WO2013161057A1 - ソースコード検査方法及び装置 - Google Patents

Abstract

　ソフトウェアのソースコード検査技術の１つにモデル検査技術があるが、ソースコードの規模や複雑さに伴い、検査に要する時間的計算量および空間的計算量が膨大となり現実的に検査不能な場合がある。ソースコードを検査コードに変換する際に、ソースコードを抽象化し、計算量を削減するアプローチがあるが、ソースコードに含まれる複数の変数の値域が広い場合には、変数値の組合せによる状態数の爆発が起こることが知られている。 ソースコードを検査コードに変換する際、複数の変換ルールにより利用者が指定した抽象化を行い、ソースコードを抽象化して得られる汎化モデルに対して記号実行を行い、記号実行の結果に基づいて汎化モデルを再抽象化する。再抽象化した汎化モデルに対してモデル検査を行う。

Description

ソースコード検査方法及び装置

本発明は、ソースコード検査方法及び装置に係り、特に、ソフトウェアを検証する際に、検査に係る計算量の増大を抑制するために、計算機を活用してソースコードを抽象化した上で、計算機による記号実行ならびにモデル検査を実行する検査方法及び装置に関する。

　近年、ソフトウェアシステムが一般社会に浸透し、ソフトウェアに求められる信頼性が非常に高くなってきている一方で、ソフトウェアは複雑化および大規模化の一途をたどっており、手作業でのレビューや、テストによる品質確保が非常に困難になってきている。

　モデル検査技術は、たとえば非特許文献１に開示される方法であって、ソフトウェアの振舞いを、特定モデルチェッカの入力言語で記述し、特定モデルチェッカを実行することで、ソフトウェアが持つべき性質を満たしているかどうかを、前記ソフトウェアの取り得る状態を網羅的に検査する技術である。非特許文献１に開示される方法によると、ソフトウェアの振る舞いを、Promelaと呼ばれる入力言語で記述し、ソフトウェアが持つべき性質をLTLと呼ばれる時相論理式（時間との関連で問題を理解し、表現する論理式）で記述し、SPINと呼ばれるモデルチェッカにそれらを入力することで、検査を実施する。もしくは、ソフトウェアが持つべき性質として、到達可能性などSPINが予め検査機能をもつ性質について検査する場合には、時相論理式の入力は必要としない。

　モデル検査技術は複雑化及び大規模化の一途をたどるソフトウェアの品質確保に有望な技術であるが、ソフトウェアの取り得る状態を網羅的に検査するため、規模の大きなソフトウェアでは、検査すべき状態数が膨大な分量となる状態爆発と呼ばれる現象が起き、処理に必要な時間計算量が現実的に許容不可能な大きさとなる現象と、もしくは、処理に必要な空間計算量が処理に用いる計算機に搭載された記憶領域を超える現象の、両方もしくは一方が起き、検査を完了することができないことがあり得る。

　状態爆発に対応するために、抽象化と呼ばれる処理を、ソースコードもしくは検査コードに対して行い、状態数を検査可能な範囲まで削減することがある。抽象化は、例えば、選択的実行文の分岐条件の簡略化がある。抽象化によって、本来存在しない実行パスが生じる、もしくは、存在する実行パスが消滅することがあり得るため、検査コードに対する検査結果が示すソフトウェアの性質と、本来のソフトウェアの性質に差異が生まれることがあり得る。そのため、ソフトウェアに対して検査すべき性質に鑑み、抽象化の水準を検討した上で、抽象化を適用することが望ましい。

　さらに、モデル検査技術は、検査対象のソフトウェアを、特定モデルチェッカの入力言語で記述する労力が大きいことが実用上の問題となることがあり得る。

　検査対象のソフトウェアを抽象化し、特定モデルチェッカの入力言語に変換する手順を計算機を用いて実施する方法および装置として、たとえば非特許文献２に開示される方法および装置がある。図５に、特許文献２に開示される方法の概観を示す。非特許文献２によると、ソースコードを検査コードに変換する際、複数の変換ルールを選択する手段を提供し、利用者が容易に抽象化の水準を変更可能としている。また、複数の変換ルールは、ソースコードを中間形式に変換する変換ルールと、中間形式において抽象化を行う変換ルールと、中間形式から検査コードに変換する変換ルールとを含んでいる。

　モデル検査とは異なるソースコードの検査技術として、記号実行技術がある。記号実行技術は、記号シミュレーション、シンボリック実行、シンボリックシミュレーションとも呼ばれる。記号実行については、たとえば非特許文献３などに詳しく示されている。

　記号実行は、ソースコードに含まれる変数に具体的な値を代入して評価するのではなく、数値を代表する記号を用いて模擬的な実行を行い、その結果を評価する技術である。例えば、図８に示すプログラムに対象とするプログラムの例を示す。図８では、ソースコード内の命令を識別するために、行番号を記載した。命令を識別する目的を果たすならば、行番号以外の識別方法を用いてもよい。図８に示すプログラムに対して記号実行を行う場合、まず図９に模式的に示すような制御フローを得るための制御フロー解析を行う。制御フローとは、プログラムに含まれる命令がどのような順番に実行されうるかを示すデータ構造である。制御フローでは、ｉｆ文に代表される条件文や、ｗｈｉｌｅ文に代表される繰り返し文によって生じる分岐による、命令の実行順序の複数の可能性をたとえばツリー構造を用いて表現する。図９では、矩形（ツリーのノード）はプログラムに含まれる命令を表す。図９では、ノードとソースコードとの対応を示すため、ノードに対応するソースコードの行番号と命令文を記載した。ノードとソースコードとの対応を示す目的が果たせれば、他の表現形式でもよい。ノードとノードをつなぐ矢印（ツリーのエッジ）は、命令間の実行順序を表す。１つのノードから複数のノードにそれぞれ向かったエッジが存在する場合は、分岐を意味している。白丸は図９に示したプログラムの開始、黒丸は図９に示したプログラムの終了を示す。たとえば、ノード９０１は、ソースコード６０８の行番号００１に示された条件文「０＜ｘ」の評価を示す。エッジ９０２はノード９０１の評価結果が真の場合にノード９０３に実行が移ることを示す。エッジ９０３はノード９０１の評価結果が偽の場合にノード９０５に実行が移ることを示す。

　記号実行では、制御フローを基に記号を用いた模擬的な実行を行う。図１０に、図９に示す制御フローツリーを模擬的に実行した結果を模式的に示す。図１０のノードの上段は、変数の値を示す。ただし、元のソースコードとの対応づけのため、ソースコード中のどの命令を実行した結果であるかが分かるように行番号を記載した。実行した命令と模擬的な実行結果との対応づける目的を果たせば、行番号以外の他の表現形式を用いて良い。ノードの下段は該当の値を取る条件（パスコンディション）を示す。図１０のノード１００１では、初期状態として変数ｘの値をＸ、変数ｙの値をＹ、変数ｚの値をＺと定義している。プログラムの開始であるので、パスコンディションはｔｒｕｅ、つまり無条件に該当の値をとることを意味する。図１０のエッジ１００２では、パスコンディション［０＜ｘ］が成り立つ場合を示し、ノード１００３では、ソースコード６０８の行番号００２の命令を実行することにより、変数ｘはＸ＋１、変数ｙはＹ、変数ｚはＺという値をそれぞれ持つことを意味する。以下同様に、記号を用いた模擬的な実行と、パスコンディションの積み上げにより、最終状態の各変数の値の記号表現と、当該の値を持つ条件を得ることができる。

特開２０００－１８１７５０号公報 特開２０１２－０５９０２６号公報

Gerard J. Holzmann, "The SPIN Model Checker: Primer and Reference Manual", Addison-Wesley Professional, 2003, ISBN: 978-0321228628 玉井哲夫、福永光一、"記号実行システム" 情報処理、pp.18-28、1982/1/15 The Object Management Group, "Meta Object Facility (MOF) Core Specification", formal/06-01-01, January 2006, http://www.omg.org/spec/MOF/2.0/PDF The Object Management Group , "Meta Object Facility (MOF) 2.0 Query/View/Transformation Specification", formal/2008-04-03, April 2008, http://www.omg.org/spec/QVT/1.0/PDF W3C, "Extensible Markup Language (XML) 1.1 (Second Edition)", W3C Recommendation 16 August 2006, edited in place 29 September 2006, http://www.w3.org/TR/2006/REC-xml11-20060816

　モデル検査によるソフトウェアの信頼性確保を有効に実施するためには、ソースコードからモデルチェッカの入力言語で記述された検査用コードを自動生成するなどの方法により、検査用コードを得るための労力を低減させること、および、ソフトウェアの仕様および設計を、モデルチェッカによる網羅的検査が現実的な時間計算量および空間計算量（所定の処理を実行するための記憶領域の容量、及び時間）で終了するように抽象化することが必要となる。

　特許文献２に開示される方法によると、特許文献２に示すソースコード変換装置を用いて、ソースコードを抽象化することにより、モデルチェッカによるモデル検査に要する時間計算量、空間計算量の削減が可能である。しかし、特許文献２に限らず、モデル検査技術に共通する別の問題として、ソースコードに含まれる変数の値に関する検査が困難なことが挙げられる。モデル検査技術では、複数の変数の値の組合せを状態として扱う。各変数の取りうる値の可能性と、それらの組合せを網羅的に検査することから、変数の値に関する検査をモデル検査技術で実施する場合は、状態爆発を起こす可能性が高い。特許文献２には、本問題に係る解決には言及していない。

　他方、記号実行を実施する場合には、ソースコードに含まれる変数に対して、具体的な値を代入して探索することはせず、記号を用いて模擬的に実行を行う。そのため、変数が取りうる値の可能性による状態数の増加は少ない。しかし、ソースコードに含まれる分岐によって制御フローツリーも分岐し、エッジおよびノードが増加する。分岐が複数ある場合には、組合せ的にフローツリーが分岐していく。このため、分岐による時間計算量および空間計算量の増大を生じる。

　また、記号実行には、その原理を起因として、計算が難しいプログラム構造がある。たとえば（１）関数呼出し（２）動的なメモリアクセス（３）繰り返しがある。さらに、ソースコードに対する記号実行を行う場合、ソースコードの意味論を解釈する必要がある。ソースコードの意味論は、ソースコードの実装に用いているプログラム言語、たとえばＣ言語、たとえばＪａｖａ（登録商標）などに依存するため、プログラム言語によって異なる意味論に対応した記号実行方法を開発しなければならない。

　さらに、多くのソフトウェアまたはソフトウェアにより制御される装置は、他のソフトウェアもしくは他の装置と相互作用しながら動作する。そのため、ソフトウェアに対して入力される値によってソフトウェアによる計算結果が決定するだけでなく、他のソフトウェアや装置との間の相互作用に伴う入力のタイミングによってもソフトウェアの計算結果が決定される。しかし、記号実行では、ソースコードが示す制御フローを基に模擬的な実行を行うため、特定の入力に対して対応する結果が得られることは検査できるものの、当該の入力が他のソフトウェアもしくは装置との相互作用において存在しうるかどうかについては検査できない。

　本発明は、従来の技術の課題を踏まえ、現実的な時間計算量および空間計算量で検査を終了するソースコード検査方法およびソースコード検査プログラムを提供することを目的とする。

　本発明のソースコード検査装置によるソースコード検査方法は、ソフトウェアのソースコードを入力するステップと、異なる複数の変換ルールを入力するステップと、前記ソースコードを、前記異なる複数の変換ルールをつぎつぎと適用して抽象化するステップと、　　　　　　　　　　　
ソースコードを抽象化して得られた汎化モデルに対して記号実行を行うステップと、記号実行の結果に基づいて更に抽象化を実施するステップと、検証ツールの入力言語で記述された検査コードに変換するステップとを有することを特徴とする。

　即ち、本発明では以下の手順を実行する。

　（１）実装―汎化変換ルールを用いて、ソースコードの内容を記号化して中間形式に変換し、と抽象化変換ルールを用いて抽象化を行って汎化モデルを生成する。（ソースコードの抽象化）
　（２）プログラム（ソースコード）のロジックに従って、上記（１）で生成した汎化モデルの中の変数を適宜置き換えることにより、汎化モデルの記号実行を行う。その際、ソースコードの判定文では、判定結果が仮に「真」の場合、及び「偽」の場合を想定して記号実行の処理を行う。

　（３）上記（２）の記号実行の結果を反映し抽象化変換ルールを用いて、上記（１）で生成した汎化モデルを更に抽象化し、汎化―検査変換ルールを用いて汎化モデルを変換して検査コードを生成する。（記号実行の結果に基づいた汎化モデルの抽象化）
　（４）上記（３）で生成した検査コードをモデルチェッカでチェックすることにより、結果的に、ソースコードの検査が行われる。

　本発明によれば、ソースコードの抽象化により記号実行に係る時間計算量および空間計算量を削減するとともに、記号実行の結果に基づく再抽象化により、後段の検査に係る時間計算量および空間計算量を更に削減できる。そのため、検査に係る計算量を大幅に削減することにより、従来、現実的な時間および計算機の記憶容量では実現不可能であった検査を実現できる。

本発明のソースコード検査装置の構成例を示す図である。 本発明のソースコード検査プログラムの構成例の概要を示す図である。 本発明のソースコード検査プログラムの構成例を示す図である。 本発明の実施例に係るソースコード検査プログラムの構成例を示す図である。 従来のソースコード変換装置の概要を示す図である。 本発明の第一の実施例に係るソースコード変換部の構成例を示す図である。 本発明の第一の実施例に係る記号実行部の構成例を示す図である。 検査対象となるソースコードの例を示す図である。 制御フローグラフの例を示す図である。 記号実行結果の例を示す図である。 本発明のソースコード検査装置の動作手順の概要を説明する図である。 本発明のソースコード検査プログラムの動作手順の概要を説明する図である。 本発明のソースコード検査プログラムの動作手順のより詳細を説明する図である。 本発明の第一の実施例に係るソースコード変換プログラムの動作手順を説明する図である。 本発明の第二の実施例に係るソースコード変換部の構成例を示す図である。 本発明の第四の実施例に係るソースコード変換部の構成例を示す図である。

　本発明では、異なる複数の変換ルールを用いて検査対象のソースコードをモデルチェッカの入力言語で記述された検査コードへと変換し、前記検査コードを入力としてモデルチェッカによるモデル検査を実行する。前記異なる複数の変換ルールは、検査対象のソースコードをモデルチェッカの入力言語で記述された検査コードへと変換し、抽象化する一連の処理を細粒度に分割したものであり、複数の変換ルールを組み合わせて用いることにより、前記ソースコードから前記検査コードへの変換が実現される。

　本発明において、前記検査対象のソースコードから、前記検査コードへの変換の過程において、変換の中間生成物である汎化モデルに対する記号実行を行う。

　検査対象のソースコードを検査コードへと変換する一連の処理を、抽象化の処理も含めて、いくつかの処理に分割し、分割された一連の変換処理のそれぞれ異なる「変換ルール」を適用する。本発明で用いるソースコード変換部は、ソースコードを検査コードへ変換する時、異なる複数の変換ルールが、利用者によって、選択され、入力されるためのインタフェースを所有する。前記変換ルールは、事前にソースコード変換装置内部に蓄積された複数の変換ルールの中からの選択と、利用者の記述と、のいずれかの手段により入力される。なお、本発明におけるソースコード変換は、たとえば前記特許文献２において示されるソースコード変換方法を用いて良い。

　また、前記特許文献２によれば、変換ルールは、ソースコードを、前記ソースコードの記述言語に依存しない、汎化されたプログラム情報をもつ形式（汎化モデル）へと変換する実装－汎化変換ルールと、汎化モデルを抽象化する抽象化変換ルールと、抽象化された汎化モデルをモデルチェッカの記述言語へと変換する汎化－検査変換ルールに分類される。本発明においては、記号実行の対象を汎化モデルとする。

　即ち、本発明では以下の手順を実行する。（処理概要の説明）
　（１）実装―汎化変換ルールを用いて、ソースコードの内容を記号化して中間形式に変換し、と抽象化変換ルールを用いて抽象化を行って汎化モデルを生成する。（ソースコードの抽象化）
　（２）プログラム（ソースコード）のロジックに従って、上記（１）で生成した汎化モデルの中の変数を適宜置き換えることにより、汎化モデルの記号実行を行う。その際、ソースコードの判定文では、判定結果が仮に「真」の場合、及び「偽」の場合を想定して記号実行の処理を行う。

　（３）上記（２）の記号実行の結果を反映し抽象化変換ルールを用いて、上記（１）で生成した汎化モデルを更に抽象化し、汎化―検査変換ルールを用いて汎化モデルを変換して検査コードを生成する。（記号実行の結果に基づいた汎化モデルの抽象化）
　以下、図面を参照して本発明の実施形態について説明する。  
　（動作の説明）
　図１は、本発明のソースコード検査装置のシステム構成図である。図１に示すソースコード検査装置は、通常の計算機（処理装置）を用いて実現される。図１１は、本発明のソースコード検査装置の動作フローである。

　本発明のソースコード検査装置は、検査プログラム００６として実現され、メインメモリ００２に格納される。検査の対象となるソースコード００７と、ソースコードを変換するために用いる変換ルール００８は、あらかじめファイル装置００３などに記録される。キーボードやマウスなどの入力装置００４から、検査するプログラム００７の指定と、用いる変換ルール００８の指定を行う（Ｓ１１００１）。中央処理装置００１は、メインメモリ００２中の検査プログラム００６の指令を受け、ファイル装置００３から検査対象となるソースコード００７と変換ルール００８を読みだす（Ｓ１１００２）。ついで、中央処理装置００１は、変換ルール００８の記述に基づく抽象化および記号実行およびモデル検査を実施する（Ｓ１１００３）。さらに中央処理装置００１は、記号実行またはモデル検査またはそれらの両方による検査結果を、ディスプレイ等の出力装置００５に表示する、もしくはファイル装置や記憶装置等に出力する（Ｓ１１００４）。

　図２は、本発明を構成するソースコード検査プログラムの構成の概要図である。本発明のソースコード検査プログラムは、ソースコード変換部２０１、記号実行部２０２、モデル検査部２０４からなる。

　図１２は、本発明を構成するソースコード検査プログラム００６の概要動作フローである。まず、ファイル装置００３に格納されたソースコード００７と変換ルール集合００８をソースコード変換部２０１が読みとる（Ｓ１２０１）。ここで、読みとるソースコードと変換ルール集合は、図１における入力装置００４から指示するものとする。ソースコード変換部２０１は、変換ルール集合００８の記述に従い、ソースコード００７を変換する（Ｓ１２０２）。ソースコード変換部２０１の動作は、特許文献２に準ずるものとする。

　ついで、ソースコード変換部２０１による変換結果を記号実行部２０２に受け渡し、記号実行部２０２は記号実行を実行し結果をソースコード変換部２０１に返す（Ｓ１２０３）。ここで、ソースコード変換部２０１と記号実行部２０２との間でのデータの受け渡しは、メインメモリ００２を用いた受け渡しでも、ファイル装置００３を用いた受け渡しでも良い。

　ついで、ソースコード変換部２０１は記号実行の結果を受け取り、変換ルールに従って更に変換処理を行い、ソースコード変換部２０１の変換結果である検査コード２０３を出力する（Ｓ１２０４）。出力先はファイル装置００３であってもメインメモリ００２であってもよい。

　ついで、モデル検査部２０４は検査コード２０３を読みとり、モデル検査を実行し、モデル検査の結果２０５を出力する（Ｓ１２０５）。

　図３は、本発明を構成するソースコード検査プログラム００６のより詳細な構成図である。本発明のソースコード検査プログラム００６は、ソースコード変換部２０１、記号実行部２０２、モデル検査部２０４からなる。さらに、ソースコード変換部２０１は、入力部３１０１、変換処理部３１０２、出力部３１０３、記憶部３１０４、記号実行インタフェース部３０１５からなる。さらに、記号実行部２０２は、モデルインタフェース部３２０１と、記号実行処理部３２０２からなる。ここで記号実行インタフェース部３１０５と、モデルインタフェース部３２０１とは、変換処理部３１０２と記号実行処理部３２０２との間での情報の受け渡しを行う目的を果たす限り、独立した部位ではなく一体不可分な部位として実装してもよい。

　図１３は、本発明を構成するソースコード検査プログラム００６の動作フローである。

　まず、ファイル装置００３に格納された変換ルール集合００８は記憶部３１０４に記憶される（Ｓ１３０１）。つぎに入力部３１０１によりファイル装置００３に格納された検査対象となるソースコード００７が記憶部３１０４に読みとられる（Ｓ１３０２）。なお、これらの順序は逆でもよい。ステップＳ１３０１，Ｓ１３０２は図１２のステップＳ１２０１に対応する。

　次に変換処理部３１０２は、記憶部３１０４に格納された変換ルール集合００８を用いてソースコードの変換処理を行う（Ｓ１３０３）。ここで、入力部３１０１および変換処理部３１０２の動作は、特許文献２に準ずるものとする。ついで、変換処理部３１０２による変換結果は、記号実行インタフェース部３１０５およびモデルインタフェース部３２０１を介して、記号実行処理部３２０２に受け渡す（Ｓ１３０４）。ステップＳ１３０３，Ｓ１３０４は図１２のステップＳ１２０２に対応する。

　記号実行処理部３２０２は、記号実行を実行し（Ｓ１３０５）、当該記号実行の結果をモデルインタフェース部３２０１と記号実行インタフェース部３１０５を介してソースコード変換部２０１に返す（Ｓ１３０６）。ここで、変換処理部３１０２から記号実行部３２０２に受け渡される変換結果は、一部の変換ルールによる変換を行った中間結果であってよい。すなわち、特許文献２に示すところの、汎化モデルであってよい。また、ソースコード変換部２０１と記号実行部２０２との間でのデータの受け渡しは、メインメモリ００２を用いた受け渡しでも、ファイル装置００３を用いた受け渡しでも良い。ステップＳ１３０５，Ｓ１３０６は図１２のステップＳ１２０３に対応する。

　ついで、変換処理部３１０２は、記号実行の結果を記号実行インタフェース部３１０５より受け取り、変換ルールに従って更に変換処理を行う（Ｓ１３０７）。ついで、出力部３１０３は変換処理部３１０２の変換結果である検査コード２０３を出力する（Ｓ１３０８）。出力先はファイル装置００３であってもメインメモリ００２であってもよい。ステップＳ１３０７，Ｓ１３０８は図１２のステップＳ１２０４に対応する。

　ついで、モデル検査部２０４は、検査コードを読みとり、モデル検査を実行し、モデル検査の結果２０５を出力する（Ｓ１３０９）。ステップＳ１３０９は図１２のステップＳ１２０５に対応する。

　本発明によれば、検査対象とするソースコードを変換した汎化モデルを対象として記号実行を行う。特許文献２によれば、汎化モデルはソースコードを特定のプログラム言語に依存しない中間言語に変換したものであることから、検査対象となるソースコードのプログラム言語が変更になったとしても、記号実行部２０２は同一のものを使用することができる。また、変換ルールを定義することでプログラム言語に依存して記号実行が難しいプログラム構造を、記号実行しやすいプログラム構造に変換することができる。

　また、本発明によれば、記号実行の結果を用いて、汎化モデルを更に変換する。このとき、記号実行の結果として得られるパスコンディションを参照し、後段のモデル検査に必要のない部分を汎化モデルから省略することができる。換言すれば、変数の値に関する検査をしたい場合、記号実行により得られるパスコンディションが変数の値を充足するか否かをチェックして検査に不要な分岐を削除する変換ルールを用いて、変換処理部３１０２において汎化モデルにおける検査に不要な分岐を削除した後、検査コードを出力し、モデル検査部２０４においてモデル検査を実行することができる。これにより、モデル検査に係る時間計算量と空間計算量を削減することができる。

　さらに、本発明によれば、相互作用を持つ複数のプログラムからなるシステムの検査において、検査したい性質が出現する主たるソースコードを変換して得られる汎化モデルに対して記号実行を行って、検査したい性質が出現する条件を得たのち、主たるソースコードと相互作用を持つ他の従たるソースコードとを合成してモデル検査を行うことができる。これにより、記号実行が特定の入力に対して行われ、対応する結果が得られることは検査できるものの、当該の入力が他のソフトウェアもしくは装置との相互作用において存在しうるかどうかについては検査できないという課題に対して、モデル検査を用いることで実際に相互作用が存在するか否かを検査することができる。ここで、従たるソースコードは複数であってもよい。また、従たるソースコードの一部が、ソフトウェアではない主たるソフトウェアに作用する装置の動作を模擬するソースコードであってもよい。

　（処理フローの説明）
　次に、本発明の第１の実施例になるソースコード検査プログラム００６を、図４と図６と図７とを参照しながら説明する。

　図４は、本発明に係るソースコード検査プログラム００６のうち、ソースコード変換部２０１および記号実行部２０２の構成例を示す図である。図６は、ソースコード変換部２０１と記号実行部２０２に関するデータフローを示す図である。図７は記号実行部２０２の構成の詳細を示す図である。

　図４に示すように、入力部３１０１は、ソースコード入力部３１１０と、変換ルール入力部３１１１とを有する。変換処理部３１０２は、モデル構築部３１２１、実装－汎化モデル変換部３１２２、抽象化モデル変換部３１２３、及び、汎化－検査モデル変換部３１２４を備えている。出力部３１０３は、検査コード書出し部３１３１を有する。記憶部３１０４は、変換ルールデータベース３１４１、メタモデルデータベース３１４２、および、書出しルールデータベース３１４３を有する。記号実行インタフェース部３１０５は、汎化モデル出力部３１５１と記号実行結果入力部３１５２とを備える。

　入力部３１０１は、ユーザによって入力されるデータを受付け、入力されたデータを変換処理部３１０２へと供給する処理を行う。入力部３１０１は、ソースコード００７に関する情報と、いくつかに分割された処理のそれぞれに適用する複数の変換ルール、すなわち「変換ルール集合」００８に関する情報とを受付け、変換処理部３１０２へ供給する。ある実施形態においては、入力部３１０１は、ユーザによる、変換処理部の駆動や制御、出力部の駆動や制御、記号実行部の駆動や制御、に関する指示を受け付けてもよい。変換処理部３１０２は、たとえば特許文献２に記載されているソースコード変換装置の変換処理部を用いてよい。

　変換処理部３１０２は、入力部３１０１より、ソースコード００７の情報６０１と、ソースコード００７に適用すべき変換ルール集合００８の情報とを供給され、ソースコード情報６０１を、変換ルール集合００８により変換する処理を行い、変換結果の情報を、出力部３１０３に供給する。他の実施形態においては、入力部３１０１より供給される変換ルール集合００８に関する情報は、記憶部に格納された変換ルールを指し示す識別情報のみが含まれていて、変換ルール集合００８の実体を、前記識別情報を用いて記憶部３１０４より取り出し、変換に用いてもよい。変換処理部３１０２は、モデル構築部３１２１と、実装－汎化モデル変換部３１２２と、抽象化モデル変換部３１２３と、汎化－検査モデル変換部３１２４とを有する。

　図６に示すように、本実施形態において、変換処理部３１０２は、メタモデルと、変換ルールを用いたモデル変換により、ソースコード情報６０１を、検査モデル６０５へと変換する。メタ・実装モデル６２０と、メタ・汎化モデル６２１と、メタ・検査モデル６２２とは、例えば、非特許文献３に記載のMOFにて記述する。また、例えば、非特許文献４に記載されているQVTにて、実装－汎化変換ルール６０２と、抽象化変換ルール６０３と、汎化－検査変換ルール６０４とを記述し、モデルの変換を行う。前記変換は、既に例示した方法の他のモデル変換方法でも良く、また、複数の方法を混在させてもよい。

　モデル構築部３１２１は、ソースコード入力部３１１０からソースコード情報６０１を受け取り、実装モデル６０６へと変換する。実装モデル６０６の形式は、そのメタモデルであるメタ・実装モデル６２０により、定義される。実装モデル６０６は、本発明の効果を最大限に得るためには、ソースコード情報６０１と相互に変換するのに必要十分な情報を持つことが望ましいが、ある実施形態によっては、検査コードを出力するという目的を逸しない程度にて、情報の省略や、追加があってもかまわない。

　実装－汎化モデル変換部３１２２は、実装－汎化変換ルール６０２と、メタ・実装モデル６２０と、メタ・汎化モデル６２１とを用いて、実装モデル６０６を、汎化モデル６０７へと、変換する。汎化モデルは、複数のプログラミング言語における構造や処理を表現可能なデータ構造をもつ。例えば、汎化モデル中では、ソースコード００７におけるIf文とSwitch文とを区別せず、選択的実行文として表現する。

　他の実施形態においては、実装モデル６０６を、汎化モデル６０７へと変換する際、実装－汎化変換ルール６０２のみを用いることもあり得る。また、他の実施形態において、実装－汎化変換ルール６０２が、複数の変換ルールを含む場合には、複数の変換ルールを統合して１つの変換ルールとし、実装モデル６０６から汎化モデル６０７への変換に利用する方法があり得る。また、ある実施形態において、実装－汎化変換ルール６０２が、複数の変換ルールを含む場合には、変換処理を複数回繰り返すことで、実装モデル６０６から汎化モデル６０７への変換を行う手順があり得る。

　抽象化モデル変換部３１２３は、抽象化変換ルール６０３と、メタ・汎化モデル６２１とを用いて、汎化モデル６０７の抽象化を行う。抽象化の例としては、選択文における条件式を、恒真、もしくは恒偽、もしくは非決定的な選択で置き換える方法があり得る。

　他の実施形態においては、汎化モデル６０７を抽象化する際、抽象化変換ルール６０３のみを用いることもあり得る。また、他の実施形態において、抽象化変換ルール６０３が、複数の変換ルールを含む場合には、複数の変換ルールを統合して１つの変換ルールとし、汎化モデル６０７の抽象化に用いる方法があり得る。また、他の実施形態において、抽象化変換ルール６０３が、複数の変換ルールを含む場合には、変換処理を複数回繰り返すことで、汎化モデル６０７の変換を行う手順があり得る。

　汎化－検査モデル変換部３１２４は、汎化－検査変換ルール６０４と、メタ・汎化モデル６２１と、メタ・検査モデル６２２とを用いて、汎化モデル６０７を、検査モデル６０５へと、変換する。例えば、検査コード２０３がPromela形式である場合、汎化モデルにおいて選択的実行文として表現された要素は、検査モデルにおいてはIF文として表現される。

　他の実施形態においては、汎化モデル６０７を、検査モデル６０５へと変換する際、汎化－検査変換ルール６０４のみを用いることもあり得る。また、他の実施形態において、汎化－検査変換ルール６０４が、複数の変換ルールを含む場合には、複数の変換ルールを統合して１つの変換ルールとし、汎化モデル６０７から検査モデル６０５への変換に利用する方法があり得る。また、他の実施形態において、汎化－検査変換ルール６０４が、複数の変換ルールを含む場合には、変換処理を複数回繰り返すことで、汎化モデル６０７から検査モデル６０５への変換を行う手順があり得る。

　記号実行インタフェース部３１０５は、汎化モデル出力部３１５１と、記号実行結果入力部３１５２を有する。汎化モデル出力部３１５２は、変換処理部３１０２から汎化モデルを供給され、汎化モデル情報６０８を記号実行部２０２に供給する役割と、記号実行部２０２における記号実行結果情報６１０を供給され、変換処理部３１０２に前記記号実行結果情報６１０を供給する役割を果たす。変換処理部３１０２から供給される汎化モデル情報６０８と、記号実行部に供給する汎化モデル６０７とは、同一の情報を有しても、記号実行に必要な情報のみを有してもよい。また、変換処理部３１０２から供給された汎化モデルの実装形態と、記号実行インタフェース部３１０５が供給する汎化モデルの実装形態が異なっていてもよい。

　出力部３１０３は、変換処理部３１０２より供給された、変換結果の情報を用いて、検査コード２０３を出力する。ある実施形態においては、検査コード２０３の出力に際して、例えばモデルチェッカの記述言語の文法情報などの情報を記憶部から供給されてもよい。

　検査コード書出し部３１３１は、メタ・検査モデル６２２と、記憶部３１０４の書出しルールデータベース３１４３から取得した検査コード書出しルール６１１とを用いて、検査モデル６０５を検査コード２０３へと変換する。たとえば、非特許文献５に記載される方法にて、検査コード書出しルール６１１を記述し、検査モデル６０５から、検査コード２０３への変換を行う。他の実施例においては、これに限らず、検査モデル６０５を、検査に利用するモデルチェッカの記述形式へと変換する任意の方法でもよい。検査コード２０３は、例えば、モデルチェッカとしてＳＰＩＮを用いる場合には、ＳＰＩＮの入力言語である、Ｐｒｏｍｅｌａにより記述される。

　記憶部３１０４において、変換ルールデータベース３１４１と、メタモデルデータベース３１４２と、書出しルールデータベース３１４３のそれぞれは、例えば、関係データベース、もしくは、階層型データベースなどの、コンピュータ上にて実現される任意のデータ格納方式で実現される。変換ルールデータベース３１４１と、メタモデルデータベース３１４２と、書出しルールデータベース３１４３と、は互いに同一の方式で実現されている必要性は無く、互いに異なる方式で実現されていてもよい。また、変換ルールデータベース３１４１と、メタモデルデータベース３１４２と、書出しルールデータベース３１４３と、のそれぞれは、単一の方式で実現されている必要性は無く、例えば、保有すべき情報の一部を関係データベースに格納し、保有すべき情報の一部を、発明を実現するコンピュータプログラム中に組込むなど、それぞれ異なる方式の組み合わせで実現されていてもよい。

　記憶部３１０４は、入力部３１０１と、変換処理部３１０２と、出力部３１０３とが、それぞれの処理を行うのに必要な情報を供給する。例えば、記憶部３１０４は、変換ルールに関する情報と、メタモデルに関する情報と、モデルチェッカの記述言語の文法に関する情報とを格納する。

　変換ルールデータベース３１４１は、既に述べたとおり、変換ルールを、メタデータとともに保有する。前記メタデータは、変換ルールを選択するためのものであり、実装－汎化変換ルール６０２と、抽象化変換ルール６０３と、汎化－検査変換ルール６０４の、それぞれ異なる情報を持つ方法があり得る。実装－汎化変換ルール６０２のメタデータは、例えば、変換元ソースコードの記述言語の種類があり得る。抽象化変換ルール６０３のメタデータは、例えば、抽象化を分かりやすく端的に表現した名前、簡単な説明、「データの抽象化」、「処理の抽象化」などの抽象化の種別、自然語もしくはアルファベットや数値で表現された抽象化による状態数削減効果、自然語もしくはアルファベットや数値で表現された抽象化による性質への影響、抽象化の適用できるソフトウェアのドメイン、があり得る。汎化－検査変換ルール６０４メタデータは、例えば、検査に使用するモデルチェッカを指し示す名前があり得る。

　図７に示すように、記号実行部２０２は、モデルインタフェース部３２０１と、記号実行処理部３２０２とからなる。モデルインタフェース部３２０１は、ソースコード変換部２０１の記号実行インタフェース３１０５が供給する汎化モデル情報６０８を入力とし、記号実行処理部３２０２に前記汎化モデル情報７０１を供給する役割と、記号実行処理部３２０２の処理結果情報７０２を入力とし、ソースコード変換部２０１の記号実行インタフェース部３１０５に処理結果６１０を供給する役割をもつ。

　記号実行処理部３２０２は、モデルインタフェース部３２０１より供給された汎化モデル情報７０１を入力とし、記号実行処理を実行し、記号実行の結果をモデルインタフェース部３２０１に供給する。記号実行処理とは、たとえば非特許文献１に示される処理を実行する。ここで、記号実行とは、プログラム（ソースコード）のロジックに従って、ソースコードの中の変数を適宜置き換えることにより、あたかもプログラムが実行されたかのような処理を行うことであり、特に、ソースコードの判定文では、判定結果が仮に「真」の場合、及び「偽」の場合を想定してこの記号実行の処理が行われる。

　他の実施例においては、記号実行インタフェース部３１０５とモデルインタフェース部３２０１とは、不可分な様態で実装され、変換処理部３１０２から供給された汎化モデル６０７を、記号実行処理部３２０２に供給し、記号実行部２０２から供給された記号実行結果３２１２を変換処理部３１０２に供給してもよい。

　以降、入力部３１０１、変換処理部３１０２、記憶部３１０４、出力部３１０３の詳細な動作は、たとえば特許文献２の実施例に準ずる場合を例として、記号実行インタフェース部３１０５、モデルインタフェース部３２０１、記号実行処理部３２０２の詳細について説明する。

　まず、本実施例におけるソースコード変換部２０１が実行するソースコード変換プログラムの処理手順を、図１４を参照しながら説明する。

　汎化モデル出力部３１５１は、実装-汎化モデル変換部３１２２が変換した結果である汎化モデル６０７を入力とする（Ｓ１４０１）。次に、汎化モデル出力部３１５１は、記憶部３１０４に記憶されているメタモデルデータベース３１４２から、前記汎化モデルを定義するメタ汎化モデル６２１を読みだす。汎化モデル出力部３１５１は、汎化モデル６０７の前記メタ汎化モデル６２１を参照し、前記汎化モデル６０７を記号実行するためのモデル情報６０８を生成する（Ｓ１４０２）。なお、前記汎化モデルの入力と、汎化モデルの前記メタモデルの読みだしは、順序が逆になってもよい。

　ついで、汎化モデル出力部３１５１は、汎化モデル情報６０８をモデルインタフェース部３２０１の汎化モデル入力部３２１１に受け渡す（Ｓ１４０３）。汎化モデル情報６０８は、計算機可読な表現形式、たとえば、非特許文献５に示されるＸＭＬ形式を用いて表現することができる。他の表現形式でもよい。また、記号実行インタフェース部３１０５と、汎化モデル入力部３２１１との間での、汎化モデルの受け渡しは、メモリ領域を介しても、通信路を介しても、ファイルシステムを介しても、他の任意の方法であってもよい。

　つぎに、モデルインタフェース部３２０１の汎化モデル入力部３２１１は、受け渡された汎化モデル情報６０８を記号処理部３２０２に渡す（Ｓ１４０４）。

　ついで、汎化モデル入力部３２１１は、汎化モデル情報６０８に含まれる情報のうち、記号実行処理部３２０２が利用する情報を抽出する（Ｓ１４０５）。記号実行処理部３２０２が利用する情報とは、少なくとも制御フローグラフを含む。詳しくは、非特許文献１に記載があるが、たとえば図９に示すグラフに関する情報を含む。

　つぎに、汎化モデル入力部３２１１は、前記抽出した情報を、記号実行処理部３２０２に受け渡す（Ｓ１４０６）。前記抽出した情報は、計算機可読な表現形式、たとえば、非特許文献５に示されるＸＭＬ形式を用いて表現することができる。他の表現形式でもよい。また、前記抽出した情報の受け渡しは、メモリ領域を介しても、通信路を介しても、ファイルシステムを介しても、他の任意の方法であってもよい。

　つぎに、記号実行処理部３２０２は、入力された情報を入力し、記号実行をおこなう。（Ｓ１４０７）。たとえば、図９に制御フローグラフが入力である場合の例を示す。記号実行処理部３２０２は、制御フローグラフの制御開始位置、すなわち図９の例で言えば白丸９００から順に、グラフの接続関係を順にたどりながら、図１０に模式的に示す記号実行ツリーを生成する。たとえば、図９の例を用いて説明すると、まずソースコード００７に含まれる各変数に対して、初期の値を示す記号を割り当てる。図１０の例では、変数ｘの初期値を記号Ｘ、変数ｙの初期値を記号Ｙ、変数ｚの初期値を記号Ｚとして割り当てる（１００１）。割り当てる記号は、記号実行処理部３２０２が無作為もしくは変数名を変形して自動的に決定してもよい。ある実施の形態では、ソースコード検査装置の使用者が初期の記号を入力部から入力してもよい。

　ついで、図９のノード９０１は条件文であるので、ノード９０１に対応したエッジ１００２とエッジ１００３を生成する。エッジ１００２はノード９０１の条件式が真になる場合、エッジ１００３はノード９０１の条件式が偽になる場合を意味する。ついで、図９のノード９０３に対して、ノード９０３はノード９０２の条件式が真となる場合を意味するため、図１０のエッジ１００２に続くエッジ１００４を生成する。

　さらに、ノード９０３とノード９０４とに示される代入文を、ノード１００１に適用した場合の各変数の値を記号的に計算する。エッジ１００４の上段が前記計算の結果を示す。同時に、ノード１００４の値となるのは、エッジ１００２の条件が成立する場合であるので、ノード１００４のパスコンディションとして、エッジ１００２の条件を加える。

　ここで、ノード９０３とノード９０４との間に分岐が存在しないため、両ノードの代入を順に行った結果を一度にノード１００４に示しているが、ノード９０３の計算とノード９０４の計算とを独立して行っても構わない。

　以降、図９の制御フローグラフを順にたどりながら記号的な計算およびパスコンディションの決定を繰り返すことで、図１０に模式的に示す記号実行結果を得られる。なお、図９の制御フローグラフを順にたどる際には、深さ優先探索を用いても、幅優先探索を用いても良い。記号実行処理部３２０２は、記号実行結果情報７０２を、記号実行結果出力部３２１２に受け渡す。記号実行結果情報の例は、たとえば図１０に模式的に示すグラフである。

　記号実行結果出力部３２１２は、前記記号実行結果情報６１０を、記号実行結果入力部３１５２に受け渡す（Ｓ１４０８）。前記記号実行結果情報６１０は、軽算機可読な表現形式、たとえば、非特許文献５に示されるＸＭＬ形式を用いて表現することができる。他の表現形式でもよい。また、前記抽出した情報の受け渡しは、メモリ領域を介しても、通信路を介しても、ファイルシステムを介しても、他の任意の方法であってもよい。

　記号実行結果入力部３１５２は、受け入れた記号実行結果情報６１０を解釈し、抽象化モデル変換部３１２３に供給する（Ｓ１４０９）。

　抽象化モデル変換部３１２３は、記号実行結果情報６１０を入力し、変換ルールデータベース３１４１に含まれる抽象化変換ルール６０３に従って、汎化モデル６０７を変換する（Ｓ１４１０）。ここで、記号実行結果を用いた変換方法は、変換ルールとして記述することができる。

　ここで、図８に示すソースコードに対する汎化モデルに対して記号実行を行った結果が図１０である場合を例に説明する。たとえば、検査したい前提条件として、変数ｘと変数ｙの値が異なる入力であって、ソースコードを実行した結果変数ｘと変数ｙの値が一致する場合という条件がある場合、図１０の記号実行結果ツリーの末端を参照すると、ノード１００５とノード１００６とが前提条件を満たし、ノード１００７は前提条件を満たさないことがわかる。すなわち、エッジ１００３における［０＜ｘ］が偽の場合には、検査の前提条件を満たさない。そのため、これに対応するソースコードの、行番号００１の分岐の一方（条件が偽）は消去するような汎化モデルの変換を考えることができる。以上に述べた変換を示すルールを変換ルールとして記述することができる。

　本実施例によれば、本発明のソースコード検査装置は、検査の対象たるソースコードを抽象化した上で、汎化モデルを対象とした記号実行を実施し、記号実行の結果を用いて汎化モデルを再度変換し抽象化することができる。これにより、具体的な値を考えることなくソースコードの実行を模擬した上で汎化モデルを抽象化し、再抽象化された前記汎化モデルに基づく検査モデルを出力することができる。検査部は、再抽象化を経た検査モデルをモデル検査技術に基づき検査することで、時間的および空間的に効率的に検査することができる。

　次に、本発明の第２の実施例になるソースコード検査プログラムおよびソースコード検査装置を、図１５を参照しながら説明する。第２の実施例は、記号実行結果を汎用的な表現を用いて生成する点に特徴がある。

　図１５によれば、メタモデルデータベース３１４２に、メタ制御フローモデル１５０１と、メタ記号実行結果モデル１５０２を有する。メタ制御フローモデル１５０１と、メタ記号実行結果モデル１５０２は、たとえば特許文献２に示すメタ実装モデル、メタ汎化モデル、メタ検査モデルと同様に、非特許文献３に示されるＭＯＦ(Model Object Facility、モデルの構文を定義する技術)を用いて実装することができる。すなわち、ＭＯＦを用いて、メタ制御フローモデル１５０１と、メタ記号実行結果モデル１５０２の構文および意味論を定義する。

　汎化モデル入力部３２１１は、メタ汎化モデル６２１を参照して汎化モデル６０８を構文解析したのち、汎化モデル６０８から制御フロー情報を抽出し、メタ制御フローモデル１５０１を参照してメタ制御フローモデル１５０１に従った汎化モデル情報７０１を生成し、記号実行処理部３２０２に受け渡す。記号実行処理部３２０２は、メタ制御フローモデル１５０１を参照し、受け取った汎化モデル情報７０１を構文解析し、記号実行を実施することができる。

　また、記号実行処理部３２０２は、メタ記号実行結果モデル１５０２を参照し、前記メタ記号実行結果モデル１５０２に従って記号実行結果情報７０２を生成し、記号実行結果出力部３２１２は、生成された前記記号実行結果情報６１０を記号実行結果入力部３１５２に引き渡す。記号実行結果情報６１０は、記号実行結果入力部３１５２から抽象化モデル変換部３１２３に引き渡されるが、抽象化モデル変換部３１２３は、メタ記号実行結果モデル１５０２を参照して記号実行結果情報６１０を構文解析することができる。また、予め用意する変換ルールには、メタ記号実行結果モデル１５０２で定義された記号実行結果情報６１０の構文に従って、変換ルールを記述しておくことができる。

　本実施例によれば、本発明に係るソースコード検査装置が扱うデータの構文と意味論を、メタモデルデータベースを用いて統合的に管理でき、統一された記法を用いて、ソースコード検査装置を構成することができる。これにより、変換ルールの実装をはじめとするソースコード検査装置を稼働するために必要なデータの記載が容易かつ効率的になる。

　次に、本発明の第３の実施例になるソースコード検査プログラムおよびソースコード検査装置について説明する。第３の実施例では、変換ルールを具体的に説明している。

　実施例２において、変換ルールとして、記号実行のための前処理を記述し、記号実行を容易にすることができる。たとえば、変換ルールとして、実装モデもしくは汎化モデルから、図１５に示したような制御フローグラフを作成するために必要な情報、すなわち、命令、命令と命令との間の順序関係、制御の分岐、分岐条件、を含む情報を抽出する変換ルールを記述する。

　また、変換ルールとして、ソースコードに含まれる関数呼び出しを展開し１つの関数に統合する変換ルール、もしくはソースコードに含まれる繰り返し処理を有限回数で終了するように繰り返し条件を変更する変換ルール、ソースコードに含まれる動的なメモリ確保、たとえばＣ言語であればｍａｌｌｏｃ関数の呼び出しを予め確保した固定的なメモリの利用に変換するルールを変換ルールとして定義することができる。

　これにより、記号実行が難しい、関数呼び出し、繰り返し、動的なメモリ確保について、記号実行を可能とする。また、前記変換ルールにより、検査対象ソースコードの振舞いと変換後の汎化モデルの振舞いが一致しない場合があるが、特許文献２で示されているように、使用者が意図した範囲で振舞いを変えることは、本発明における

　次に、本発明の第４の実施例になるソースコード検査プログラムおよびソースコード検査装置を、図１６を参照しながら説明する。第４の実施例では、直接検査の対象となるソースコードである主コードだけでなく、主コードに関連する従コードも検査対象とする場合を説明する。

　本実施例においては、検査対象となるソースコードが複数、すなわち検査の対象となるソースコード集合があるものとし、前記ソースコード集合に含まれるソースコードには、主たるソースコード１６０１と、従たるソースコード１６０２とが指定されるものとする。主たるソースコードとは、検査したい特性が発現するソースコードである。

　たとえば、ソースコードに含まれる特定の関数の計算結果が、特定の値の範囲内であることを検査したい場合、前記関数が含まれるソースコードを主たるソースコードと呼び、それ以外のソースコードを従たるソースコードと呼ぶ。

　また、主たるソースコードは、あらかじめ与えられるソースコードのファイル単位である必要はなく、前記関数を含む部分に限定した範囲を主たるソースコードとしてもよい。その場合、当該ソースコードファイルに含まれる主たるソースコード以外の部分は、従たるソースコードとする。あるいは、当該関数と関係する他の関数、たとえば当該関数を呼び出す関数と呼び出される関数とを、当該関数を含む部分を主たるソースコードとしてもよい。

　さらに、従たるソースコードとして、検査したいソフトウェアを実装するソースコードだけでなく、当該ソフトウェアが動作するにあたり関連するハードウェアの動作を模擬するソフトウェアのソースコードが含まれていてもよい。主たるソースコードと従たるソースコードとの指定は、図１６に示すように、ファイル装置００３に格納する際に区別してもよい。

　ある実施の形態では、ファイル装置００３上ではソースコードの区別はせず、入力部３１０１によるソースコードの読込みを行ったのち、入力装置００４を用いて、ソースコード検査装置の使用者が指定してもよい。

　本実施例によれば、主たるソースコード１６０１を実施例１もしくは実施例２もしくは実施例３に示した、ソースコード変換部２０１および記号実行部２０２による処理対象とする。その結果、検査コード２０３が得られる。従たるソースコードは、ソースコード変換部１６１１を用いて、たとえば特許文献２に示されるソースコード変換の対象とする。その結果、検査コード１６１２を得られる。前記検査コード２０３と前記検査コード１６１２をモデル検査部２０４へ受け渡し、モデル検査を実行する。

　ここで、主たるソースコード１６０１に対するソースコード変換部２０１と従たるソースコードに対するソースコード変換部１６１１は、独立した部位として実装してもよいが、唯一のソースコード変換部を実装し、主たるソースコード１６１０を入力した場合と、従たるソースコード１６０２を入力した場合とで、前記唯一のソースコード変換部がソースコードの種別に応じて動作を変更してもよい。すなわち、主たるソースコードを入力した場合は、記号実行部２０２へ記号実行用情報を受け渡し、従たるソースコードを入力した場合は、記号実行部２０２への記号実行用情報の受け渡しをしないでもよい。

　本実施例により、主たるソースコードに対する記号実行により、ソースコード変換部２０１は、主たるソースコードに含まれるプログラムのうちの特定の部分を検査対象として抽出をして検査コード２０３を生成し、これと従たるソースコード１６０２から生成された検査コード１６１２との相互作用を考慮した検査をモデル検査部２０４においてモデル検査を用いて検査できる。これにより、記号実行では複数の動作主体間の相互作用を考慮できない点をモデル検査によって解決し、かつ、主たるソースコードに対する記号実行結果を用いたソースコード変換部２０１による抽象化により、モデル検査部におけるモデル検査の空間的または時間的な検査に係るリソースを削減することができる。以上により、状態爆発を防止しつつ、複数のソースコードに対するソースコード検査装置を実現できる。

００１：中央処理装置、００２：メインメモリ、００３：ファイル装置、００４：入力装置、００５：出力装置、００６：ソースコード検査プログラム、００７：検査対象ソースコード、００８：変換ルール、２０１：ソースコード変換部、２０２：記号実行部、２０３：検査コード、２０４：モデル検査部、２０５：検査結果、３１０１：入力部、３１０２：変換処理部、３１０３：出力部、３１０４：記憶部、３１０５：記号実行インタフェース部、３１１０：ソースコード入力部、３１１１：変換ルール入力部、３１２１：モデル構築部、３１２２：実装-汎化モデル変換部、３１２３：抽象化モデル変換部、３１２４：汎化-検査モデル変換部、３１５１：汎化モデル出力部、３１５２：記号実行結果入力部、３２０１：モデルインタフェース部、３２０２：記号実行処理部、３２１１：汎化モデル入力部、３２１２：記号時刻結果出力部、５０１：ソースコード、５０２：変換ルール集合、５０００：ソースコード変換装置、５１００：入力部、５２００：変換処理部、５３００：出力部、５４００：記憶部、６０１：ソースコード情報、６０２：実装-汎化変換ルール、６０３：抽象化変換ルール、６０４：汎化-検査変換ルール、６０５：検査モデル、６０６：実装モデル、６０７：汎化モデル、６０８：汎化モデル情報、６１０：記号実行結果情報、６２０：メタ実装モデル、６２１：メタ汎化モデル、６２２：メタ検査モデル、７０１：汎化モデル情報、７０２：記号実行結果情報、８０１：ソースコード、９００：制御フローグラフ、１００１：記号実行結果グラフ、１５０１：メタ制御フローグラフ、１５０２：メタ記号実行結果モデル、１６１１：ソースコード変換部、１６１２：検査コード

Claims (11)

1. 　計算機を用いてソースコードを検査するソースコード検査方法であって、
   　ソフトウェアのソースコード、第１、第２、第３及び第４の変換ルールを入力し、
   　前記ソースコードを、前記第１及び第２の変換ルールにより抽象化し、
   　前記抽象化されたソースコードを記号実行し、
   　前記記号実行の結果、及び前記第４の変換ルールにより、前記抽象化されたソースコードを再抽象化し、前記第４の変換ルールにより、前記再抽象化されたソースコードを検証ツールの入力言語で記述された検査コードに変換する、
   ことを特徴とするソースコード検査方法。
2. 　前記抽象化のステップにおいて、
   　前記第１の変換ルールは、ソースコードを特定のプログラミング言語に依存しない形式である中間形式へと変換する変換ルールであり、
   　前記第２の変換ルールは、前記中間形式に対して抽象化処理を行うための変換ルールであり、
   　前記第３の変換ルールは，前記抽象化された中間形式を、前記記号実行の結果に基づいて再抽象化処理を行うための変換ルールであり、
   　前記第１変換ルールを用いて、前記ソフトウェアのソースコードを、前記中間形式へと変換し、
   　前記第２変換ルールを用いて、前記中間形式で表現された前記ソフトウェアを抽象化し、
   　前記第３変換ルールを用いて、前記抽象化された前記ソフトウェアを、前記記号実行結果に基づいて再抽象化する、
   ことを特徴とする請求項１記載のソースコード検査方法。
3. 　前記変換ステップにおいて、
   　前記第４の変換ルールは、前記中間形式から前記検査コードに変換する変換ルールであり、
   　前記第４変換ルールを用いて、前記再抽象化された中間形式を検証ツールの入力言語で記述された検証用コードに変換する、ことを特徴とする請求項１記載のソースコード検査方法。
4. 　前記第２変換ルールは、
   　前記中間形式に含まれる動的な記憶領域確保を行う命令を、固定的な記憶領域確保を行う命令に変換する変換ルール、
   　前記中間形式に含まれる繰り返しを行う命令を、固定回数の繰り返しを行う命令に変換する変換ルール、及び
   　前記中間形式に含まれる関数呼び出しを行う命令を、呼び出される関数の内容に置き換える変換ルール、の少なくとも１つを含むことを特徴とする請求項２記載のソースコード検査方法。
5. 　計算機で読み取り可能な記憶媒体であって、請求項１に記載のソースコード検査方法を実行するためのプログラムを格納したことを特徴とする記憶媒体。
6. 　ソースコードを検査する装置であって、
   　ソフトウェアのソースコード、第１、第２、第３及び第４の変換ルールを入力する手段、
   　前記ソースコードを、前記第１及び第２の変換ルールにより抽象化する手段、
   　前記抽象化されたソースコードを記号実行する手段、及び
   　前記記号実行の結果、及び前記第３の変換ルールにより、前記抽象化されたソースコードを再抽象化し、前記第４の変換ルールにより、検証ツールの入力言語で記述された検査コードに変換する手段、
   を有することを特徴とするソースコード検査装置。
7. 　前記抽象化する手段において、
   　前記第１の変換ルールは、ソースコードを特定のプログラミング言語に依存しない形式である中間形式へと変換する変換ルールであり、
   　前記第２の変換ルールは、前記中間形式に対して抽象化処理を行うための変換ルールであり、
   　前記第３の変換ルールは，前記抽象化された中間形式を、前記記号実行の結果に基づいて再抽象化処理を行うための変換ルールであり、　前記第１変換ルールを用いて、前記ソフトウェアのソースコードを、前記中間形式へと変換し、
   　前記第２変換ルールを用いて、前記中間形式で表現された前記ソフトウェアを抽象化し、
   　前記第３変換ルールを用いて、前記抽象化された前記ソフトウェアを、前記記号実行結果に基づいて再抽象化する、
   ことを特徴とする請求項６記載のソースコード検査装置。
8. 　前記変換する手段において、
   　前記第４の変換ルールは、前記中間形式から前記検査コードに変換する変換ルールであり、
   　前記第４変換ルールを用いて、前記再抽象化された中間形式を検証ツールの入力言語で記述された検証用コードに変換する、ことを特徴とする請求項６記載のソースコード検査装置。
9. 　前記第２変換ルールは、
   　前記中間形式に含まれる動的な記憶領域確保を行う命令を、固定的な記憶領域確保を行う命令に変換する変換ルール、
   　前記中間形式に含まれる繰り返しを行う命令を、固定回数の繰り返しを行う命令に変換する変換ルール、及び
   　前記中間形式に含まれる関数呼び出しを行う命令を、呼び出される関数の内容に置き換える変換ルール、の少なくとも１つを含むことを特徴とする請求項７記載のソースコード検査装置。
10. 　計算機を用いてソースコードを検査するソースコード検査方法であって、
    　ソフトウェアの検査の対象となる主たるソースコード、前記主たるソースコードと関連する従たるソースコード、第１、第２、第３及び第４の変換ルールを入力し、
    　前記主たるソースコード及び前記従たるソースコードを、前記第１及び第２の変換ルールにより抽象化し、
    　前記抽象化された主たるソースコードを記号実行し、
    　前記記号実行の結果、及び前記第３の変換ルールにより、前記抽象化された主たるソースコードを再抽象化し、
    　前記再抽象化された主たるソースコードと、前記抽象化された従たるソースコードを統合し、　前記第４の変換ルールにより、前記統合されたソースコードを検証ツールの入力言語で記述された検査コードに変換する、ことを特徴とするソースコード検査方法。
11. 　ソースコードを検査する装置であって、
    　ソフトウェアの検査の対象となる主たるソースコード、前記主たるソースコードと関連する従たるソースコード、第１、第２、第３及び第４の変換ルールを入力する手段、
    　前記主たるソースコード及び前記従たるソースコードを、前記第１及び第２の変換ルールにより抽象化する手段、
    　前記抽象化された主たるソースコードを記号実行する手段、
    　前記記号実行の結果、及び前記第３の変換ルールにより、前記抽象化された主たるソースコードを再抽象化する手段、
    　前記再抽象化された主たるソースコードと、前記抽象化された従たるソースコードを統合する手段、及び
    　第４の変換ルールにより、前記統合されたソースコードを検証ツールの入力言語で記述された検査コードに変換する手段、を有することを特徴とするソースコード検査装置。

Images