La question du comportement indéfini (Undefined Behavior)

La question du comportement indéfini (Undefined Behavior)

Un cas bien connu de comportement indéfini résulte de débordements lors d'opérations arithmétiques sur des entiers : ../Sujets/Maths/Nombres-entiers.html#debordement

Plusieurs langages n'ont pas le concept de comportement indéfini, ou Undefined Behavior, mais ce concept est important dans un langage axé sur la vitesse d'exécution à tout prix (ou presque) comme C ou C++. Dans ces langages, en effet, la plupart des expressions et des énoncés admissibles mènent à un comportement défini par le standard du langage, mais certaines opérations ont un résultat non-spécifié ou indéfini, donc pour lesquels les choix peuvent varier d'un compilateur à l'autre.

Le présent document propose quelques lectures pour mieux comprendre ce que signifie le terme Undefined Behavior, qui contribue à l'atteinte (ou non) d'une forme de Type-Safety dans un langage.

« Undefined behavior isn't evil. Its chaotic neutral » – Bryce Lelbach (Source)

http://blog.susam.in/2010/05/sequence-points.html

http://labs.qt.nokia.com/2011/06/10/type-punning-and-strict-aliasing/

Exemple concret, relaté par Mark Shroyer en 2012, avec un booléen ni vrai, ni faux (ou même vrai et faux) : http://markshroyer.com/2012/06/c-both-true-and-false/

Cas d'espèce : les comportements indéfinis, non-spécifiés et dépendants de l'implémentation avec un processeur ARM, texte de 2012 : http://blogs.msdn.com/b/vcblog/archive/2012/10/25/hello-arm-exploring-undefined-unspecified-and-implementation-defined-behavior-in-c.aspx

Une critique faite par John Regehr en 2013 de C et de C++ quant au laxisme avec lesquels ces langages traitent le concept même d'Undefined Behavior : http://blog.regehr.org/archives/880

Exemple concret, proposé par Christopher Cole en 2013 : http://blog.chris-cole.net/2013/11/30/a-glimpse-of-undefined-behavior-in-c/

En 2013, Pascal nous rappelle que le comportement indéfini en C peut nous mordre, et le fera : http://blog.frama-c.com/index.php?post/2013/03/13/indeterminate-undefined

En 2014, suite à l'incident Heartbleed, Eric Lippert offre une critique de la manière dont les compilateurs C++ gèrent le Undefined Behavior : http://ericlippert.com/2014/04/15/heartbleed-and-static-analysis/

Ce qui provoque une violation de partage ou d'autres conséquences typiques d'un Undefined Behavior, par Eric Lippert en 2014 : http://blog.coverity.com/2014/05/07/why-no-crash/

En 2014, Bruce Dawson nous rappelle qu'un cas d'Undefined Behavior peut mener au formatage d'un disque rigide. Ce n'est pas une blague, les ami(e)s! http://randomascii.wordpress.com/2014/05/19/undefined-behavior-can-format-your-drive/

Présentation portant sur la signification du Undefined Behavior, par Mashall Clow en 2014 : http://accu.org/content/conf2014/MarshallClowUndefined%20Behavior-ACCU2014.pdf

Réflexion éclairante de Jon Kalb sur le sujet, en 2014 : http://www.slashslash.info/2014/03/undefined-behavior-and-certs-vulnerability-note/

En 2014, Raymond Chen explique que le Undefined Behavior peut entraîner, entre autres choses, un voyage dans le temps : http://blogs.msdn.com/b/oldnewthing/archive/2014/06/27/10537746.aspx

Exemple concret de comportement indéfini à partir de pointeurs sur des entités qui disparaissent, par Julien Cretin en 2014 : http://trust-in-soft.com/dangling-pointer-indeterminate/

Proposition conjointe par Pascal Cuoq, Matthew Flatt et John Regehr en 2014 pour créer un dialecte de C qui serait moins assujetti aux conditions menant à du Undefined Behavior : http://blog.regehr.org/archives/1180

En 2014, Joseph Mansfield propose une approche pour visualiser les dépendances entre les instructions, et débusquer certains cas de comportement indéfinis ou variant selon l'implémentation : http://josephmansfield.uk/articles/c++-sequenced-before-graphs.html

Texte de 2015 par Dmitry Meshcheryakov sur l'appel de méthodes d'instance non-polymorphiques à travers un pointeur nul, technique qui peut fonctionner sur certains compilateurs mais donne en pratique un comportement indéfini : http://www.viva64.com/en/b/0226/

En 2015, Andrey Karpov tient le même propos, avec beaucoup de détails : http://www.viva64.com/en/b/0301/ et http://www.viva64.com/en/b/0306/

À propos des conséquences d'un comportement indéfini, texte de 2015 : http://kukuruku.co/hub/cpp/undefined-behavior-and-fermats-last-theorem

Article sur le comportement indéfini en C, ses conséquences et l'importance de développer des outils pour les détecter, par Xi Wang, Haogang Chen, Alvin Cheung, Zhihao Jia, Nickolai Zeldovich et M. Frans Kaashoek en 2015 : http://people.csail.mit.edu/akcheung/papers/apsys12.pdf

En 2015, John Regehr propose d'utiliser des canaris pour détecter les cas de comportement indéfini : http://blog.regehr.org/archives/1234

Texte de Yossef Kreinin en 2015 sur les dangers associés au retour d'un float non-initialisé d'une fonction : http://yosefk.com/blog/fun-with-ub-in-c-returning-uninitialized-floats.html

Ceci illustre bien ce que peut faire un compilateur face à un cas de comportement indéfini : faire comme si le cas « hors-règles » ne surviendrait jamais pour optimiser ce qui est légal : http://gcc.godbolt.org/...

Selon M. Anton Ertl et Tu Wien en 2015, les « optimisations » qui reposent sur du comportement indéfini nuisent à la « performance » : http://www.complang.tuwien.ac.at/kps2015/proceedings/KPS_2015_submission_29.pdf

En 2016, Xi Wang, Nickolai Zeldovich, M. Frans Kaashoek et Armando Solar-Lezama proposent une approche pour automatiser la détection du comportement indéfini : http://cacm.acm.org/magazines/2016/3/198849-a-differential-approach-to-undefined-behavior-detection/fulltext

Dans ce texte de 2016, Nicolas Brailo propose un argumentaire pour l'importance du comportement indéfini : https://monoinfinito.wordpress.com/2016/06/02/c-why-is-undefinedness-important/

Texte de Krister Walfridsson en 2016, portant sur la relation entre comportement indéfini et pointeurs « flottants », plus particulièrement sur l'utilisation d'un pointeur p (pas de son pointé, car dans ce cas le comportement indéfini serait évident) suite à un appel à free(p) : https://kristerw.blogspot.ca/2016/04/dangling-pointers-and-undefined-behavior.html

Suivant l'examen d'une présentation de Chandler Carruth sur le comportement indéfini (voir https://www.youtube.com/watch?v=yG1OZ69H_-o si vous souhaitez vous forger une opinion) lors de CppCon 2016, John Regehr offre une réflexion personnelle sur la place du comportement indéfini dans le design d'un langage de programmation : http://blog.regehr.org/archives/1436

Aussi en 2016, John Regehr trace un parallèle entre le comportement indéfini et la division par zéro, que mon ami Michel Séguin appelait délicatement « l'interdit » : http://blog.regehr.org/archives/1438

Texte de 2017 par Nayuki Minase, qui discute de comportement indéfini en C comme en C++ : https://www.nayuki.io/page/undefined-behavior-in-c-and-cplusplus-programs

En 2017, John Regehr rappelle que le comportement indéfini et la programmation dangereuse (Unsafe Programming) sont deux idées distinctes : http://blog.regehr.org/archives/1467

Pour un exemple concret de comportement indéfini, voici la sortie produite par trois compilateurs connus à partir d'un tout petit programme de test

Texte de 2016 par Andrey Karpov, qui nous rappelle à quel point nous sommes proches d'un comportement indéfini : https://software.intel.com/en-us/blogs/2016/02/05/undefined-behavior-is-closer-than-you-think

Diapositives d'une présentation de 2017 sur le comportement indéfini, par John Regehr : http://www.cs.utah.edu/~regehr/ub-2017-qualcomm.pdf

Comportement indéfini et LLVM :

en 2017, John Regehr s'intéresse au traitement du comportement indéfini dans LLVM : https://blog.regehr.org/archives/1496
texte sur LLVM et le comportement indéfini, par David M. Menendez en 2017 : https://compilersatrutgers.wordpress.com/2017/05/24/llvms-shifty-semantics/

Texte étoffé par Pascal Cuoq et John Regehr en 2017, portant sur l'état de la situation dans le domaine du comportement indéfini : https://blog.regehr.org/archives/1520

Si vous pensez que le comportement indéfini est bénin, examinez le code généré dans cet exemple, qui démontre que le compilateur va même parfois appeler une fonction (visiblement dangereuse!) que votre programme lui-même n'a jamais appelée

en 2017, Krister Walfridsson explique pourquoi le compilateur en arrive à prendre une telle décision : https://kristerw.blogspot.ca/2017/09/why-undefined-behavior-may-call-never.html
texte subséquent de Krister Walfridsson, aussi en 2017 : https://kristerw.blogspot.ca/2017/09/follow-up-on-why-undefined-behavior-may.html

Pour une présentation sur le sujet par John Regehr en 2017 : http://regehr.org/cppcon17.pdf

Comme le fait remarquer Jordan Rose en 2018, avec C++, un programme ayant des noms globaux débutant par un _ est un programme au comportement indéfini http://eel.is/c++draft/lex.name#3

Petit guide au comportement indéfini dans le contexte de systèmes embarqués :

https://embeddedartistry.com/blog/2017/1/8/a-guide-to-undefined-behavior-in-c-and-c-part-1

Discussion d'optimisations recevables ou pas, dans une perspective de comportement indéfini, par Sanjoy Das en 2016 : https://www.playingwithpointers.com/blog/ipo-and-derefinement.html

En 2017, Raymond Chen relate un cas où migrer du code d'une plateforme à l'autre met en relief un cas de comportement indéfini : https://blogs.msdn.microsoft.com/oldnewthing/20171222-00/?p=97635

Court texte d'Anders Schau Knatten en 2018 sur le recours à des destructeurs non-virtuels dans une situation d'héritage public : https://blog.knatten.org/2018/03/02/non-virtual-destructors/

Dans ce texte de 2018, Reid Kleckner montre qu'introduire du comportement indéfini dans un programme peut carrément supprimer du code de validation : https://qinsb.blogspot.ca/2018/03/ub-will-delete-your-null-checks.html

Diapositives d'une présentation sur le comportement indéfini, par Hana Dusíková en 2018 : https://cpp.fail/undefined-behavior-slides.pdf

Diapositives d'une présentation sur le comportement indéfini, par Maciej Gajewski en 2018 : https://maciekgajewski.github.io/CloserLookAtUB/#1

Certains cas de comportement indéfini devraient peut-être ne pas l'être, ce qui explique entre autres les travaux du groupe d'études sur le comportement indéfini (SG12). À cet effet, en 2010, cet échange épistolaire entre Douglas Wallace et Hans Boehm questionne l'intérêt de faire de boucles infinies un cas de comportement indéfini :

Texte de 2018 par Chris Wellons, portant sur la valeur du comportement indéfini : https://nullprogram.com/blog/2018/07/20/

Comme le rappelle Raph Levien en 2018, avec du comportement indéfini, tout est possible : https://raphlinus.github.io/programming/rust/2018/08/17/undefined-behavior.html

Quelques exemples de comportement indéfini et de ses impacts, empruntés pour la plupart à Ville Voutilainen.

Dans cet exemple, le code généré n'appellera jamais h() car *p a été utilisé au prélable sans valider que p soit non-nul (voir https://godbolt.org/z/uDUwV5 pour une démonstration). Le if() qui semble redondant sur cette base sera éliminé. Aux yeux du compilateur, sur la base du code source, il est clair que p est non-nul

C'est un cas où le passé influence l'avenir

void g(int);
void h();
void f(int* p) {
   g(*p);
   if (!p)
      h();
}

Dans cet exemple (la différence avec le précédent n'est que d'un seul caractère!), l'appel à h() sera toujours fait et le test de p sera élidé (voir https://godbolt.org/z/e6rNPq pour une démonstration). Le raisonnement derrière cette optimisation sera essentiellement le même que pour l'exemple précédent

C'est un autre cas où le passé influence l'avenir

void g(int);
void h();
void f(int* p) {
   g(*p);
   if (p)
      h();
}

Dans cet exemple, l'appel à h() ne sera jamais fait et le test de p sera élidé, car plus tard dans la fonction, on utilise *p sans avoir validé p (voir https://godbolt.org/z/OXHyd- pour une démonstration). Aux yeux du compilateur, sur la base du code source, il est clair que p est non-nul

C'est un cas où le futur influence le passé

void g(int);
void h() {}
void f(int* p) {
   if (!p)
      h();
   g(*p);
}

Dans cet exemple, l'appel à h() sera toujours fait et le test de p sera élidé, car plus tard dans la fonction, on utilise *p sans avoir validé p (voir https://godbolt.org/z/AqebPk pour une démonstration). Aux yeux du compilateur, sur la base du code source, il est clair que p est non-nul

C'est un autre cas où le futur influence le passé

void g(int);
void h() {}
void f(int* p) {
   if (p)
      h();
   g(*p);
}

Exemple plus complexe (voir https://godbolt.org/z/Nm-GOj pour une démonstration) :

L'appel à h(x) n'aura jamais lieu car le test if(!p) sera considéré inutile (toujours faux) du fait que g(*p) est fait sans validation de p
L'appel à g(x) n'aura jamais lieu car if(x==5) sera toujours faux, du fait que l'appel à h(x) n'aura jamais lieu...
Si le compilateur n'a pas plus de contexte, la fonction g() générée sera... vide, faute d'avoir des conséquences sur le code qui sera exécuté

Les compilateurs sont devenus très, très efficaces...

static int y = 42;
void g(int xx) { y = xx; }
void h(int& x) { x = 5; }
void yet_another_stop_evading_me_compiler(int);
void f(int* p) {
    int x = 42;
    if (!p) {
        h(x);
    }
    if (x == 5)
        g(x);
    g(*p);
    yet_another_stop_evading_me_compiler(y);
}

Exemple intéressant proposé par Andrzej Krzemienski (voir https://godbolt.org/z/62VleR pour une démonstration). Le programme souhaite comptabiliser les appels à f(p) où p est nul, or f(p) appelle impl(p) qui, pour sa part, utilise *p sans valider que p soit non-nul. Le futur influence le passé, et le compilateur supprimera le test sur p fait par f() du fait qu'il semble manifestement inutile

int error_count = 0;
namespace {
   void log_error() { 
      ++error_count; // this has side effect
   }                 // but is guaranteed to return normally
   int impl(int* p) {
      // implicit assumption: p != nullptr
      return *p;
   }
}
int f(int* p) {
   if (p == nullptr) // this will get ellided
      log_error();   //   due to the implicit assumption
   return impl(p);
}

Dans cet exemple, le code généré n'appellera jamais h() car *p a été utilisé au prélable sans valider que p soit non-nul (voir https://godbolt.org/z/uDUwV5 pour une démonstration). Le if() qui semble redondant sur cette base sera éliminé. Aux yeux du compilateur, sur la base du code source, il est clair que p est non-nul C'est un cas où le passé influence l'avenir	`void g(int); void h(); void f(int* p) { g(*p); if (!p) h(); }`
Dans cet exemple (la différence avec le précédent n'est que d'un seul caractère!), l'appel à h() sera toujours fait et le test de p sera élidé (voir https://godbolt.org/z/e6rNPq pour une démonstration). Le raisonnement derrière cette optimisation sera essentiellement le même que pour l'exemple précédent C'est un autre cas où le passé influence l'avenir	`void g(int); void h(); void f(int* p) { g(*p); if (p) h(); }`
Dans cet exemple, l'appel à h() ne sera jamais fait et le test de p sera élidé, car plus tard dans la fonction, on utilise *p sans avoir validé p (voir https://godbolt.org/z/OXHyd- pour une démonstration). Aux yeux du compilateur, sur la base du code source, il est clair que p est non-nul C'est un cas où le futur influence le passé	`void g(int); void h() {} void f(int* p) { if (!p) h(); g(*p); }`
Dans cet exemple, l'appel à h() sera toujours fait et le test de p sera élidé, car plus tard dans la fonction, on utilise *p sans avoir validé p (voir https://godbolt.org/z/AqebPk pour une démonstration). Aux yeux du compilateur, sur la base du code source, il est clair que p est non-nul C'est un autre cas où le futur influence le passé	`void g(int); void h() {} void f(int* p) { if (p) h(); g(*p); }`
Exemple plus complexe (voir https://godbolt.org/z/Nm-GOj pour une démonstration) : L'appel à h(x) n'aura jamais lieu car le test if(!p) sera considéré inutile (toujours faux) du fait que g(p) est fait sans validation de p L'appel à g(x) n'aura jamais lieu car if(x==5) sera toujours faux, du fait que l'appel à h(x) n'aura jamais lieu... Si le compilateur n'a pas plus de contexte, la fonction g() générée sera... vide, faute d'avoir des conséquences sur le code qui sera exécuté Les compilateurs sont devenus très, très* efficaces...	`static int y = 42; void g(int xx) { y = xx; } void h(int& x) { x = 5; } void yet_another_stop_evading_me_compiler(int); void f(int* p) { int x = 42; if (!p) { h(x); } if (x == 5) g(x); g(*p); yet_another_stop_evading_me_compiler(y); }`
Exemple intéressant proposé par Andrzej Krzemienski (voir https://godbolt.org/z/62VleR pour une démonstration). Le programme souhaite comptabiliser les appels à f(p) où p est nul, or f(p) appelle impl(p) qui, pour sa part, utilise *p sans valider que p soit non-nul. Le futur influence le passé, et le compilateur supprimera le test sur p fait par f() du fait qu'il semble manifestement inutile	`int error_count = 0; namespace { void log_error() { ++error_count; // this has side effect } // but is guaranteed to return normally int impl(int* p) { // implicit assumption: p != nullptr return p; } } int f(int p) { if (p == nullptr) // this will get ellided log_error(); // due to the implicit assumption return impl(p); }`