Разбор результатов Cooddy на pool

[Columpio]

Работа завершена, итоги:

KLEE: WARNING: we are parsing file /home/columpio/pool/to_klee/pool_generated.sarif
KLEE: WARNING: undefined reference to function: raise (UNSAFE)!
KLEE: WARNING: undefined reference to function: raise (UNSAFE)!
KLEE: WARNING ONCE: Symbolic memory access will send the following array of 14976 bytes to the constraint solver -- large symbolic arrays may cause significant performance issues: MO367193[14976] allocated at PdrtOtherTestCase2():  %30 = load i32, i32* %dpId3, align 8, !dbg !857697
KLEE: WARNING: killing 363 states (over memory cap: 18875MB)
KLEE: WARNING ONCE: skipping fork (memory cap exceeded)
KLEE: WARNING: killing 52 states (over memory cap: 16457MB)
KLEE: WARNING ONCE: Alignment of memory from call "malloc" is not modelled. Using alignment of 8.
KLEE: WARNING: killing 220 states (over memory cap: 17836MB)
KLEE: WARNING: killing 31 states (over memory cap: 16276MB)
KLEE: WARNING: killing 169 states (over memory cap: 17428MB)
KLEE: WARNING: killing 24 states (over memory cap: 16216MB)
KLEE: WARNING: killing 132 states (over memory cap: 17140MB)

          TPs: 39
Total reports: 188

FNs: 1398
Malformed: 60
Not supported error types: 1712

uid	verdict
03bf62e134ea390c206074227748f19b	TP
065bc0fa91d0d53919a0b7c3bfdaf2f9	TP
0a5728e24a9349c2a9c383f53d938cf4	TP
0db2d3f338478047278b62d9a0c0e9fb	TP
0ec1361fd5b7d9550e3970b35c4f7163	TP
1048808d8048a7d2929455222252b772	TP
2bd12da4ca211903aedb0e31496f4b2e	TP
2ef36ad5713edbd329c21c9c5f23a1e2	TP
31b2a210b10e3baffbe4f9f227e473f3	TP
3838d032ad7044f92c9801533b2489f5	TP
3a2404fba3a42d913fcaf7fde9338f5e	TP
560dbcd05a4852ef99542995b6284bf2	TP
5a505e07b9601c53bd948b8e8b63cbfa	TP
692ba7dd4982ba82b6500978e063c2cd	TP
6d5257a02d9c691414a2d4486d7680fd	TP
6ef10dd90b04234223a37d6ae3d8c2cf	TP
710f30cb324f69bc1bdb5ffa43b4f9c1	TP
81045d2c6844cddbd6c286bad895a118	TP
830217df476416ee8b453bb544bc2f6c	TP
83abe3c463c30686747cb09d3f9f8a58	TP
87d0cc76729f0b5f4758282ccd997686	TP
8ea446a0086c8650a9eb9bf5f9c51ee2	TP
9358d67764fe45fa5935b6b83da97622	TP
96727df478bfe1c95ee58167a5e3a0bf	TP
975c2d4370d02f6c7da86a069c234758	TP
a4a98e7f04726031c1fad5cfa8637405	TP
a6d5a8a4c2f7c6a4d1d68ce7a6f68c90	TP
a7d4f3fb627017a413eebddc13df3bdd	TP
ac9788e13bcd54c15408a64a932c5f54	TP
b0bf9fc6544a34a225bd13fdf822a363	TP
b7c909dbbc7ead6d83d381a7b48138ad	TP
c79b873ad50e82c2d149ac1616528551	TP
df19593018ede653008d8384e69aa46f	TP
e9f109e1e26b21fe9a4b1440f9e258ea	TP
f80eb011d495ad2f2812be76c19f205f	TP
fc1d08c44d745251241b2b3bbb798033	TP
fc813a6bfa3b11a07d85ef938918ecd7	TP
fdb3860083f7e43ca569da8ea35a0aa3	TP
ffebe9f82bbbbbef437fe6b376a54b2c	TP
6df285e937194ff513f5410ee96db9a7	(32 analogues): Это реально TP, но много кода и мы не можем пробиться даже к первому event'у. Нужен backward от Лёши.
e0590ce8f30a0596c156813169d084a4	(23 analogues): Исполняем extern функцию void alloc*(void **ptr) как nop, поэтому значение указателя не меняется и всегда попадаем в ветку, где *ptr == NULL, из-за чего не доходим даже до первого таргета
bc7beead5f814c9deac02e8e9e6eef08	(16 analogues): Макрос RETURN_NULL_IF_NOT_OK_FOR_GROUP скрывает if и return NULL, и мы не можем понять, что event из трассы указывает на return, и проходим мимо.
fef3c8bb17d9cd097681e521e7c83106	(5 analogues): На самом деле это FP, потому что в указанной строчке высчитывается отступ от нулевого указателя, разыменования на самом деле нет, см. ссылка. Команда куди не будет это исправлять, поскольку это UB.
e8858931d7bacf148c56f0026fea2f61	(2 analogues): Вызывается extern dplwt_estack_malloc, который возвращает символьный указатель. На него делается memset на 184 байта, после которого получается UseAfterFree и стейт отрубается. Если поставить --min-number-elements-li=190 и TL 1200, то исполнение всё-таки проходит дальше memset. От вызова memset до ret из него прошло 354235 миллисекунд. Если поставить --max-sym-alloc=2048 --min-number-elements-li=4 --use-sym-size-li=true, то это занимает 318256 миллисекунд.
04ff1ebf1b17e93bf5821509d604cb2b
0c5f9006171f66128626c3f56c338d4e
0d1adab9d7f58ed7ddba00287563faf3
121925d4bbe1e550f6c1e1bf0adf6317
14a0ffa0c096ad104916259d4802a525
19a216bda16bd26dd04def8d59e1f5f1
1c648a43b9002623d68408988e8405d2
1dd6632b78a57a187c73bab022213176
2192160ed22fb0ec342765749b7d3db0
24e305e8d43a431b4ace62e3fdb456b2
27dd3d0d62c9048eb1ad14987fcd900f
2bdcca458db0d9b7a6360f7ebc8678fd
2f027840e04e8230673102c396de8c00
2f6796a350f35358f1754ca1d62cf4e0
34fd9e47921d043fbaed311af59477b3
371fd19b54e45d61db25f86ba42feb39
382060add6ba0579526de129486a1d63
3841e87aebb44182b1dfa315549dcf67
389b78393e910629ba4c720f142a5a4b
3fd48ca7bc383fd1593ca8298983c579
40aaedbf780e84294bda4b4c2679b2c2
437df5bc94f95d0e2bb75c42b2cd0e9e
438e92217485b0e0836d05d013d60736
50246ab4f18bf6eadaa7861666efe4e5
50e11a46f9bca5edb886600a22fbd4c0
557f4893a1b273b3f084e4b75e817f1c
60f5f790c1c98070f7bbe6129faae8b8
61346f090bea6c0fc4a41c6f181577f7
62b5878d21fc250107cddfd70a924304
66242d26a99cc0199331f82753a58e0f
669e8b1bb92e4b03e71caea19c1fd3bf
69f8478214d15acfefb03ddffabb8233
6cb196ccfdecc4bb83f91732064537d5
729d3265eb858e034ae9e583f190aca4
7d11ebc67572a50b6a1436d7e3c9e141
7d3e56f704e22aef66abbc58e7ace81b
7e1bdfcda5c0429d60624703e2b5310c
7f881ce42ba756545e88d60a31489d47
801891ecb0434cd5bb133556e4ee076c
824195e6b625ba975ea880a861dbd807
8329f69dadfd72820b5474a76b73d1b7
8389b1896658d867c9e15267acfe8c32
8560b5c1ead646aa4fdced3ff4491afc
8dab6d8b7930c67f3c610d7c86ab47f7
8e36954f8c87da91081494c5faf995b9
8fae3f5d4baa0eecbc1e4589a9a2cd8b
98c26cac2e054133360bfccc868380be
9b81ee27c295aee478f71337f290b86e
9d008399d9e3e0a6d156ffc7086b4321
a2ec461c2b4807f8e10fdfe677cb1eca
a5081df5077092b9d1766ae8be5237fc
aca1f6da7f21e7cad406bd16d5692310
b08c69bfcca99ac0118d5e6f2f785a42
b434c61819a71cb4a184d4d8f6f0c6fa
b89d3a2c6aa5f58a87ad1cf4bdf96c1c
ba17abca71967edb079a1975c2a6d9a9
bc96fc883a8546916609447186b5ea83
c41dc40ac28f06de30bca6891863555d
cd5d8a35e6f359a9a5734d5b05526d62
cd9bb6bb94f643a35c584dad1d6d212a
ce7ef9a8997f7567d71ca645bf84ed13
d0d3107d6792c373e2935307d831cf55
d26864861877cd809372832306fccf15
d64435f6973e76d239a448e221368c23
d8d5fc7ba54d69c75eeab1dff82bef1d
d9429648a571579048a0905ca9b27eac
e1891b1cc6628362057ba4eb3ea09ba8
e58046edd6efd0ec8213d45444391667
e773c31ddca7b55fa09332b0d25461f4
e8dd47b019d654643fa71bf20de9c3ec
f1c35662cd9c2fe5e9336164006e15c6
f7e67070c898c6f1735bed36919069ed
f8024a75073eb7409e3f70d5221f0dc5
feacf9ef6a4d1c3b3d526ab8f4bf92c0
072513e8b2053924f70e730382f2192c	(1 analogues): ATTENTION: was TP!
2657e458b716a36a64d8fc5b04f839cf	(1 analogues): ATTENTION: was TP!
c47d73081bd9032116eba090220abd2c	(1 analogues): ATTENTION: was TP!
d011d921b3469c01077de0f644efc1cf	(1 analogues): ATTENTION: was TP!
e17df3f6e8634e71c4190f7e135eb085	(1 analogues): ATTENTION: was TP!
95adf4c2b33996304348a9b21db2be12	(1 analogues): _setjmp не поддержан в KLEE
5100d3708576548ccc5f29cf692ee878	(1 analogues): В последнем ивенте трассы указано, что ошибка на 96 строке, с 20 по 32 колонку, но там лежат только инструкции, которые грузят переменную, но не разыменовывают её. Реальное разыменование происходит в вызове memset_s, а у инструкции call memset_s в дебаг информации указана колонка 11. Куди даёт плохой репорт, поэтому мы не доходим до нужного вызова.
0b135ecd1c073a3e7909ac6327aea1d2	(1 analogues): Не хватает времени. Если запускать только эту трассу, то TP.
2ace628f2c057e19267c7244c402d313	(1 analogues): Не хватает времени. Если запускать только эту трассу, то TP.
55725fc98ad7346b93c2f62515f1db1d	(1 analogues): Не хватает времени. Если запускать только эту трассу, то TP.
72704fb803cb391b5673293703ee754a	(1 analogues): Не хватает времени. Если запускать только эту трассу, то TP.
79cdbd7a808aa4b91452bd9a5adcb66a	(1 analogues): Не хватает времени. Если запускать только эту трассу, то TP.
ba189322e7a9ec163cf33a2f1c14a40f	(1 analogues): Не хватает времени. Если запускать только эту трассу, то TP.
d244d6e9850921d4e860291ecd55081e	(1 analogues): Не хватает времени. Если запускать только эту трассу, то TP.
d79483bf77f2682ddd14440174bc9a24	(1 analogues): Не хватает времени. Если запускать только эту трассу, то TP.
fbe0e5c93714b5e465f5323d9f7b73a5	(1 analogues): Не хватает времени. Если запускать только эту трассу, то TP.
583dbc14c9b8eec47fd77e6f3cc76aa0	(1 analogues): если на 1509 строке inst == NULL, то раскрытие макроса приводит к немедленному сигфолту, а значит 1511 строки мы никогда не достигнем. Это значит, что эта трасса ФП. В куди поменяли статус на ФП.
50f9651ad2abb391c7b4a2f8d989b3ad	(1 analogues): пятым ивентом идёт return на 66 строке функции mrExecRetryTask, однако этот return недостижим, поскольку retryPara не может быть NULL: это адрес структуры на фрейме функции mrAllocMixMemLine, поэтому эта трасса на самом деле ФП. В куди изменили статус этой трассы на ФП.
075ea08116c8c076278a1054368e9fd4	see bc7beead5f814c9deac02e8e9e6eef08
0c7fe72a6c2c93500519bcf36db06cbe	see e0590ce8f30a0596c156813169d084a4, 6df285e937194ff513f5410ee96db9a7
0c9646873d8a61c3e68e7cc7d33beca3	see e0590ce8f30a0596c156813169d084a4, 6df285e937194ff513f5410ee96db9a7
0fd7c142032fb6d89f7108c69cb387fc	see e0590ce8f30a0596c156813169d084a4, 6df285e937194ff513f5410ee96db9a7
17d20b5bf7a4fab1ec24c45088a69cd6	see bc7beead5f814c9deac02e8e9e6eef08
3162c60b68537db32f6e3b80452f6423	see bc7beead5f814c9deac02e8e9e6eef08
33f8fe84e33253d89138222f02769c55	see 6df285e937194ff513f5410ee96db9a7
3796465a0c43895f49de642c2804f753	see 6df285e937194ff513f5410ee96db9a7
37b65c65ea3965f3928eab484023eadb	see bc7beead5f814c9deac02e8e9e6eef08
3c8bbbeec311c303d2c108b804968f1e	see e0590ce8f30a0596c156813169d084a4, 6df285e937194ff513f5410ee96db9a7
3cb2ba8b19e2288c262e8155c8fa1c3b	see bc7beead5f814c9deac02e8e9e6eef08
4285070a2c2c30f8ee32ee5a2c341807	see bc7beead5f814c9deac02e8e9e6eef08
4be07d8f03d5d30d2824b7882bc230a9	see 6df285e937194ff513f5410ee96db9a7
5388f650ae45e9035b27aa41e483932e	see e0590ce8f30a0596c156813169d084a4, 6df285e937194ff513f5410ee96db9a7
54d2e35bd704fdf7d0d8c1fec2eb3875	see e0590ce8f30a0596c156813169d084a4, 6df285e937194ff513f5410ee96db9a7
60055c030ec19e88f805e5bf751a7b53	see e0590ce8f30a0596c156813169d084a4, 6df285e937194ff513f5410ee96db9a7
60afe45e5d28d5bdb11b7d5e15de6496	see fef3c8bb17d9cd097681e521e7c83106
6390a842ea94358539f117705f4e9e7a	see e0590ce8f30a0596c156813169d084a4, 6df285e937194ff513f5410ee96db9a7
65b821a6d376b9be8377ebc21868f6ba	see e0590ce8f30a0596c156813169d084a4, 6df285e937194ff513f5410ee96db9a7
6bcb6956370553d26b3ce2e75e889c8d	see bc7beead5f814c9deac02e8e9e6eef08
6c933f0ca4dd5f473a7571efe7f5188c	see e0590ce8f30a0596c156813169d084a4, 6df285e937194ff513f5410ee96db9a7
6d6b6a8bd8f4ff66b807faad461a4031	see e0590ce8f30a0596c156813169d084a4, 6df285e937194ff513f5410ee96db9a7
6db8fc1aa004a0abc63fc83b573c3747	see 6df285e937194ff513f5410ee96db9a7
6e23b01b3c2a20349e3c6ef9c966b02e	see bc7beead5f814c9deac02e8e9e6eef08
7a6cd6b9e8adb0e1ac06564e8a4c4537	see e0590ce8f30a0596c156813169d084a4, 6df285e937194ff513f5410ee96db9a7
800f1fb6ca9b96cd269ac3fca92fcf71	see e0590ce8f30a0596c156813169d084a4, 6df285e937194ff513f5410ee96db9a7
872f5b26781455e968770c4fa1fe87ed	see e0590ce8f30a0596c156813169d084a4, 6df285e937194ff513f5410ee96db9a7
8a82fed981af71b46441892b2ce33f5f	see e0590ce8f30a0596c156813169d084a4, 6df285e937194ff513f5410ee96db9a7
8bc9631dd5fbc73a7a3d2371140b7768	see e0590ce8f30a0596c156813169d084a4, 6df285e937194ff513f5410ee96db9a7
8fc4415c0a0ee19303c0c0ea71fe116d	see bc7beead5f814c9deac02e8e9e6eef08
90cfbd426067d102ee61918482f0b9c9	see e0590ce8f30a0596c156813169d084a4, 6df285e937194ff513f5410ee96db9a7
91b8c95b8b16b74f4aae2e7a403c4f9d	see e0590ce8f30a0596c156813169d084a4, 6df285e937194ff513f5410ee96db9a7
99febe851b01182adbe2d48131029b2b	see 6df285e937194ff513f5410ee96db9a7
9d272c0bbffdf3939a4706d9f8a1a4e1	see bc7beead5f814c9deac02e8e9e6eef08
a3562ec24216048b99fc72b16dd3da33	see e0590ce8f30a0596c156813169d084a4, 6df285e937194ff513f5410ee96db9a7
ad44b4eaf6e934733dbb14fb0293277b	see e0590ce8f30a0596c156813169d084a4, 6df285e937194ff513f5410ee96db9a7
b0e246a9a0025de0074251580c7ec27a	see fef3c8bb17d9cd097681e521e7c83106
b25725415d08b82fc67062995f697179	see 6df285e937194ff513f5410ee96db9a7
b8b4fb5a2b0231cc78b9b185b3dc3531	see bc7beead5f814c9deac02e8e9e6eef08
bb7a03ba5385cf7ba52a73f8ec680c5b	see bc7beead5f814c9deac02e8e9e6eef08
bc750058e888dff3dff7e57786c24943	see e0590ce8f30a0596c156813169d084a4
bf7fbb89ed027b5112c3d07f6b0875a8	see 6df285e937194ff513f5410ee96db9a7
c58b0d4d890dc6e82cf6adb304ce04e6	see 6df285e937194ff513f5410ee96db9a7
cb1b113b4e73f24f205e72db9da056ab	see bc7beead5f814c9deac02e8e9e6eef08
dbefa53a9116f09b8c3a4968e49d30c3	see fef3c8bb17d9cd097681e521e7c83106
df2cb498993c58b21b890c8ed07f32f2	see 6df285e937194ff513f5410ee96db9a7
dfda68129ce0396362b36425468de5eb	see 6df285e937194ff513f5410ee96db9a7
e7fae2c0f3e0350ecf480f6ad0fac4dc	see e8858931d7bacf148c56f0026fea2f61
ec8248022f68dfdbbdca1754ba3afb59	see fef3c8bb17d9cd097681e521e7c83106
f05b674e9ab6050c1376d39dc3b66f0b	see e0590ce8f30a0596c156813169d084a4, 6df285e937194ff513f5410ee96db9a7
f29d236f7f52962a73384bbdb230f62d	see bc7beead5f814c9deac02e8e9e6eef08
fe1486bb76fe1b285dd3b9ce25424fd4	see bc7beead5f814c9deac02e8e9e6eef08

[Columpio]

Мои рекомендации к обсуждению в четверг:

1. Разделение типов ошибок с may be null/must be null семантикой NPE в репортах от куди
2. Разделить NPE и Null check after deref в куди
3. В KLEE нужен внешний контроль убийства солвера по лимиту времени (см. трассу 21).

[Columpio]

Все .bc запускались с TL 180 секунд, если не указано иначе

[Columpio]

Трассы ниже запускаются уже с TL 300 секунд

[Columpio]

Потенциальная проблема: куди считает, что глобальные объекты могут меняться всегда, поэтому klee нужно запускать с опцией --mock-mutable-globals=all, см, например, эту трассу на libpool_mr.so.bc.

[Columpio]

Иногда калькулятор расстояний не может понять, что из блока не достигается таргет, потому что в блоке есть инструкция вида
call void (%struct.LVOS_TRACEP_PARAM_S*, ...) %22(%struct.LVOS_TRACEP_PARAM_S* %24, i8* %1), !dbg !4071
(см., например, в коде функции isDSMStartWork в файле plog_common.c для трассы 1dd6632b78a57a187c73bab022213176).
Для блока этой инструкции имеем kCallBlock->calledFunctions.size() == 538, т.е., что из неё можно достичь любой другой функции.

[Columpio]

Для таких инструкций мы сейчас вырубили достижимость каких-либо вообще функций. В будущем нужно получать информацию о том, какие функции может вызвать инструкция, от стат. анализатора. Или хотя бы фильтровать по подходящему типу и т.п.

[Columpio]

На 3838d032ad7044f92c9801533b2489f5 состояния успешно достигают таргета Target : %419 in function allocPlogCommonMemory, но потом им нужно проверить, могут ли они достигнуть следующий таргет Target : %21 in function plog_crb_insert_map_node_unlock. getDistance говорит Miss, потому что следующий таргет указывает на вызов текущей функции:

21:                                               ; preds = %20
  %22 = call i8* @allocPlogCommonMemory(i32 16, i8* getelementptr inbounds ([32 x i8], [32 x i8]* @__FUNCTION__.plog_crb_insert_map_node_unlock, i64 0, i64 0), i32 284), !dbg !123183
  br label %23, !dbg !123184

а наш код в getDistance требует, чтобы мы считали достижимость от следующих за вызовом блоков

[Columpio]

Исправлено

[Columpio]

дефолтный --min-number-elements-li=4 слишком мал для этого теста, хватает 18 и больше, см трассу

[Columpio]

Репозиторий со скриптами и результатами здесь