https://wiki-de.moshellshocker.dns64.de/index.php?action=history&feed=atom&title=Alloy_AnalyzerAlloy Analyzer - Versionsgeschichte2026-06-10T19:09:16ZVersionsgeschichte dieser Seite in Wikipedia (Deutsch) – Lokale KopieMediaWiki 1.43.8https://wiki-de.moshellshocker.dns64.de/index.php?title=Alloy_Analyzer&diff=1847689&oldid=previmported>Gak69: Weblink aus Fließtext entfernt2022-05-15T22:56:21Z<p>Weblink aus Fließtext entfernt</p>
<p><b>Neue Seite</b></p><div>{{Infobox Software<br />
| Name = Alloy Analyser<br />
| Logo = <br />
| Screenshot = [[Datei:Screenshot of Alloy Analyzer.png|240px]]<br />
| Beschreibung = Screenshots mit Beispiel<br />
| Maintainer = [[Daniel Jackson (Informatiker)|Daniel Jackson]]<br />
| Hersteller = <br />
| Management = <br />
| AktuelleVersion = 6.0.0<br />
| AktuelleVersionFreigabeDatum = 4. November 2021<br />
| AktuelleVorabVersion = <br />
| AktuelleVorabVersionFreigabeDatum = <br />
| Betriebssystem = [[plattformunabhängig]]<br />
| Programmiersprache = [[Java (Programmiersprache)|Java]]<br />
| Kategorie = <br />
| Lizenz = [[MIT-Lizenz]]<br />
| Deutsch = nein<br />
| Website = [http://alloytools.org AlloyTools]<br />
}}<br />
<br />
Der '''Alloy Analyzer''' ist ein in der [[Informatik]] und [[Softwaretechnik]] eingesetztes Programm, das dazu genutzt werden kann, um [[Spezifikation]]en, die in der Sprache ''Alloy'' geschrieben sind, zu analysieren und zu simulieren.<ref name="jackson2012">{{Literatur | Autor=Daniel Jackson | Titel=Software Abstrations: Logic, Language, and Analysis | Verlag=[[MIT Press]] | Ort= | Jahr=2012 | ISBN=978-0262017152 }}</ref> Das Programm kann Modelle der Spezifikation (Modelle im Sinne der [[Modell (Logik)|formalen Logik]]) erzeugen, also Instanzen aller [[Invariante (Informatik)|Invarianten]], die in der Spezifikation definiert wurden. Die Sprache ''Alloy'' basiert auf relationaler Logik und eignet sich besonders gut dafür, Strukturen zu spezifizieren, wie sie oft im [[Softwareentwurf]] auftreten, also zum Beispiel Architekturen, Datenbankschemata, Netzwerk-Topologien, Ontologien u.&nbsp;ä. <br />
<br />
Darüber hinaus ist es in ''Alloy'' möglich, die Dimension Zeit in die Spezifikation einzubeziehen: seit Version 6 kann man in der Sprache unterscheiden zwischen Objekten, die ''statisch'' sind, sich also im Laufe der Zeit nicht ändern und solchen, die ''dynamisch'' sind, deren Struktur sich von Zeitpunkt zu Zeitpunkt unterscheiden kann. Der Alloy Analyzer zeigt dann nicht nur möglichen statische Strukturen an, die der Spezifikation entsprechen, sondern auch mögliche zeitliche Verläufe, die sich aus ihr ergeben. Für die Formulierung von temporalen Bedingungen stehen in Alloy 6 die Operatoren der [[Lineare temporale Logik|linearen temporalen Logik]] zur Verfügung<ref>Diese Erweiterung von Alloy wurde zunächst unter dem Namen Electrum entwickelt von Julien<br />
Brunel, David Chemouil, Alcino Cunha und Nuno Macedo; siehe Julien Brunel u. a. „The electrum analyzer: model checking relational first- order temporal specifications“. In: ''Proceedings of the 33rd ACM/IEEE International Conference on Automated Software Engineering, ASE 2018, Montpellier, France, September 3-7, 2018''. Hrsg. von Marianne Huchard, Christian Kästner und Gordon Fraser. ACM, 2018, S. 884–887. </ref>.<br />
<br />
Der Alloy Analyzer unterstützt die inkrementelle Entwicklung von Spezifikationen solcher Strukturen, indem er Modelle erzeugt, an denen man überprüfen kann, ob die gewünschten Eigenschaften der Strukturen auch tatsächlich erfüllt werden. Er ist auf diese Weise ein Werkzeug der [[Agile Softwareentwicklung|agilen]] Modellierung.<br />
<br />
Die Sprache ''Alloy'' und der Alloy Analyzer werden seit 1997 unter der Leitung von [[Daniel Jackson (Informatiker)|Daniel Jackson]] am [[Massachusetts Institute of Technology]] in den USA entwickelt. Die Bezeichnung „Alloy“ (Deutsch: Legierung) rührt daher, dass ''Alloy'' von Konzepten der [[Z-Notation|Spezifikationssprache Z]] und des [[Model Checking]]s beeinflusst wurde.<br />
<br />
== Analyseansatz ==<br />
<br />
Die Sprache ''Alloy'' hat die Ausdrucksmächtigkeit der [[Prädikatenlogik erster Stufe]] erweitert um den [[Transitiver Abschluss|transitiven Abschluss]]. Sie ist also nicht entscheidbar. Deshalb wird für die Analyse von Spezifikationen im Alloy Analyzer eine endliche Größe des zu betrachtenden Universums vorgegeben. Dies hat zur Folge, dass die Allgemeingültigkeit der Ergebnisse eingeschränkt ist. Jedoch begründen die Entwickler von Alloy Analyzer die Entscheidung zur Einschränkung des Gültigkeitsbereichs unter Berufung auf die ''small scope hypothesis''<ref name="jackson2012"/>, die besagt, dass ein hoher Anteil an [[Programmfehler]]n bereits gefunden werden kann, wenn man das Programm für alle Eingabewerte eines kleinen Gültigkeitsbereichs prüft.<ref>Alexandr Andoni, Dumitru Daniliuc, Sarfraz Khurshid und Darko Marinov (2002), "[http://citeseerx.ist.psu.edu/viewdoc/summary?doi=10.1.1.8.7702 Evaluating the small scope hypothesis]"</ref><br />
<br />
Durch die Beschränkung auf endliche Universen kann eine Spezifikation in ''Alloy'' in eine Formel der Aussagenlogik transformiert werden. Für das Finden von Modellen für die Spezifikation müssen dann Belegungen dieser Formel gefunden werden. Das heißt, die Aufgabe des Alloy Analyzers kann auf das [[Erfüllbarkeitsproblem der Aussagenlogik]] zurückgeführt werden.<ref name="jackson2012"/> Programme, die das Erfüllbarkeitsproblem lösen, werden ''SAT Solver'' genannt. Im Alloy Analyzer wird der ''Constraint solver'' Kodkod verwendet, der die Spezifikation in Alloy in die Aussagenlogik transformiert und dann einen SAT-Solver wie z.&nbsp;B. SAT4J verwendet, um erfüllende Belegungen zu finden. Diese werden dann zurücktransformiert in ''Alloy''.<br />
<br />
In Alloy 6 können Eigenschaften für die generierten Modell und Ausführungspfade auch ''verifiziert'' werden. Dazu kann man sich auf eine endliche Zahl von möglichen Ausführungsschritten beschränken, also ''bounded model checking'' durchführen. Es gibt aber auch die Möglichkeit, die Verifikation für beliebig viele Ausführungsschritte zu machen. In diesem Fall wird ''symbolisches [[Model Checking]]'' mit [[Symbolic Model Verifier|SMV]] eingesetzt. Der Alloy Analyzer in Alloy 6 verwendet dazu die Komponente ''Pardinus'', eine Erweiterung von Kodkod, die bounded model checking mit SAT-Solvern unterstützt, aber auch die Model Checker ''NuSMV'' oder ''nuXmv'' als Backend für ''unbounded model checking'' anbinden kann.<br />
<br />
== Anwendungen ==<br />
<br />
''Alloy'' und der Alloy Analyzer wurden in einem breiten Spektrum von Untersuchungen eingesetzt. Beispiele sind:<br />
<br />
* ''Kritische Systeme'', wie etwa in der Medizintechnik.<ref>University of Washington ''PLSE Neutrons'', [http://neutrons.uwplse.org/ UW PLSE Neutrons]</ref><br />
* ''Netzwerk-Protokolle'': [[Pamela Zave]] konnte mit Hilfe des Alloy Analyzers Fehler in [[Chord]] finden und Korrekturen vorschlagen.<ref>Pamela Zave: Reasoning about identifier spaces: How to make Chord correct, in: ''IEEE Trans. Software Engineering 43'', 12 (Dec. 2017), 1144–1156.</ref><br />
* ''Web-Sicherheit'': Eine Gruppe an den Universitäten UC Berkeley und Stanford verwendeten Alloy und den Alloy Analyzer um verschiedene Aspekte der Sicherheit im Web zu untersuchen.<ref>Akhawe, D., Barth, A., Lam, P.E., Mitchell, J. and Song, D.: Towards a formal foundation of Web security, in: ''Proceedings of the 23rd IEEE Computer Security Foundations'' Symp. Edinburgh, 2010, 290–304.</ref><br />
* ''Code-Verifikation'': Greg Dennis hat ein Werkzeug namens ''Forge'' entwickelt, das ''Alloy'' verwendet und Java-Code, der mit Spezifikationen der Java Modeling Language JML annotiert ist überprüfen kann. Dieses Werkzeug wurde zur Verifikation von Java-Bibliotheken<ref>Dennis, G., Chang, F. and Jackson, D.: Modular verification of code with SAT, in: ''Proceedings of the Intern. Symp. Software Testing and Analysis'', Portland, ME, Juli 2006.</ref> sowie von Code eines elektronischen Wahlsystems<ref>Dennis, G., Yessenov, K. and Jackson, D.: Bounded verification of voting software, in: ''Proceedings of the 2nd IFIP Working Conf. Verified Software: Theories, Tools, and Experiments''. Toronto, Okt. 2008.</ref> eingesetzt.<br />
<br />
== Beispiele ==<br />
<br />
Eine Uhr (nur mit Stundenanzeige) in Alloy 6<br />
<br />
<syntaxhighlight lang="text"><br />
one sig Uhr {<br />
var stunde: one Int<br />
}<br />
<br />
pred init {<br />
Uhr.stunde = 1<br />
}<br />
<br />
pred move {<br />
Uhr.stunde = 12 implies Uhr.stunde' = 1 else Uhr.stunde' = Uhr.stunde.plus[1]<br />
}<br />
<br />
fact trans {<br />
init<br />
always move<br />
}<br />
<br />
run {} for 5 int, 12 steps<br />
</syntaxhighlight><br />
<br />
Auswahl eines ausgezeichneten Knotens in einem Ring von Prozessen, siehe Julien Brunel, David Chemouil, Alcino Cunha, Nuno Macedo: Formal Software Design with Alloy 6.<ref>[https://haslab.github.io/formal-software-design/protocol-design/index.html#making-the-specification-more-abstract Protocol Design with Alloy], auf haslab.github.io</ref><br />
<br />
<syntaxhighlight lang="text"><br />
open util/ordering[Node]<br />
<br />
sig Node {<br />
succ : one Node,<br />
var inbox : set Node<br />
}<br />
<br />
fact {<br />
some Node // at least one node<br />
all n : Node | Node in n.^succ // succ forms a ring<br />
no inbox // initially inbox is empty<br />
}<br />
<br />
fun Elected : set Node {<br />
{ n : Node | n not in n.inbox and once (n in n.inbox) }<br />
}<br />
<br />
pred initiate[n : Node] {<br />
// node n initiates the protocol<br />
historically n not in n.succ.inbox // guard<br />
n.succ.inbox' = n.succ.inbox + n // effect on n.succ.inbox<br />
all m : Node - n.succ | m.inbox' = m.inbox // effect on the inboxes of other nodes<br />
}<br />
<br />
pred process[n : Node, i : Node] {<br />
// i is read and processed by node n<br />
i in n.inbox // guard<br />
n.inbox' = n.inbox - i // effect on n.inbox<br />
gt[i,n] implies n.succ.inbox' = n.succ.inbox + i // effect on n.succ.inbox<br />
else n.succ.inbox' = n.succ.inbox<br />
all m : Node - n.succ - n | m.inbox' = m.inbox // effect on the inboxes of other nodes<br />
}<br />
<br />
pred stutter {<br />
inbox' = inbox<br />
}<br />
<br />
fact { // possible events<br />
always (<br />
stutter or<br />
some n : Node | initiate[n] or<br />
some n : Node, i : Node | process[n,i]<br />
)<br />
}<br />
<br />
run example {<br />
eventually some Elected<br />
} for 3 Node<br />
<br />
assert AtMostOneLeader {<br />
always (lone Elected)<br />
}<br />
check AtMostOneLeader for 5 but 1.. steps<br />
<br />
pred fairness {<br />
all n : Node, i : Node {<br />
(eventually always historically n not in n.succ.inbox) implies (always eventually initiate[n])<br />
(eventually always i in n.inbox) implies (always eventually process[n,i])<br />
}<br />
}<br />
<br />
assert AtLeastOneLeader {<br />
fairness implies eventually (some Elected)<br />
}<br />
check AtLeastOneLeader for 3 but 1.. steps<br />
</syntaxhighlight><br />
<br />
== Einzelnachweise ==<br />
<references /><br />
<br />
== Weblinks ==<br />
* [http://alloytools.org Homepage von Alloy und Alloy Analyzer] am [[Massachusetts Institute of Technology|MIT]]<br />
* [https://alloytools.discourse.group Alloy Diskussionsforum]<br />
* [https://groups.csail.mit.edu/sdg/pubs/2019/alloy-cacm-18-feb-22-2019.pdf Daniel Jackson: ''Alloy: A Language and Tool for Exploring Software Designs''] in: ''Communications of the ACM'', September 2019<br />
* [http://www.doc.ic.ac.uk/project/examples/2007/271j/suprema_on_alloy/Web/ Eine Anleitung für Alloy]<br />
* [http://emina.github.io/kodkod/ Homepage des Kodkod Constraint Solver]<br />
* [https://esb-dev.github.io/mat/alloy-intro.pdf Kurze Einführung in Alloy]<br />
* [https://esb-dev.github.io/mat/echo.pdf Erste Begegnung mit Alloy 6]<br />
<br />
[[Kategorie:Theoretische Informatik]]<br />
[[Kategorie:Freies Programmierwerkzeug]]<br />
[[Kategorie:Java-Programm]]</div>imported>Gak69