Code Contracts ABC 16.04.2011
Download as PPTX, PDF1 like625 views
Документ описывает концепцию проектирования по контракту, включая необходимость четкого определения спецификаций интерфейсов и важность предусловий и постусловий в программном обеспечении. Приведены примеры неудачных проектов, подчеркивающие последствия неправильного проектирования и указывающие на ошибки, приведшие к серьезным сбоям. Включены указания по внедрению кодовых контрактов в .NET, а также рекомендации по их использованию для повышения надежности и читаемости кода.
![Ошибки в медицинском ПОTherac-25 c 1985 по 1987 6 несчастных случаев по вине ПО.[15]По ошибке программы MultidataSystemsInternational погибло 8 человек. 20 получили высокую дозу радиации. Физиотерапевты, ответственные за ручную проверку дозы, обвинены в убийстве. [15]](https://image.slidesharecdn.com/code-contracts-110417142421-phpapp01/85/Code-Contracts-ABC-16-04-2011-12-320.jpg)
![Нужна Visual Studio 2010 (Premium , Ultimate)Декларативные контракты включеныв .NET 4.0 (System.Diagnostics.Contracts)Для полноценной работы нужно установить инструменты (CodeContract Tools).Инструменты включают в себя:generate runtime checking from the contracts(ccrewrite)do a static check that verifies contracts at compile-time (cccheck)add contracts to the XML documentation files (ccdoc)LOCATION: [Program Files]\Microsoft\Contracts\Bin\](https://image.slidesharecdn.com/code-contracts-110417142421-phpapp01/85/Code-Contracts-ABC-16-04-2011-30-320.jpg)
![Другие методыAssert – Проверка условияAssume – Влияет на статическую проверку, добавляя утверждение в базу фактов статического анализатора. Влияет только на статический анализ. Во время выполнения трактуется как Assert. [3]EndContractBlock - for legacy contracts](https://image.slidesharecdn.com/code-contracts-110417142421-phpapp01/85/Code-Contracts-ABC-16-04-2011-45-320.jpg)
![НаследованиеДва правила[7]При наследовании и перегрузке метода, а также при реализации интерфейса, контракты наследуются.Нельзя добавить предусловия,но можно усилить постусловия и добавить инварианты. E.g was require x>10Added require x>100Now x = 20 fulfills 1st require but violates 2nd;](https://image.slidesharecdn.com/code-contracts-110417142421-phpapp01/85/Code-Contracts-ABC-16-04-2011-47-320.jpg)
![custom contracts &custom rewriters methodspublic static class RuntimeFailureMethods { public static void Requires(bool cond, string userMsg, string condText) { } public static void Ensures(bool cond, string userMsg, string condText) { }…}See user manual 7.7. (page 34) [12]](https://image.slidesharecdn.com/code-contracts-110417142421-phpapp01/85/Code-Contracts-ABC-16-04-2011-51-320.jpg)
![Code snippetscrContract.Requires(...);ce Contract.Ensures(...);ci Contract.Invariant(...);More in user manual 6.3. (page 26) [12]](https://image.slidesharecdn.com/code-contracts-110417142421-phpapp01/85/Code-Contracts-ABC-16-04-2011-52-320.jpg)
![Ссылки[1] Design by Contract - A Conversation with Bertrand Meyer, Part II by Bill Vennershttp://www.artima.com/intv/contracts.html[2] Defensive programminghttp://en.wikipedia.org/wiki/Defensive_programming[3] Dino Esposito, Code Contracts Preview: Preconditionshttp://dotnetslackers.com/articles/net/Code-Contracts-Preview-Preconditions.aspx[4] Dino Esposito, Code Contracts Preview: PostConditionshttp://dotnetslackers.com/articles/net/Code-Contracts-Preview-PostConditions.aspx[5] Dino Esposito, Code Contracts Preview: Invariantshttp://dotnetslackers.com/articles/net/Code-Contracts-Preview-Invariants.aspx[6] Dino Esposito, Code Contracts Preview: Assert & Assumehttp://dotnetslackers.com/articles/net/Code-Contracts-Preview-Assert-Assume.aspx[7] Jon Skeet, Code Contracts in C#http://www.infoq.com/articles/code-contracts-csharp[8] Design by Contract - Wikipediahttp://en.wikipedia.org/wiki/Design_by_contract[9] Precondition - Wikipediahttp://en.wikipedia.org/wiki/Precondition[10] Postcondition - Wikipediahttp://en.wikipedia.org/wiki/Postcondition[11] Invariant - Wikipediahttp://en.wikipedia.org/wiki/Invariant_(computer_science)[12] Code Contracts User Manualhttp://research.microsoft.com/en-us/projects/contracts/userdoc.pdf[13] Code contracts and inheritancehttp://stefanoricciardi.com/2009/07/17/code-contracts-and-inheritance/[14] Assertions in Managed Codehttp://msdn.microsoft.com/en-us/library/ttcc4x86.aspx[15] History's Worst Software Bugshttp://www.wired.com/software/coolapps/news/2005/11/69355?currentPage=2](https://image.slidesharecdn.com/code-contracts-110417142421-phpapp01/85/Code-Contracts-ABC-16-04-2011-61-320.jpg)
Code Contracts ABC 16.04.2011
- 1. Проектирование по контрактуDmytroMindraRnD Tech LeadLohikaLabsКиев, 2011
- 2. Дополнение к докладуВАЖНО:Можно работать на Visual Studio 2010 Professional. Для этого ставятся Code ContractsStandard Edition. Будет доступно все, кроме статического анализа.В Code Contracts Premium Edition доступен статический анализ контрактов.
- 3. © Drake Emko & Jen Brodzik, 2001
- 4. © Drake Emko & Jen Brodzik, 2001
- 5. © Drake Emko & Jen Brodzik, 2001
- 6. Northeast BlackoutСеверо-восточное отключение света14 августа200312:15 p.m. Оператор компании MISO отключает систему прогнозирования проблем, чтобы подправить вручную данные и забывает ее включить в автоматическом режиме.2:02 p.m. Отказала первая линия 345 кВ2:14 p.m. Отказ системы оповещения (основной и резервной)3:05 p.m. Отказ второй линии 345 кВ3:17 p.m. Падение напряжения. Срабатывают контроллеры и перераспределяют нагрузку.3:32 p.m. В результате перераспределения нагрузки выходит из строя еще одна линия 345 кВ. Начинается каскадный выход из строя перегруженных линий. Т.к. компании MISO иFirstEnergy не предупредили соседей о проблемах.
- 7. 4:13 p.m. Конец каскадных отключений. 256 электростанций отключены.55 миллионов людей без электричества более 24 часов.
- 8. Ariane 5 (501)4 июня 1996 года
- 9. 37секунд полетаUS$370-500миллионовубыткаUS$ 7 миллиардовна разработкуЗадержка миссии ЕКА на 4года64-bit floating point => 16-bit signed integerКак же дублирование систем ?Резервная система пала жертвой той же ошибки.Главный модуль остался без данных.И принял неверное решение.
- 10. 56 запусков2 неудачных2 частично неудачных52 удачных запускаЕКА запустили спутники при помощи Arian 5?Нет. Использовался Союз Фрегат.
- 12. Ошибки в медицинском ПОTherac-25 c 1985 по 1987 6 несчастных случаев по вине ПО.[15]По ошибке программы MultidataSystemsInternational погибло 8 человек. 20 получили высокую дозу радиации. Физиотерапевты, ответственные за ручную проверку дозы, обвинены в убийстве. [15]
- 14. Так должно быть
- 15. А так есть
- 18. public class FruitDealer { private readonly IFruitService _fruitService; private double _dealerMoney; public FruitDealer(IFruitService fruitService) { _fruitService = fruitService; } public IFruit SellFruit(double money) { _dealerMoney += money; return _fruitService.GetFruit(); } }Частные поляКонструкторmoney<=0 ?ВажныйметодNullReferenceExceptional ?FruitDealerdealer = new FruitDealer(null);/* Some of code */IFruitfruit = dealer.SellFruit(-10);
- 19. public class FruitDealer { private readonly IFruitService _fruitService; private double _dealerMoney; public FruitDealer(IFruitService fruitService) { _fruitService = fruitService; } public IFruit SellFruit(double money) { _dealerMoney += money; return _fruitService.GetFruit(); } }// fruitService should not be nullif (fruitService==null) throw new ArgumentNullException("fruitService");// money should be >0if (money<=0) throw new ArgumentOutOfRangeException("money");
- 20. НедостаткиКод с исключениями плохо подходит в качестве контрактов так как плохо читается.Этот подход невозможно привязать к интерфейсам.При перегрузке методов в наследниках придется заново прописывать проверки.Проверками невозможно/сложно управлять.
- 22. Проектирование по контрактуНе только хорошее словоА также нужное делоИ зарегистрированная торговая маркаDesign by Contract
- 23. Design by ContractTMБертран МейерАвтор проектирования по контракту и языка Eifel. Автор 11 книгВключая“Object-Oriented Software Construction”Первое издание: 1988Второе издание: 1997
- 24. Контракт – это …метод проектирования программного обеспечения. Он предполагает, что проектировщик должен определить формальные, точные и верифицируемые спецификации интерфейсов для компонентов системы. При этом, кроме обычного определения абстрактных типов данных, также используются предусловия, постусловия и инварианты. Данные спецификации называются "контрактами" в соответствии с концептуальной метафорой условий и ответственностей в бизнес-контрактах. (wikipedia)
- 25. ПредусловияПроверяют правильно соблюдены ли условия контракта клиентом. Все ли параметры переданы и правильные ли им присвоены значения.GIGO (англ. GarbageIn, GarbageOut, «Мусор на входе — мусор на выходе»)
- 26. ПостусловияПроверяют возвращает ли поставщик именно то, что предписано контрактом. «Правильность» результата так сказать.
- 27. ИнвариантыИнварианты проверяют не был ли поврежден поставщик в процессе выполнения метода. Соответствует ли его состояние после вызова метода контракту. И соответственно готов ли он к дальнейшей работе.
- 28. Пример на EIFELdeposit (amount: INTEGER) is require non_negative: amount > 0 do balance := balance + amount ensure updated: balance = old balance + amount end
- 29. С ЧЕГО НАЧАТЬ ?
- 30. Нужна Visual Studio 2010 (Premium , Ultimate)Декларативные контракты включеныв .NET 4.0 (System.Diagnostics.Contracts)Для полноценной работы нужно установить инструменты (CodeContract Tools).Инструменты включают в себя:generate runtime checking from the contracts(ccrewrite)do a static check that verifies contracts at compile-time (cccheck)add contracts to the XML documentation files (ccdoc)LOCATION: [Program Files]\Microsoft\Contracts\Bin\
- 31. Где наш диллер
- 32. Наш первый контрактpublic class FruitDealer{private readonlyIFruitService_fruitService;private double _dealerMoney; public FruitDealer(IFruitServicefruitService) {Contract.Requires(fruitService!=null);_fruitService = fruitService; } public IFruitSellFruit(double money){Contract.Requires(money > 0);Contract.Ensures(Contract.Result<IFruit>()!=null); _dealerMoney += money; return _fruitService.GetFruit(); } }КонтрактОбязательстваклиентаОбязательства поставщика
- 33. Проверка №1FruitDealerdealer1 = new FruitDealer(null);
- 34. Проверка №2FruitDealerdealer2 = new FruitDealer(new FruitService());IFruitfruit2 = dealer2.SellFruit(-10);
- 35. После установки инструментов появится новая вкладка
- 36. System.Diagnostics.ContractsContractAttributesContractClassAttributeContractClassForAttributeContractInvariantMethodAttributeContractPublicPropertyNameAttributeContractReferenceAssemblyAttributeContractRuntimeIgnoredAttributeContractVerificationAttributePureAttribute ( is not enforced by analysis tools )ContractFailedEventArgsContractFailureKind (enum)
- 37. Основные методыPre-conditions: RequiresPost-conditions: EnsuresInvariants: InvariantSee also: EnsuresOnThrow<TException> Requires<TException>
- 38. Давайте сравним public class Customer { private int _ID; public int ID { get { return _ID; } set { if (value <= 0) throw new ArgumentException(); _ID = value; } }}public class Customer{ private int _ID; public int ID { get { return _ID; } set {Contract.Requires(value > 0); _ID = value; } }}БылоСтало
- 40. Что там внутри ?
- 41. Processing collectionsInteger rangeForAll(Int32, Int32, Predicate<Int32>)Exists(Int32, Int32, Predicate<Int32>)CollectionForAll<T>(IEnumerable<T>, Predicate<T>)Exists<T>(IEnumerable<T>, Predicate<T>)
- 42. Демонстрация работы с коллекциями
- 45. Другие методыAssert – Проверка условияAssume – Влияет на статическую проверку, добавляя утверждение в базу фактов статического анализатора. Влияет только на статический анализ. Во время выполнения трактуется как Assert. [3]EndContractBlock - for legacy contracts
- 46. Assert & Assumepublic void Invoke() { int x = CalculateSomeValues(); // Tell the checker to verify whether// x>0. // (The checker might // be unable to do it.) Contract.Assert( x>0 ); // Rest of the code }public void Invoke() { int x = CalculateSomeValues(); // Explicitly tell the checker that //x>0 Contract.Assume( x>0 );// Rest of the code }
- 47. НаследованиеДва правила[7]При наследовании и перегрузке метода, а также при реализации интерфейса, контракты наследуются.Нельзя добавить предусловия,но можно усилить постусловия и добавить инварианты. E.g was require x>10Added require x>100Now x = 20 fulfills 1st require but violates 2nd;
- 48. Демонстрация: наследование и ловушки
- 49. Обработка ContractFailedContract.ContractFailed += ContractContractFailed;static void ContractContractFailed( object sender, ContractFailedEventArgs e) { e.SetHandled(); // exception handledConsole.WriteLine(e.Message);}
- 51. custom contracts &custom rewriters methodspublic static class RuntimeFailureMethods { public static void Requires(bool cond, string userMsg, string condText) { } public static void Ensures(bool cond, string userMsg, string condText) { }…}See user manual 7.7. (page 34) [12]
- 52. Code snippetscrContract.Requires(...);ce Contract.Ensures(...);ci Contract.Invariant(...);More in user manual 6.3. (page 26) [12]
- 53. ВНЕДРЕНИЕ
- 54. Code Contracts инструкция страница 18Нужна валидацияя аргументов в релизном коденетдаДопустимо использование contract toolsнетдаИспользуем предусловия везде.Включаем контракты только для дебагаRequires<Ex> на публичных методахRequires вездеRuntime на всех билдахТолько предусловия и только на публичных методах.If-throw на публичных методахПомечаем их EndContractBlockИспользуем Requires вездеRuntime checking только для отладочных сборок
- 55. Как внедрять ?Только в тех случаях, когда другие разработчики могут пользоваться поставляемыми вами библиотеками.Только на публичных внешних методах.Только предусловия.Можно применять другие практики.Это инструмент разработчика.
- 56. Выводы и перспективыCodeContracts активно развиваетсяВ BCL активно используются CodeContractsСтатическая проверкаCodeContracts могут положительно повлиять на архитектуруДополнение к документацииЕще один хороший инструмент ( Не единственный, а один из)
- 58. Демонстрация PEX
- 60. КнигиTouch of Class: learning to program well with objects and contractsObject-Oriented Software ConstructionObject-Oriented Software ConstructionBertrand Meyer1988,1997
- 61. Ссылки[1] Design by Contract - A Conversation with Bertrand Meyer, Part II by Bill Vennershttp://www.artima.com/intv/contracts.html[2] Defensive programminghttp://en.wikipedia.org/wiki/Defensive_programming[3] Dino Esposito, Code Contracts Preview: Preconditionshttp://dotnetslackers.com/articles/net/Code-Contracts-Preview-Preconditions.aspx[4] Dino Esposito, Code Contracts Preview: PostConditionshttp://dotnetslackers.com/articles/net/Code-Contracts-Preview-PostConditions.aspx[5] Dino Esposito, Code Contracts Preview: Invariantshttp://dotnetslackers.com/articles/net/Code-Contracts-Preview-Invariants.aspx[6] Dino Esposito, Code Contracts Preview: Assert & Assumehttp://dotnetslackers.com/articles/net/Code-Contracts-Preview-Assert-Assume.aspx[7] Jon Skeet, Code Contracts in C#http://www.infoq.com/articles/code-contracts-csharp[8] Design by Contract - Wikipediahttp://en.wikipedia.org/wiki/Design_by_contract[9] Precondition - Wikipediahttp://en.wikipedia.org/wiki/Precondition[10] Postcondition - Wikipediahttp://en.wikipedia.org/wiki/Postcondition[11] Invariant - Wikipediahttp://en.wikipedia.org/wiki/Invariant_(computer_science)[12] Code Contracts User Manualhttp://research.microsoft.com/en-us/projects/contracts/userdoc.pdf[13] Code contracts and inheritancehttp://stefanoricciardi.com/2009/07/17/code-contracts-and-inheritance/[14] Assertions in Managed Codehttp://msdn.microsoft.com/en-us/library/ttcc4x86.aspx[15] History's Worst Software Bugshttp://www.wired.com/software/coolapps/news/2005/11/69355?currentPage=2