで、解析時間を短縮します。Inferから継承したこの機能により、Pulse∞は大規模コードベースでも効率的に動作します。

これらの特徴により、Pulse∞は従来のツールでは不可能だった大規模なコードベースにおける非終端性検証を実現し、ソフトウェア開発における信頼性向上に大きく貢献します。

Pulse∞の中核：UNTERロジックとunder-approximation

Pulse∞の真価は、その高度な技術基盤にあります。大規模なコードベースを解析し、非終端性のバグを確実に検出するため、Pulse∞はUNTERロジックとunder-approximationという二つの重要な概念を中核としています。これらの概念を理解することで、Pulse∞がどのように健全性を保ち、誤検出を回避しているのかが見えてきます。

UNTERロジックとは

UNTER (Under-Approximate Non-Termination Reasoning) ロジックは、プログラムの非終端性を形式的に証明するための論理体系です。従来のHoareロジックとは異なり、UNTERロジックはunder-approximation、つまりプログラムの可能な動作の一部のみを考慮するというアプローチに基づいています。これは、一見すると不完全な解析に見えるかもしれませんが、非終端性の証明においては非常に重要な役割を果たします。

なぜunder-approximationが重要なのでしょうか？ その理由は、非終端性の証明における誤検出（false positive）を回避するためです。従来のover-approximationに基づく手法では、実際には停止するプログラムを非終端と誤って判断してしまう可能性があります。UNTERロジックは、可能な動作の一部のみを考慮することで、誤検出のリスクを大幅に低減し、より信頼性の高い結果を提供します。

Under-approximationの詳細

Pulse∞におけるunder-approximationは、具体的には以下の方法で実現されます。

• ループの展開回数の制限： 無限ループの可能性を検出するために、ループを一定回数展開して解析します。展開回数を制限することで、解析時間を短縮し、大規模コードベースへの適用を可能にします。
• 抽象化の精度の調整： 分離論理に基づく抽象化を使用し、プログラムの状態を簡略化して表現します。抽象化の精度を調整することで、解析の複雑さを制御し、スケーラビリティを向上させます。

Under-approximationは、解析の健全性（soundness）を保証するために不可欠です。つまり、Pulse∞が非終端と判断したプログラムは、実際に非終端であることが保証されます。ただし、under-approximationは、完全性（completeness）、つまりすべての非終端性を検出できることを保証するものではありません。実際には非終端であるにも関わらず、解析対象から外れてしまい検出されないケースも存在します。

誤検出を回避するための工夫

Pulse∞は、UNTERロジックとunder-approximationに基づき、誤検出を回避するための様々な工夫が凝らされています。

• 既知の安全なコードパターンの認識： 頻繁に使用される安全なコードパターン（例：特定のライブラリ関数の呼び出し）を認識し、それらを解析から除外することで、誤検出を削減します。
• 手動によるAPIモデルの追加： Pulse∞が認識できないAPI（Application Programming Interface）の動作を記述したモデルを手動で追加することで、解析の精度を向上させ、誤検出を減らすことが可能です。

これらの工夫により、Pulse∞は、大規模コードベースでも実用的な精度で非終端性のバグを検出することができます。

Pulse∞の中核となるUNTERロジックとunder-approximationは、大規模コードの非終端性検証における重要なトレードオフを体現しています。誤検出を徹底的に排除することで、開発者は安心してPulse∞の結果を信頼し、重要なバグの修正に集中することができます。Pulse∞は、非終端性検証の分野に新たな地平を切り開いたと言えるでしょう。

実際のコードに見る非終端性の例

Pulse∞が実際にどのような非終端性のバグを発見したのか、具体的なコード例を見ていきましょう。ここでは、MP4Box、Linuxカーネル、libpngライブラリといった、広く利用されているオープンソースプロジェクトで見つかった事例を紹介します。これらの例を通して、非終端性バグの様々なパターンとその原因を理解していきましょう。

MP4Box: メディア処理ツールキットにおける無限ループ

MP4Boxは、多機能なマルチメディアツールキットとして知られています。その中のsvg_dump_path関数に、非終端性の脆弱性が存在しました。以下のコードを見てください。

static char *svg_dump_path(SVG_PathData *path){
    // ...
    for (i=0; in_points; ) {
        switch (path->tags[i]) {
            case GF_PATH_CURVE_ON:
                // ...
                break;
            case GF_PATH_CLOSE:
                // ...
                i++; break;
            case GF_PATH_CURVE_CONIC:
                // ...
                i+=2; break;
            case GF_PATH_CURVE_CUBIC:
                // ...
                i+=3; break;
            // ...
        }
    }
    // ...
}

このコードの問題点は、forループ内のswitch文にdefaultケースが存在しないことです。もしpath->tags[i]が、定義されたcaseのいずれにも該当しない値を持っていた場合、iの値が更新されず、無限ループに陥ります。このバグは、入力データに予期しないtag値が含まれている場合に発生する可能性があります。

Linuxカーネル: デバイスドライバにおけるgoto文の誤用

LinuxカーネルのFTDIデバイスドライバには、goto文の不適切な使用による非終端性の脆弱性がいくつか存在します。ftdi_elan_read_config関数を例に見てみましょう。

static int ftdi_elan_read_config(struct usb_ftdi *ftdi, int config_offset, u8 width, u32 *data) {
    wait:
        if (ftdi->disconnected > 0) {
            return -ENODEV;
        } else {
            if (command_size < COMMAND_SIZE && respond_size < RESPOND_SIZE) {
                ftdi_elan_kick_command_queue(ftdi);
                wait_for_completion(&respond->wait_completion);
                return result;
            } else {
                msleep(100);
                goto wait;
            }
        }
}

このコードでは、waitラベルにgoto文でジャンプすることで、データの読み込みを再試行しています。しかし、command_sizeまたはrespond_sizeが一定の条件を満たさない場合、msleep(100)で100ミリ秒待機した後、再びwaitラベルに戻ります。問題は、これらの変数の値がループ内で変化しない可能性があることです。つまり、条件が満たされない状況が続くと、プログラムは永久にwaitラベルとmsleep(100)の間を行き来し、無限ループに陥ります。

libpng: 画像処理ライブラリにおける再帰呼び出しの無限ループ

広く利用されている画像処理ライブラリlibpngにも、非終端性の問題が見つかりました。read_byte関数における無限再帰の例を見てみましょう。

static int read_byte(struct file *file) {
    int ch = getc(file->file);
    if (ch >= 0 && ch <= 255) {
        ++(file->read_count);
        return ch;
    } else if (errno == EINTR) {
        /* Interrupted, try again */
        errno = 0;
        return read_byte(file);
    }
    // ...
}

このコードでは、getc関数がシステムコールの中断（EINTR）を示すエラーを返した場合、read_byte関数は再帰的に自身を呼び出します。しかし、もし中断が繰り返し発生する場合、つまりerrnoが常にEINTRである場合、read_byte関数は無限に自身を呼び出し続け、スタックオーバーフローを引き起こす可能性があります。

その他の興味深い事例

• OpenSSL (CVE-2022-0778): 楕円曲線暗号におけるmodular square root計算の無限ループ。
• Wireshark (CVE-2022-3190): 特定のネットワークパケット解析時の無限ループ。
• Log4j (CVE-2021-45105): 再帰的な変数展開による無限再帰。

非終端性の原因と対策

これらの事例から、非終端性のバグは、制御フローの複雑さ、不適切なエラー処理、入力データの検証不足などが原因で発生しやすいことがわかります。これらの問題を防ぐためには、以下の対策が有効です。

• 厳密な入力データ検証: 入力データの範囲や形式を厳密に検証し、予期しない値が処理されないようにする。
• 適切なエラー処理: エラーが発生した場合に、プログラムが安全に停止するか、適切な回復処理を行うようにする。
• 制御フローの簡素化: 複雑な制御フロー（特にgoto文）の使用を避け、構造化されたコードを書くように心がける。
• 再帰呼び出しの制限: 再帰呼び出しの深さを制限し、無限再帰を防ぐ。
• 静的解析ツールの活用: Pulse∞のような静的解析ツールを活用し、潜在的な非終端性のバグを早期に発見する。

Pulse∞のようなツールを活用することで、大規模なコードベースでも非終端性の問題を効率的に検出し、ソフトウェアの信頼性を高めることができるでしょう。

Pulse∞の性能と今後の展望

Pulse∞の最大の強みは、その圧倒的なスケーラビリティです。従来、手動レビューや小規模な静的解析ツールでは困難だった大規模コードベースの検証を、現実的な時間で実現しました。具体的には、数百万行に及ぶコードを数分で解析することが可能です。

驚異的な解析速度

論文中でも示されているように、Pulse∞はLinuxカーネル全体（約2600万行）をわずか10分強で解析できます。これは、従来のツールでは考えられなかった速度であり、大規模ソフトウェア開発における非終端性検証の実用性を大きく高めます。

さらなる性能向上と機能拡張

現状の性能に満足することなく、Pulse∞は今後も継続的な改善が予定されています。主な展望としては、以下の点が挙げられます。

• 並行処理の導入：複数のCPUコアを活用することで、解析速度をさらに向上させます。
• 複雑なコードパターンへの対応：スレッド間の相互作用など、より複雑なコードパターンを検出するための機能拡張を行います。
• 他の静的解析ツールとの連携：他のツールと連携することで、解析精度を総合的に向上させます。
• APIモデルの自動生成：APIモデルを手動で作成する手間を省き、より手軽に利用できるようにします。
• 開発者向けフィードバック機能の改善：バグの根本原因を特定するための情報を開発者に提供し、修正作業を支援します。

利用可能な環境

Pulse∞は、Inferフレームワーク上で動作するため、Inferがサポートする環境であればどこでも利用可能です。具体的な利用方法については、Inferのドキュメントをご参照ください。

Pulse∞がもたらす未来

Pulse∞は、大規模ソフトウェア開発における信頼性向上に大きく貢献できる可能性を秘めています。今後、より多くの開発現場で活用され、安全で安定したソフトウェア開発が実現することを期待します。

まとめ：非終端性検証の新たな地平

Pulse∞は、大規模コードにおける非終端性検証の可能性を大きく広げました。これまで手の届かなかった規模のコードベースに対し、実用的な時間で非終端性の検出を可能にしたことは、ソフトウェア開発における品質保証のあり方を大きく変える可能性を秘めています。

Pulse∞の貢献

• 従来の研究を遥かに凌駕するスケーラビリティを実現し、数百万行のコードを数分で解析可能に。
• オープンソースプロジェクトだけでなく、プロプライエタリなコードベースでもその有効性を実証。
• 実際のコードで見つかった非終端性の事例は、制御フローの複雑さ、入力データの検証不足、エラー処理の不備など、様々な原因によるバグが存在することを示唆。

今後の課題と展望

• 検出漏れ（false negative）の削減：under-approximationという手法の性質上、検出漏れのリスクは避けられませんが、今後はより高度な解析技術を導入することで、検出率の向上を目指す必要があります。
• より複雑なコードパターンへの対応：並行処理、スレッド間の相互作用など、より複雑なコードパターンに対応することで、Pulse∞の適用範囲をさらに拡大。
• 開発者にとって使いやすいツールへの進化：バグの根本原因の特定支援、APIモデルの自動生成など、開発者向けのフィードバック機能を改善することで、より使いやすいツールへと進化させる必要があります。

読者へのメッセージ

本記事で紹介したPulse∞の技術と、実際のコードで見つかった興味深い事例が、今後のソフトウェア開発における信頼性向上の一助となれば幸いです。
非終端性検証は、ソフトウェア開発における重要な課題であり、Pulse∞はその解決に大きく貢献できるツールです。ぜひ、今後のソフトウェア開発にご活用ください。