WO2020136880A1

WO2020136880A1 - テスト実行装置、テスト実行方法及びテスト実行プログラム

Info

Publication number: WO2020136880A1
Application number: PCT/JP2018/048499
Authority: WO
Inventors: 功平千賀
Original assignee: 三菱電機株式会社
Priority date: 2018-12-28
Filing date: 2018-12-28
Publication date: 2020-07-02

Abstract

テストケース生成部（２５）は、テスト対象プログラム（３１）を構成する複数の要素のうちテストがテスト基準である密度指標（３３）を満たしていない未達要素（３４）を実行するテストケース（３７）を生成する。局所変数抽出部（２６）は、未達要素（３４）のプログラムコードで使用される局所変数を抽出する。変数値変更部（２８）は、テストケース（３７）を入力とするテスト対象プログラム（３１）の実行時に、局所変数の値を変更する。

Description

テスト実行装置、テスト実行方法及びテスト実行プログラム

　この発明は、ソフトウェアのテストを実行する技術に関する。

　ソフトウェアが持つ脆弱性を検出するテスト手法として、ファジングがある。ファジングでは、テスト対象プログラムに予測不能なテストケースを多数与え、例外処理の挙動を監視することで脆弱性を検出する。しかし、ファジングでは、大量のテストケースをテスト対象プログラムによらず選択するので、テスト対象プログラムのうちテスト中に実行されるプログラムの要素に偏りが生じる場合がある。偏りが生じた場合には、部分的にテストが不十分な要素が残ってしまう。

　特許文献１には、テストが不十分な要素についてのテストケースを生成する技術が記載されている。特許文献１に記載された技術では、プログラムの要素毎に実行履歴が取得され、実行回数が事前に定めた目標値に到達していない要素が未達要素に設定される。未達要素を実行させたテストケースから統計的手法又は人工知能を用いてヘッダ長といった特徴毎に満たすべき条件が抽出される。そして、抽出された条件を満たすテストケースを自動生成することにより、少なくとも一度以上実行されたプログラムの全要素の実行回数を目標値以上とする。

　特許文献２には、シンボリック実行を用いてテスト対象のソースコードからあるプログラムの要素への分岐条件を抽出し、ソルバを用いてその条件を満たすテストケースを生成する技術が記載されている。

特開２０１７－１６７９８４号公報特開２０１８－５８９０号公報

　特許文献１に記載された技術では、テスト実行数を増やす上で必ずしも有効なテストケースを生成できない。特許文献１に記載された技術では、実行履歴から未達要素を実行させたことのあるテストケースを選択し、選択されたテストケースから抽出された特徴を満たすテストケースを追加生成する。しかし、抽出された特徴はソースコード中の未達要素への分岐条件と一致するとは限らないため、追加生成したテストケースが未達要素を確実に実行させる保証はない。
　また、特許文献２に記載された技術を応用して、シンボリック実行を用いて未達要素への分岐条件を抽出し、未達要素を確実に実行させるためのテストケースを生成することが考えられる。しかし、このようにテストケースを生成したとしても、単に未達要素が実行されるだけであり、未達要素内の処理で使われる変数は考慮していないため、結果として意味のないテストを実行してしまう可能性がある。ここで、意味のないテストとは、既に実施したテストケースと重複するケースによるテストであり、意味のあるテストとは、まだ実施したことがないテストケースによるテストである。
　この発明は、追加テストの際にテスト対象の要素について意味のあるテストを実行可能にすることを目的とする。

　この発明に係るテスト実行装置は、
　テスト対象プログラムを構成する複数の要素のうちテストがテスト基準を満たしていない未達要素を実行するテストケースを生成するテストケース生成部と、
　前記未達要素のプログラムコードで使用される局所変数を抽出する局所変数抽出部と、
　前記テストケース生成部によって生成された前記テストケースを入力とする前記テスト対象プログラムの実行時に、前記局所変数抽出部によって抽出された前記局所変数の値を変更する変数値変更部と
を備える。

　この発明では、未達要素を実行するテストケースを入力とするテスト対象プログラムの実行時に、未達要素のプログラムコードで使用される局所変数の値を変更する。これにより、未達要素の処理に対して入力が異なるテストを実行することが可能になり、未達要素について意味のあるテストを実行することが可能になる。

実施の形態１に係るテスト実行装置１０のハードウェア構成図。実施の形態１に係るテスト実行装置１０の機能構成図。実施の形態１に係るテスト実行装置１０の動作を示すフローチャート。実施の形態１に係る局所変数抽出処理の説明図。実施の形態１に係るブレークポイント設置処理の説明図。実施の形態１に係る数値変更処理の説明図。変形例１に係るテスト対象プログラム３１の例を示す図。

　実施の形態１．
　＊＊＊構成の説明＊＊＊
　図１を参照して、実施の形態１に係るテスト実行装置１０のハードウェア構成を説明する。
　テスト実行装置１０は、コンピュータである。
　テスト実行装置１０は、プロセッサ１１と、メモリ１２と、ストレージ１３と、通信インタフェース１４とのハードウェアを備える。プロセッサ１１は、信号線を介して他のハードウェアと接続され、これら他のハードウェアを制御する。

　プロセッサ１１は、プロセッシングを行うＩＣ（Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）である。プロセッサ１１は、具体例としては、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）、ＤＳＰ（Ｄｉｇｉｔａｌ　Ｓｉｇｎａｌ　Ｐｒｏｃｅｓｓｏｒ）、ＧＰＵ（Ｇｒａｐｈｉｃｓ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）である。

　メモリ１２は、データを一時的に記憶する記憶装置である。メモリ１２は、具体例としては、ＳＲＡＭ（Ｓｔａｔｉｃ　Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）、ＤＲＡＭ（Ｄｙｎａｍｉｃ　Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）である。

　ストレージ１３は、データを保管する記憶装置である。ストレージ１３は、具体例としては、ＨＤＤ（Ｈａｒｄ　Ｄｉｓｋ　Ｄｒｉｖｅ）である。また、ストレージ１３は、ＳＤ（登録商標，Ｓｅｃｕｒｅ　Ｄｉｇｉｔａｌ）メモリカード、ＣＦ（ＣｏｍｐａｃｔＦｌａｓｈ，登録商標）、ＮＡＮＤフラッシュ、フレキシブルディスク、光ディスク、コンパクトディスク、ブルーレイ（登録商標）ディスク、ＤＶＤ（Ｄｉｇｉｔａｌ　Ｖｅｒｓａｔｉｌｅ　Ｄｉｓｋ）といった可搬記録媒体であってもよい。

　通信インタフェース１４は、外部の装置と通信するためのインタフェースである。通信インタフェース１４は、具体例としては、Ｅｔｈｅｒｎｅｔ（登録商標）、ＵＳＢ（Ｕｎｉｖｅｒｓａｌ　Ｓｅｒｉａｌ　Ｂｕｓ）、ＨＤＭＩ（登録商標，Ｈｉｇｈ－Ｄｅｆｉｎｉｔｉｏｎ　Ｍｕｌｔｉｍｅｄｉａ　Ｉｎｔｅｒｆａｃｅ）のポートである。

　図２を参照して、実施の形態１に係るテスト実行装置１０の機能構成を説明する。
　テスト実行装置１０は、機能構成要素として、要素分割部２１と、密度算出部２２と、未達要素特定部２３と、シンボリック実行部２４と、テストケース生成部２５と、局所変数抽出部２６と、ブレークポイント設置部２７と、変数値変更部２８と、プログラム実行部２９とを備える。テスト実行装置１０の各機能構成要素の機能はソフトウェアにより実現される。
　ストレージ１３には、テスト実行装置１０の各機能構成要素の機能を実現するプログラムが格納されている。このプログラムは、プロセッサ１１によりメモリ１２に読み込まれ、プロセッサ１１によって実行される。これにより、テスト実行装置１０の各機能構成要素の機能が実現される。

　図１では、プロセッサ１１は、１つだけ示されていた。しかし、プロセッサ１１は、複数であってもよく、複数のプロセッサ１１が、各機能を実現するプログラムを連携して実行してもよい。

　＊＊＊動作の説明＊＊＊
　図３から図６を参照して、実施の形態１に係るテスト実行装置１０の動作を説明する。
　実施の形態１に係るテスト実行装置１０の動作は、実施の形態１に係るテスト実行方法に相当する。また、実施の形態１に係るテスト実行装置１０の動作は、実施の形態１に係るテスト実行プログラムの処理に相当する。

　以下の説明では、テストの対象のプログラムであるテスト対象プログラム３１に対して、過去にファジングが実行されているものとする。そして、テスト対象プログラム３１と、過去にファジングが実行されて得られたテスト総実行履歴３２とがストレージ１３に記憶されているものとする。
　テスト総実行履歴３２は、テスト対象プログラムが実行された履歴を示す。具体的には、テスト総実行履歴３２は、過去に実行されたファジングにおいて、テスト対象プログラム３１に与えた複数のテストケースそれぞれについての、テストケースと個別実行履歴との組を示す。個別実行履歴は、対応するテストケースをテスト対象プログラム３１に与えて実行した場合における要素毎の実行履歴である。

　（図３のステップＳ１０１：要素分割処理）
　要素分割部２１は、テスト対象プログラム３１をストレージ１３から読み出す。要素分割部２１は、条件分岐を区切りとしてテスト対象プログラム３１を複数の要素に分割する。要素分割部２１は、分割された各要素のプログラムコードをメモリ１２に書き込む。
　ここでは、テスト対象プログラム３１は、ソースコードの状態であることを想定して説明する。つまり、テスト対象プログラム３１のプログラムコードは、ソースコードであることを想定している。しかし、テスト対象プログラム３１のプログラムコードは、ソースコードではなくバイナリコードであっても、エミュレータを用いることで同様に処理を行うことが可能である。

　（図３のステップＳ１０２：ステップ計算処理）
　要素分割部２１は、ステップＳ１０１で分割された複数の要素のプログラムコードをメモリ１２から読み出す。要素分割部２１は、複数の要素それぞれを対象として、対象の要素のプログラムコードのステップ数を算出する。要素分割部２１は、複数の要素それぞれのステップ数をメモリ１２に書き込む。

　（図３のステップＳ１０３：実行回数算出処理）
　密度算出部２２は、ステップＳ１０１で分割された複数の要素それぞれを対象として、過去に実行されたファジングにおいて対象の要素が実行された回数を算出する。
　具体的には、密度算出部２２は、テスト総実行履歴３２をストレージ１３から読み出す。密度算出部２２は、複数の要素それぞれを対象として、テスト総実行履歴３２から対象の要素が実行された回数を算出する。密度算出部２２は、複数の要素それぞれが実行された回数をメモリ１２に書き込む。

　（図３のステップＳ１０４：密度算出処理）
　密度算出部２２は、ステップＳ１０１で分割された複数の要素それぞれを対象として、対象の要素のテスト密度を算出する。
　具体的には、密度算出部２２は、ステップＳ１０２で算出された複数の要素それぞれのプログラムコードのステップ数と、ステップＳ１０３で算出された複数の要素それぞれが実行された回数とをメモリ１２から読み出す。そして、密度算出部２２は、対象の要素のプログラムコードのステップ数で回数を割って、対象の要素のテスト密度を算出する。密度算出部２２は、複数の要素それぞれのテスト密度をメモリ１２に書き込む。

　（図３のステップＳ１０５：未達要素特定処理）
　未達要素特定部２３は、ステップＳ１０１で分割された複数の要素のうちテストがテスト基準を満たしていない未達要素３４を特定する。
　具体的には、未達要素特定部２３は、複数の要素それぞれを対象として、対象の要素についてステップＳ１０４で算出されたテスト密度をメモリ１２から読み出す。未達要素特定部２３は、対象の要素のテスト密度が、テスト基準である密度指標３３が示す密度未満の場合に、対象の要素を未達要素３４として特定する。密度指標３３は、テスト中に各プログラム要素が脆弱性を有さないと判断される程度に十分な回数実行されたかを判定する条件となる密度を示す。密度指標３３は、テスト対象プログラム３１がどの程度の脆弱性が許容される等に応じて設定される。ここでは、密度指標３３は、事前にストレージ１３に記憶されているものとする。
　また、未達要素特定部２３は、未達要素３４について、対象の要素のテスト密度を、密度指標３３が示す密度に到達させるのに必要なテストの件数を示す不足テスト数３５を特定する。
　未達要素特定部２３は、未達要素３４と不足テスト数３５とを対応付けてメモリ１２に書き込む。

　（図３のステップＳ１０６：未達判定処理）
　未達要素特定部２３は、ステップＳ１０５で未達要素３４として特定された要素があるか否かを判定する。
　未達要素特定部２３は、未達要素３４として特定された要素がある場合には、処理をステップＳ１０７に進める。一方、未達要素特定部２３は、未達要素３４として特定された要素がない場合には、処理を終了する。

　未達要素３４が複数存在した場合、ステップＳ１０７以降の処理は、複数の未達要素３４のそれぞれを対象として実行される。なお、ステップＳ１０７以降の処理は、複数の未達要素３４のうち、優先度が高い一部の未達要素３４のみ対象として実行されてもよい。優先度は、例えば、不足テスト数の多い未達要素３４ほど高く設定される。

　（図３のステップＳ１０７：シンボリック総履歴取得処理）
　シンボリック実行部２４は、シンボリック実行総履歴３６をストレージ１３から読み出す。
　シンボリック実行総履歴３６は、過去のシンボリック実行において対象としたテスト対象プログラム３１の実行経路それぞれについての、実行経路と、その実行経路を実行させるためにテストケースが満たす必要がある制約条件と、その制約条件を解くことにより生成された１つのテストケース３７の例との組である。図３に示す処理の実行前に、ファジングが実行された際、シンボリック実行も実行されている場合には、図３に示す処理が初めて実行される際にもシンボリック実行総履歴３６がストレージ１３に記憶されている。
　なお、後述するように、ステップＳ１０９でシンボリック実行部２４はシンボリック実行を行い、得られた情報をシンボリック実行総履歴３６としてストレージ１３に書き込む。
　シンボリック実行とは、入力を記号として扱いプログラムコードから実行し得る経路を抽出する処理である。特許文献２には、シンボリック実行を行いテストケースを生成することが記載されている。

　（図３のステップＳ１０８：取得判定処理）
　シンボリック実行部２４は、ステップＳ１０７で読み出されたシンボリック実行総履歴３６に、対象の未達要素を経路端とする実行経路が含まれているか否かを判定する。
　シンボリック実行部２４は、対象の未達要素を経路端とする実行経路が含まれていない場合には、処理をステップＳ１０９に進める。一方、シンボリック実行部２４は、対象の未達要素を経路端とする実行経路が含まれている場合には、処理をステップＳ１１０に進める。

　（図３のステップＳ１０９：シンボリック実行処理）
　シンボリック実行部２４は、テスト対象プログラム３１をストレージ１３から読み出す。シンボリック実行部２４は、対象の未達要素を経路端とする実行経路についてシンボリック実行を行う。シンボリック実行部２４は、シンボリック実行を行った結果から、対象の未達要素を経路端とする実行経路を実行させるためのテストケース３７が満たす必要がある制約条件を取得する。
　シンボリック実行部２４は、制約条件をメモリ１２に書き込む。また、シンボリック実行部２４は、実行経路と、制約条件とを対応付けて、ストレージ１３に記憶されたシンボリック実行総履歴３６に追加する。

　（図３のステップＳ１１０：制約条件取得処理）
　シンボリック実行部２４は、ステップＳ１０７で読み出されたシンボリック実行総履歴３６から、対象の未達要素を経路端とする実行経路を実行させるためのテストケース３７が満たす必要がある制約条件を取得する。シンボリック実行部２４は、制約条件をメモリ１２に書き込む。

　（図３のステップＳ１１１：テストケース生成処理）
　テストケース生成部２５は、テスト対象プログラム３１を構成する複数の要素のうちテストがテスト基準を満たしていない未達要素３４を実行するテストケース３７を不足テスト数３５が示す件数だけ生成する。
　具体的には、テストケース生成部２５は、ステップＳ１０９又はステップＳ１１０で取得された制約条件と、ステップＳ１０５で算出された対象の未達要素３４についての不足テスト数３５とをメモリ１２から読み出す。テストケース生成部２５は、不足テスト数３５が示す件数だけ、制約条件を満たすテストケース３７を生成する。なお、テストケース生成部２５は、制約条件毎にテストケース３７の生成過程を記憶しておき、過去にテストケース３７を生成したことがある制約条件に対しては記憶している生成過程を用いることにより、テストケース３７の生成時間を短縮する。生成可能なテストケース３７が不足テスト数３５が示す件数よりも少ない場合には、テストケース３７の重複を認める。
　テストケース生成部２５は、テストケース３７をメモリ１２に書き込む。また、テストケース生成部２５は、制約条件がステップＳ１０９で取得された場合には、１つのテストケース３７をその制約条件と対応付けて、ストレージ１３に記憶されたシンボリック実行総履歴３６に追加する。

　（図３のステップＳ１１２：局所変数抽出処理）
　局所変数抽出部２６は、対象の未達要素３４のプログラムコードで使用される局所変数を抽出する。局所変数は、ローカル変数のことであり、関数内といった限定的な範囲でのみ使用される変数である。局所変数抽出部２６は、局所変数をメモリ１２に書き込む。局所変数をメモリ１２に書き込むとは、具体的には、局所変数の変数名と、型と、参照されている行とをメモリ１２に書き込むという意味である。
　ここで、局所変数抽出部２６は、対象の未達要素３４のプログラムコードで参照されている局所変数のみを抽出してもよい。参照されている変数とは、式における代入演算子の右辺にある変数と、比較演算子の両辺にある変数である。例えば、ａ＝ｂ；という式があった場合、変数ｂが参照されている変数である。また、ｉ＝＝ｊ；という式があった場合，変数ｉ及び変数ｊともに参照されている変数である。

　図４を参照して、実施の形態１に係る局所変数抽出処理の具体例を説明する。
　図４では、「ＳＡＭＰＬＥ」というプログラムをテスト対象プログラム３１としている。テスト対象プログラム３１は、条件分岐を区切りとして複数の要素の分割されるため、ここでは処理Ａと処理Ｂとがそれぞれ１つの要素になる。このとき、処理Ａが未達要素３４であったとする。
　局所変数抽出部２６は、未達要素３４である処理Ａのプログラムコードを参照し、処理Ａで呼び出されている局所変数を探す。処理Ａには「ｌｏｃａｌｎｕｍ」という局所変数が存在するため、局所変数抽出部２６は「ｌｏｃａｌｎｕｍ」を抽出し、未達要素３４である処理Ａと「ｌｏｃａｌｎｕｍ」とを組にしてメモリ１２に書き込む。

　（図３のステップＳ１１３：ブレークポイント設置処理）
　ブレークポイント設置部２７は、テスト対象プログラム３１のうち対象の未達要素３４のプログラムコードにおける局所変数の呼出し箇所の直前に、処理の実行を一時停止させるブレークポイントを設置する。
　具体的には、ブレークポイント設置部２７は、テスト対象プログラム３１をストレージ１３から読み出し、テスト対象プログラム３１のプログラムコードのコピーを生成する。ブレークポイント設置部２７は、ステップＳ１１２で抽出された局所変数をメモリ１２から読み出す。ブレークポイント設置部２７は、コピーされたプログラムコードにおける、局所変数の直前にブレークポイントを設置する。
　なお、ブレークポイント設置部２７は、デバッガの機能を用いて、テスト対象プログラム３１における局所変数の直前にブレークポイントを設置してもよい。この場合には、テスト対象プログラム３１のソースコードを書き換えることなく、ブレークポイントを設置することが可能である。

　図５を参照して、実施の形態１に係るブレークポイント設置処理の具体例を説明する。
　図５では、図４に示すテスト対象プログラム３１に対してブレークポイントを設置した例を示している。ブレークポイント設置部２７は、コピーされたテスト対象プログラム３１のプログラムコードにおける、局所変数であるｌｏｃａｌｎｕｍが呼び出されている箇所の直前にブレークポイントを追加する。
　局所変数であるｌｏｃａｌｎｕｍが呼び出されている箇所の直前とは、その行あるいは直ぐ上の行ということである。但し、ブレークポイントを設置する位置は、局所変数が呼び出される直ぐ上の行に限定されるわけではなく、局所変数の値に影響がないのであれば、ある程度前の行であってもよい。

　（図３のステップＳ１１４：テストケース判定処理）
　プログラム実行部２９は、ステップＳ１１１で生成されたテストケース３７に未実行のテストケース３７が残っているか否かを判定する。
　プログラム実行部２９は、未実行のテストケース３７が残っている場合には、処理をステップＳ１１５に進める。一方、プログラム実行部２９は、未実行のテストケース３７が残っていない場合には、処理を終了する。

　（図３のステップＳ１１５：第１実行処理）
　プログラム実行部２９は、未実行のテストケース３７をメモリ１２から読み出す。プログラム実行部２９は、読み出されたテストケース３７を入力として、テスト対象プログラム３１を実行する。プログラム実行部２９は、テスト対象プログラム３１に含まれるブレークポイントで処理を一時停止する。

　（図３のステップＳ１１６：数値変更処理）
　変数値変更部２８は、対象の未達要素３４と同じ組の局所変数をメモリ１２から読み出す。そして、変数値変更部２８は、局所変数の値を変更する。この際、変数値変更部２８は、局所変数の値を、ランダム値に変更してもよいし、四則演算を用いて変更してもよいし、局所変数が取り得る最大値及び最小値と０といった境界値に変更してもよいし、遺伝的アルゴリズムを適用する等して実行時のリソース消費量が大きくなるように変更してもよい。いずれの方法で局所変数の値を変更するとしても、変数値変更部２８は、追加で実行するテストケース３７において値の重複がないように制御する。

　図６を参照して、実施の形態１に係る数値変更処理の具体例を説明する。
　ブレークポイント設置部２７によって設置されたブレークポイントでテスト対象プログラム３１の処理が一時停止している。このとき、変数値変更部２８は、対象の未達要素３４における局所変数の変数名に基づきプログラム実行部２９に問合せを行い、メモリ１２における局所変数の値の格納個所のアドレスを取得する。変数値変更部２８は、取得されたアドレスに格納された値を変更する。
　図６では、変数値変更部２８は、局所変数であるｌｏｃａｌｎｕｍの値のメモリ１２における格納位置のアドレス「０ｘ１１１１１１１１」を取得し、変数値変更部２８は、アドレス「０ｘ１１１１１１１１」の値を「１００」からｉｎｔ型の最大値である「ＩＮＴ＿ＭＡＸ」に変更している。

　（図３のステップＳ１１７：第２実行処理）
　プログラム実行部２９は、テスト対象プログラム３１について、ブレークポイント以後の処理を実行する。これにより、対象の未達要素３４について、局所変数の値が変更された状態で処理が実行される。

　プログラム実行部２９は、テスト対象プログラム３１の処理が終了すると、処理をステップＳ１１４に戻す。そして、プログラム実行部２９は、未実行のテストケース３７がなくまるまで、ステップＳ１１５からステップＳ１１７の処理を繰り返し実行する。

　＊＊＊実施の形態１の効果＊＊＊
　以上のように、実施の形態１に係るテスト実行装置１０は、未達要素３４を実行するテストケース３７を入力とする対象プログラムの実行時に、未達要素３４のプログラムコードで使用される局所変数の値を変更する。これにより、未達要素３４の処理に対して入力が異なるテストを実行することが可能になり、未達要素３４について意味のあるテストを実行することが可能になる。

　また、実施の形態１に係るテスト実行装置１０は、シンボリック実行で得られた制約条件からテストケース３７を生成する。そのため、テストケース３７は未達要素３４を実行させる条件を満たしている。そして、実施の形態１に係るテスト実行装置１０は、未達要素３４内の局所変数をテストケース実行ごとに変化させるため、未達要素３４の内部の処理について脆弱性のテストを行うことが可能である。これにより、テストが不十分な要素を減らし、テスト対象プログラム３１における脆弱性を有する部分を少なくすることが可能である。

　従来のファジングでは、テスト対象プログラム３１への入力のみを変更してテストする。つまり、図４では変数ｘのみを変更してテストする。そのため、図４における処理Ｃに対して変数ｘと局所変数ｌｏｃａｌｎｕｍとの値が食い違うケースについてはテストできない。これに対して、実施の形態１に係るテスト実行装置１０は、局所変数ｌｏｃａｌｎｕｍを変更してテストを行うため、処理Ｃに対して変数ｘと局所変数ｌｏｃａｌｎｕｍとの値が食い違うケースについてもテストを実行することが可能である。
　つまり、変数ｘと局所変数ｌｏｃａｌｎｕｍとはｓｉｚｅ（）という関数で紐づけられている。処理Ｃが変数ｘと局所変数ｌｏｃａｌｎｕｍとの関係を前提として入力値をチェックすることなく動作する場合、処理Ｃに入る直前で局所変数ｌｏｃａｌｎｕｍの値が変更されると、変数ｘと局所変数ｌｏｃａｌｎｕｍとのｓｉｚｅ（）という関数に由来する関係が崩れてしまう。これを、変数ｘと局所変数ｌｏｃａｌｎｕｍとの値が食い違うケースと呼んでいる。このケースでは、処理Ｃに不具合が発生する可能性がある。このケースについて従来のファジングではテストできないが、実施の形態１に係るテスト実行装置１０ではテストすることが可能である。

　＊＊＊他の構成＊＊＊
　＜変形例１＞
　図３のステップＳ１１２の局所変数抽出処理について補足する。
　実施の形態１では、局所変数抽出部２６は、対象の未達要素３４のプログラムコードで参照されている局所変数のみを抽出してもよいと説明した。これは、未達要素３４内全ての局所変数を変更してしまうと、未達要素３４内の処理に関係のない変数まで変更するため無駄が多いためである。
　そこで、抽出対象の局所変数の選択には次のルールを設定する。まず、ルール１で抽出対象の候補が挙げられ、ルール２～ルール４で抽出対象の候補が絞り込まれていく。

（ルール１）
　局所変数抽出部２６は、対象の未達要素３４のプログラムコードで参照されている局所変数を変更対象候補として抽出する。
（ルール２）
　局所変数抽出部２６は、条件分岐判定及びループ継続判定でのみ参照されている局所変数は変更対象候補から除外する。
（ルール３）
　局所変数抽出部２６は、ポインタ変数を変更対象候補から除外する。
（ルール４）
　局所変数抽出部２６は、標準ライブラリ関数内部で参照されている変数を変更対象候補から除外する。

　ルール１では、局所変数抽出部２６は、未達要素３４内の処理で参照されている変数を変更対象候補として抽出する。なぜなら、参照以外の操作（宣言・定義・代入・解放）がなされているだけでは、未達要素３４内の処理で変数に格納されている値が使われないため、変数値を変更しても未達要素３４に対するテストとして意味がないからである。例えば、図７の要素（６）について参照されている変数を抽出すると、代入演算子の右辺にあるｔｍ＿ｙｄａｙが変更対象候補として抽出される。
　ルール２では、局所変数抽出部２６は、条件分岐判定及びループ継続判定のみで参照されている変数を変更対象候補から除外する。なぜなら、条件分岐判定で要素分割しているため条件分岐判定は必ず要素の末尾に来るので、そこで参照されている変数を変更しても未達要素３４に対するテストにならないからである。例えば、図７の要素（１）中にある変数ｎｕｍは、比較演算子の右辺にあるため確かに参照されているが、要素（１）内では要素末尾の条件分岐のみで参照されているため、要素（１）における変更対象候補から除外される。
　ルール３では、局所変数抽出部２６は、ポインタ変数を変更対象候補から除外する。な
ぜなら、参照するアドレスを変更してしまうと、未達要素３４内部の処理に関係なく不具合を発生させるおそれがあり、未達要素３４に対するテストにならないからである。例えば、図７の要素（１）では、ｓｔｒはポインタ変数なので変更対象候補から除外される。
　ルール４では、局所変数抽出部２６は、標準ライブラリ関数内部の局所変数を変更対象候補から除外する。これには、標準ライブラリ関数は信頼できるとみなしてテストを省略する意図がある。

　＜変形例２＞
　図３のステップＳ１１３のブレークポイント設置処理について補足する。
　変形例１で説明した図３のステップＳ１１２の局所変数抽出処理と同様に、無駄な変数値変更を避けるため、ブレークポイント設置処理についても次のルールを設定する。

（ルール１）
　ブレークポイント設置部２７は、変更対象の局所変数が対象の未達要素３４内で参照されている行あるいは直ぐ上の行にブレークポイントを設置する。
（ルール２）
　ブレークポイント設置部２７は、同一の変数が未達要素３４内の複数箇所で参照されている場合には、最初に参照された行のみをブレークポイントの設置対象とする。
（ルール３）
　ブレークポイント設置部２７は、変更対象の局所変数が複数存在する場合には、その全てを対象としてブレークポイントを設置する。

　ルール１について図７を例に説明する。要素（６）が未達要素３４であるとする。図３のステップＳ１１２で、この未達要素３４には変更対象の局所変数ｔｍ＿ｄａｙがあることと、局所変数ｔｍ＿ｄａｙの型及び参照されている行（ここでは３２行目とする）が得られている。そこで、変数ｔｍ＿ｄａｙの値を変更するため、ブレークポイント設置部２７は、３２行目にブレークポイントを設置する。
　ルール２では、ブレークポイント設置部２７は、同一の変数が複数箇所で参照されている場合には、最初の箇所の直前のみにブレークポイントを設置する。これは、参照される毎に値を変更してしまうと、例えば同一要素内に２つの処理があった場合に、「処理１に０を入力すると処理２で不具合が起こる」といった処理同士の関係を追えなくなるからである。
　ルール３では、ブレークポイント設置部２７は、変更対象変数が複数あった場合、全てを変更する。例えばｓｔｒ［３］又はｓｔｒ［５］といった配列の要素が別々に参照されていた場合には、それら全てを変更するためそれぞれの参照直前にブレークポイントが設置される。

　＜変形例３＞
　実施の形態１では、各機能構成要素がソフトウェアで実現された。しかし、変形例３として、各機能構成要素はハードウェアで実現されてもよい。この変形例３について、実施の形態１と異なる点を説明する。

　各機能構成要素がハードウェアで実現される場合には、テスト実行装置１０は、プロセッサ１１とメモリ１２とストレージ１３とに代えて、電子回路を備える。電子回路は、各機能構成要素と、メモリ１２と、ストレージ１３との機能とを実現する専用の回路である。

　電子回路としては、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ロジックＩＣ、ＧＡ（Ｇａｔｅ　Ａｒｒａｙ）、ＡＳＩＣ（Ａｐｐｌｉｃａｔｉｏｎ　Ｓｐｅｃｉｆｉｃ　Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）、ＦＰＧＡ（Ｆｉｅｌｄ－Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙ）が想定される。
　各機能構成要素を１つの電子回路で実現してもよいし、各機能構成要素を複数の電子回路に分散させて実現してもよい。

　＜変形例４＞
　変形例４として、一部の各機能構成要素がハードウェアで実現され、他の各機能構成要素がソフトウェアで実現されてもよい。

　１０　テスト実行装置、１１　プロセッサ、１２　メモリ、１３　ストレージ、１４　通信インタフェース、２１　要素分割部、２２　密度算出部、２３　未達要素特定部、２４　シンボリック実行部、２５　テストケース生成部、２６　局所変数抽出部、２７　ブレークポイント設置部、２８　変数値変更部、２９　プログラム実行部、３１　テスト対象プログラム、３２　テスト総実行履歴、３３　密度指標、３４　未達要素、３５　不足テスト数、３６　シンボリック実行総履歴、３７　テストケース。

Claims

　テスト対象プログラムを構成する複数の要素のうちテストがテスト基準を満たしていない未達要素を実行するテストケースを生成するテストケース生成部と、
　前記未達要素のプログラムコードで使用される局所変数を抽出する局所変数抽出部と、
　前記テストケース生成部によって生成された前記テストケースを入力とする前記テスト対象プログラムの実行時に、前記局所変数抽出部によって抽出された前記局所変数の値を変更する変数値変更部と
を備えるテスト実行装置。
　前記テスト実行装置は、さらに、
　前記未達要素のプログラムコードにおける前記局所変数の呼出し箇所の前に、処理の実行を一時停止させるブレークポイントを設置するブレークポイント設置部
を備え、
　前記変数値変更部は、前記テストケースを入力とする前記テスト対象プログラムの実行時において、前記ブレークポイントで処理の実行が停止した際に、前記局所変数の値を変更する
請求項１に記載のテスト実行装置。
　前記テストケース生成部は、前記テスト対象プログラムをシンボリック実行して得られた前記未達要素を実行するための制約条件を満たすテストケースを生成することにより、前記未達要素を実行するテストケースを生成する
請求項１又は２に記載のテスト実行装置。
　前記テスト実行装置は、さらに、
　前記複数の要素それぞれを対象として、前記テスト対象プログラムが実行された履歴を示すテスト総実行履歴から対象の要素が実行された回数を算出し、前記対象の要素のプログラムコードのステップ数で前記回数を割って、前記対象の要素のテスト密度を算出する密度算出部と、
　前記密度算出部によって算出された前記対象の要素の前記テスト密度が、前記テスト基準である密度指標が示す密度未満の場合に、前記対象の要素を前記未達要素として特定する未達要素特定部と
を備える請求項１から３までのいずれか１項に記載のテスト実行装置。
　前記未達要素特定部は、前記対象の要素の前記テスト密度を、前記密度指標が示す密度に到達させるのに必要なテストの件数を示す不足テスト数を特定し、
　前記テストケース生成部は、前記不足テスト数が示す件数の前記テストケースを生成する
請求項４に記載のテスト実行装置。
　テストケース生成部が、テスト対象プログラムを構成する複数の要素のうちテストがテスト基準を満たしていない未達要素を実行するテストケースを生成し、
　局所変数抽出部が、前記未達要素のプログラムコードで使用される局所変数を抽出し、
　変数値変更部が、前記テストケースを入力とする前記テスト対象プログラムの実行時に、前記局所変数の値を変更するテスト実行方法。
　テスト対象プログラムを構成する複数の要素のうちテストがテスト基準を満たしていない未達要素を実行するテストケースを生成するテストケース生成処理と、
　前記未達要素のプログラムコードで使用される局所変数を抽出する局所変数抽出処理と、
　前記テストケース生成処理によって生成された前記テストケースを入力とする前記テスト対象プログラムの実行時に、前記局所変数抽出処理によって抽出された前記局所変数の値を変更する変数値変更処理と
を行うテスト実行装置としてコンピュータを機能させるテスト実行プログラム。