安全关键系统的代码覆盖与静态分析
代码覆盖指标
代码覆盖测量的挑战
在安全关键系统的嵌入式软件开发中,代码覆盖的测量存在诸多困难。一方面,语句和分支覆盖难以准确衡量。例如,一组测试可能在C源程序中实现了100%的分支覆盖,但在生成的汇编代码中,分支覆盖可能仅为40%。另一方面,C语言中的内联代码和宏也可能导致不合理的覆盖值。若内联代码包含分支,该分支在代码插入的某些实例中可能被执行,而在其他实例中则不会。若测量覆盖的分析工具在内联发生后查看代码,就会报告存在未覆盖的代码,尽管实际上并不存在。宏的情况也是如此。
实现代码覆盖
有多种工具可用于生成至少能提供良好语句和分支覆盖的测试用例,开源的KLEE符号执行程序就是其中之一。在进行符号执行时,它会进行必要的分析,以确定驱动程序沿每条路径执行所需的变量值。以计算最大公约数的程序为例,KLEE生成了以下测试用例:
-m = 2147483647, n = 2147483647 (GCD = 2147483647)
-m = 50790404, n = 54463393 (GCD = 1)
-m = 679738981, n = 340287488 (GCD = 1)
这些测试用例分别对应不同的执行路径,形成了一个基础,可提供100%的入口点、语句、分支和基本路径覆盖。由于决策的简单性,它们还提供了100%的修正条件判定覆盖(MC/DC)。在笔记本电脑上,KLEE只需几秒钟就能推导出这些测试用例。
然而,自动生成的测试用例虽能提供出色的各种类型的覆盖,但在实际经验
