Skip to main content
Nubint
QUICK REVIEW

[论文解读] Static Race Detection and Mutex Safety and Liveness for Go Programs

Julia Gabet, Nobuko Yoshida|arXiv (Cornell University)|Jan 1, 2020
Logic, programming, and type systems参考文献 26被引用 4
一句话总结

本文提出了首个针对Go程序的静态验证框架,统一使用行为类型和类型级别模型检查技术,检测数据竞争、死锁以及互斥量安全/活性违规问题。该框架在µ-微积分类型模型中形式化了Go的happens-before关系,实现了对共享内存和通道通信引发的并发错误的可靠静态分析。

ABSTRACT

Go is a popular concurrent programming language thanks to its ability to efficiently combine concurrency and systems programming. In Go programs, a number of concurrency bugs can be caused by a mixture of data races and communication problems. In this paper, we develop a theory based on behavioural types to statically detect data races and deadlocks in Go programs. We first specify lock safety/liveness and data race properties over a Go program model, using the happens-before relation defined in the Go memory model. We represent these properties of programs in a μ-calculus model of types, and validate them using type-level model-checking. We then extend the framework to account for Go’s channels, and implement a static verification tool which can detect concurrency errors. This is, to the best of our knowledge, the first static verification framework of this kind for the Go language, uniformly analysing concurrency errors caused by a mix of shared memory accesses and asynchronous message-passing communications.

研究动机与目标

  • 解决现有Go并发错误静态分析工具中同时处理共享内存与消息传递问题的不足。
  • 在行为类型系统中,使用happens-before关系形式化Go的内存模型。
  • 开发一个统一的静态验证框架,同时检查Go程序中的安全问题(数据竞争、死锁)与活性问题(互斥量公平性)。
  • 通过mCRL2的类型级别模型检查技术,实现可扩展的、可靠的Go程序验证。
  • 克服Go内置-race标志等动态竞争检测器的局限性,后者存在高开销和检测不完整的问题。

提出的方法

  • 使用扩展了共享内存和通道的进程演算模型形式化Go的并发语义。
  • 基于Go内存模型中的happens-before关系,定义锁安全与活性属性。
  • 将程序属性表示为行为类型上的µ-微积分公式,以支持静态验证。
  • 通过mCRL2实现类型级别模型检查,无需运行时开销即可验证安全与活性属性。
  • 扩展框架以支持Go的通道和goroutine创建,包括动态进程创建。
  • 实现一个原型工具,将Go代码提取为形式化的GoL-like中间语言以供分析。

实验结果

研究问题

  • RQ1行为类型与类型级别模型检查能否用于静态验证Go程序中的数据竞争与死锁?
  • RQ2Go内存模型中的happens-before关系如何被形式化编码,并用于检测数据竞争与互斥量安全违规?
  • RQ3统一的静态分析框架能否有效处理Go程序中同时存在的共享内存并发与通道通信?
  • RQ4与Go的-race标志等动态竞争检测器相比,所提出的框架在精度与可扩展性方面表现如何?
  • RQ5该框架能否扩展以支持动态进程创建,并为检测到的错误提供反例?

主要发现

  • 所提出的框架是首个使用统一行为类型模型,静态验证Go程序中数据竞争与死锁/活性问题的框架。
  • 使用mCRL2进行类型级别模型检查,实现了无需运行时开销的可靠验证,优于ThreadSanitizer等动态检测器。
  • 该框架成功检测到图1中的数据竞争(RWMutex使用不当),并正确识别出图2中的安全版本。
  • 该方法同时支持读写互斥量与基于通道的通信,覆盖了Go中广泛的一类并发错误。
  • 工具原型在真实Go程序上展示了可行性与正确性,且通过模型检查实现了形式化验证。
  • 本工作揭示了现有动态检测器的缺陷,如历史记录有限、对非阻塞错误存在漏报,而静态方法可有效克服这些问题。

更好的研究,从现在开始

从论文设计到论文写作,大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成,并经人工编辑审核。