Проектирование по контракту

Подход к проектированию программного обеспечения

Схема проектирования по контракту

Проектирование по контракту ( DbC ), также известное как контрактное программирование , программирование по контракту и проектирование-по-контрактному программированию , представляет собой подход к проектированию программного обеспечения .

Он предписывает разработчикам программного обеспечения определять формальные , точные и проверяемые спецификации интерфейса для компонентов программного обеспечения , которые расширяют обычное определение абстрактных типов данных с предусловиями , постусловиями и инвариантами . Эти спецификации называются «контрактами», в соответствии с концептуальной метафорой с условиями и обязательствами деловых контрактов.

Подход DbC предполагает, что все клиентские компоненты , которые вызывают операцию на серверном компоненте, будут соответствовать предварительным условиям, указанным как требуемые для этой операции.

Если такое предположение считается слишком рискованным (например, в многоканальных или распределенных вычислениях ), применяется обратный подход , то есть серверный компонент проверяет, выполняются ли все соответствующие предварительные условия (до или во время обработки запроса клиентского компонента ), и в противном случае отправляет соответствующее сообщение об ошибке.

История

Термин был придуман Бертраном Мейером в связи с его разработкой языка программирования Eiffel и впервые описан в различных статьях, начиная с 1986 года ^{[1] [2] [3]} и двух последующих изданиях (1988, 1997) его книги Object-Oriented Software Construction . Eiffel Software подала заявку на регистрацию товарного знака Design by Contract в декабре 2003 года, и она была получена в декабре 2004 года. ^{[4] [5]} Текущим владельцем этого товарного знака является Eiffel Software. ^{[6] [7]}

Проектирование по контракту имеет корни в работе над формальной верификацией , формальной спецификацией и логикой Хоара . Оригинальные вклады включают:

• Четкая метафора для руководства процессом проектирования
• Применение к наследованию , в частности формализм для переопределения и динамического связывания.
• Применение к обработке исключений
• Связь с автоматическим программным обеспечением документирования

Описание

Центральная идея DbC — метафора того, как элементы программной системы взаимодействуют друг с другом на основе взаимных обязательств и выгод . Метафора пришла из деловой жизни, где «клиент» и «поставщик» договариваются о «контракте», который определяет, например, что:

• Поставщик должен предоставить определенный продукт (обязательство) и вправе ожидать, что клиент выплатит ему вознаграждение (выгоду).
• Клиент должен уплатить комиссию (обязательство) и имеет право получить продукт (выгоду).
• Обе стороны должны соблюдать определенные обязательства, такие как законы и нормативные акты, применяемые ко всем контрактам.

Аналогично, если метод класса в объектно - ориентированном программировании предоставляет определенную функциональность, он может:

• Ожидайте, что определенное условие будет гарантировано при входе любым клиентским модулем, который его вызывает: предварительное условие метода — обязательство для клиента и выгода для поставщика (самого метода), поскольку оно освобождает его от необходимости обрабатывать случаи за пределами предварительного условия.
• Гарантия определенного свойства на выходе: постусловие метода — обязательство для поставщика и, очевидно, выгода (главная выгода от вызова метода) для клиента.
• Поддерживать определенное свойство, предполагаемое при входе и гарантируемое при выходе: инвариант класса .

Контракт семантически эквивалентен тройке Хоара , которая формализует обязательства. Это можно обобщить с помощью "трех вопросов", на которые дизайнер должен неоднократно отвечать в контракте:

• Что предполагается в контракте?
• Что гарантирует контракт?
• Что содержится в контракте?

Во многих языках программирования есть средства для создания подобных утверждений . Однако DbC считает, что эти контракты настолько важны для корректности программного обеспечения , что они должны быть частью процесса проектирования. По сути, DbC рекомендует сначала писать утверждения . ^{[ требуется цитата ]} Контракты могут быть написаны с помощью комментариев кода , реализованы набором тестов или и тем, и другим, даже если для контрактов нет специальной языковой поддержки.

Понятие контракта распространяется на уровень метода/процедуры; контракт для каждого метода обычно содержит следующую информацию: ^{[ необходима ссылка ]}

• Допустимые и неприемлемые входные значения или типы и их значения
• Возвращаемые значения или типы и их значения
• Значения или типы ошибок и исключений , которые могут возникнуть, и их значения
• Побочные эффекты
• Предпосылки
• Постусловия
• Инварианты
• (реже) Гарантии производительности, например, за использованное время или пространство

Подклассы в иерархии наследования могут ослаблять предусловия (но не усиливать их) и усиливать постусловия и инварианты (но не ослаблять их). Эти правила приближают поведенческое подтипирование .

Все отношения классов находятся между классами клиента и классами поставщика. Класс клиента обязан вызывать функции поставщика, где результирующее состояние поставщика не нарушается вызовом клиента. Впоследствии поставщик обязан предоставить возвращаемое состояние и данные, которые не нарушают требования состояния клиента.

Например, буфер данных поставщика может потребовать, чтобы данные присутствовали в буфере при вызове функции удаления. Впоследствии поставщик гарантирует клиенту, что когда функция удаления завершит свою работу, элемент данных действительно будет удален из буфера. Другие контракты проектирования являются концепциями инварианта класса . Инвариант класса гарантирует (для локального класса), что состояние класса будет поддерживаться в пределах указанных допусков в конце выполнения каждой функции.

При использовании контрактов поставщик не должен пытаться проверить выполнение условий контракта (практика, известная как наступательное программирование) . Общая идея заключается в том, что код должен «жестко давать сбои», а проверка контракта должна быть подстраховкой.

Свойство DbC «fail hard» упрощает отладку поведения контракта, поскольку предполагаемое поведение каждого метода четко указано.

Этот подход существенно отличается от подхода защитного программирования , где поставщик несет ответственность за выяснение того, что делать, когда предварительное условие нарушено. Чаще всего поставщик выдает исключение, чтобы сообщить клиенту, что предварительное условие нарушено, и в обоих случаях — как DbC, так и защитное программирование — клиент должен выяснить, как на это реагировать. В таких случаях DbC облегчает работу поставщика.

Проектирование по контракту также определяет критерии корректности программного модуля:

• Если инвариант класса И предусловие истинны до того, как клиент вызовет поставщика, то инвариант И постусловие будут истинны после завершения обслуживания.
• При обращении к поставщику программный модуль не должен нарушать предварительные условия поставщика.

Проектирование по контракту также может способствовать повторному использованию кода, поскольку контракт для каждого фрагмента кода полностью документирован. Контракты для модуля можно рассматривать как форму программной документации для поведения этого модуля.

Влияние на производительность

Условия контракта никогда не должны нарушаться во время выполнения программы без ошибок. Поэтому контракты обычно проверяются только в режиме отладки во время разработки программного обеспечения. Позже, при выпуске, проверки контрактов отключаются для максимизации производительности.

Во многих языках программирования контракты реализуются с помощью assert . Asserts по умолчанию компилируются в режиме релиза в C/C++ и аналогичным образом деактивируются в C# ^[8] и Java.

Запуск интерпретатора Python с аргументом «-O» (для «оптимизации») также приведет к тому, что генератор кода Python не будет выдавать байт-код для утверждений. ^[9]

Это фактически устраняет затраты времени выполнения утверждений в производственном коде — независимо от количества и вычислительных затрат утверждений, используемых при разработке, — поскольку компилятор не будет включать такие инструкции в производство.

Связь с тестированием программного обеспечения

Проектирование по контракту не заменяет обычные стратегии тестирования, такие как модульное тестирование , интеграционное тестирование и системное тестирование . Скорее, оно дополняет внешнее тестирование внутренними самотестами, которые могут быть активированы как для изолированных тестов, так и в производственном коде во время фазы тестирования.

Преимущество внутренних самотестов в том, что они могут обнаружить ошибки до того, как они проявятся как недействительные результаты, наблюдаемые клиентом. Это приводит к более раннему и более конкретному обнаружению ошибок.

Использование утверждений можно рассматривать как форму тестового оракула , способ тестирования проекта путем реализации контракта.

Языковая поддержка

Языки с родной поддержкой

Языки, которые изначально реализуют большинство функций DbC, включают:

• Ада 2012
• Чао
• Кложур
• Кобра
• Д ^[10]
• Дафни
• Эйфелева
• Крепость
• Котлин
• Меркурий
• Oxygene (ранее Chrome и Delphi Prism ^[11] )
• Рэкет (включая контракты более высокого порядка и подчеркивая, что в нарушении контракта следует обвинять виновную сторону и делать это следует с точным объяснением ^[12] )
• Сатер
• Скала ^{[13] [14]}
• SPARK (через статический анализ программ на языке Ada )
• Вала
• ВДМ

Кроме того, стандартная комбинация методов в Common Lisp Object System имеет квалификаторы методов :before, :afterкоторые :aroundпозволяют писать контракты как вспомогательные методы, среди прочего.

Языки со сторонней поддержкой

Различные библиотеки, препроцессоры и другие инструменты были разработаны для существующих языков программирования без собственной разработки по контрактной поддержке:

• Ada , через прагмы GNAT для предусловий и постусловий.
• С
  • DBC для препроцессора C
  • GNU Нана
  • инструменты формальной проверки eCv
• С++ :
  • Boost.Contract
  • инструменты формальной проверки eCv++
  • Компилятор Digital Mars C++ через расширение CTESK языка C
  • Библиотека Loki предоставляет механизм ContractChecker, который проверяет соответствие класса проекту по контракту.
  • DBC C++ Проектирование по контракту для C++
• C# (и другие языки .NET) через Code Contracts ^[15] ( проект Microsoft Research, интегрированный в .NET Framework 4.0)
• Groovy через GContracts
• Перейти через dbc или gocontracts
• Ява :
  • Активный:
    • OVal с AspectJ
    • Контракты на Java (Cofoja)
    • Язык моделирования Java (JML)
    • Проверка компонентов (только предварительные и последующие условия) ^[16]
    • действительный4j
    • SafeR (с безопасными ссылками)
  • Неактивно/неизвестно:
    • Jtest (активен, но DbC, похоже, больше не поддерживается) ^[17]
    • iContract2/JContracts
    • Контракт4J
    • jПодрядчик
    • C4J
    • Google CodePro Analytix
    • SpringContracts для Spring Framework
    • Jass Архивировано 2003-04-03 в Wayback Machine
    • Современный Ясс (преемник — Кофоха) ^{[18] [19]}
    • JavaDbC с использованием AspectJ
    • JavaTESK с использованием расширения Java
    • chex4j с использованием javassist
    • высоконастраиваемый Java-on-contracts
• JavaScript , через decorator-contracts, AspectJS (в частности, AJS_Validator), Cerny.js, ecmaDebug, jsContract, dbc-code-contracts или jscategory.
• Common Lisp , через макросы или протокол метаобъектов CLOS .
• Nemerle , через макросы.
• Ним , через макросы.
• Perl , через модули CPAN Class::Contract (автор Дэмиан Конвэй ) или Carp::Datum (автор Рафаэль Манфреди).
• PHP , через PhpDeal, Praspel или ContractLib Стюарта Герберта.
• Python , используя такие пакеты, как deal, icontract, PyContracts, dpcontracts или zope.interface. Постоянное изменение Python для поддержки проектирования по контрактам было предложено в PEP-316 в 2003 году, но отложено.
• Ruby , через DesignByContract Брайана МакКалистера, Ruby DBC ruby-contract или contract.ruby.
• Ржавчина через ящик с контрактами.
• Свифт через кокос Джима Бойда.
• Tcl , через объектно-ориентированное расширение XOTcl .

Смотрите также

• Компонентно-ориентированная разработка программного обеспечения
• Корректность (информатика)
• Защитное программирование
• Система с быстрым отказом
• Формальные методы
• Логика Хоара
• Модульное программирование
• Вывод программы
• Усовершенствование программы
• Строгая типизация
• Разработка через тестирование
• Анализ состояния типа

Примечания

1. Мейер, Бертран: Проектирование по контракту , Технический отчет TR-EI-12/CO, Interactive Software Engineering Inc., 1986
2. Мейер, Бертран: Проектирование по контракту , в книге «Достижения в объектно-ориентированной разработке программного обеспечения» , под ред. Д. Мандриоли и Б. Мейер, Prentice Hall, 1991, стр. 1–50
3. Мейер, Бертран: «Применение «Проектирования по контракту»», в Computer (IEEE), 25, 10, октябрь 1992 г., стр. 40–51.
4. "Регистрация в Патентном ведомстве США для "DESIGN BY CONTRACT"". Архивировано из оригинала 21.12.2016 . Получено 22.06.2009 .^{[ мертвая ссылка ]}
5. "Регистрация в Патентном ведомстве США графического дизайна со словами "Design by Contract"". Архивировано из оригинала 21.12.2016 . Получено 22.06.2009 .^{[ мертвая ссылка ]}
6. "Статус товарного знака и поиск документов - 78342277". Заявка на регистрацию товарного знака в USPTO и поиск документов .
7. "Статус товарного знака и поиск документов - 78342308". Заявка на регистрацию товарного знака в USPTO и поиск документов .
8. "Утверждения в управляемом коде". Microsoft Developer Network . 15 ноября 2016 г. Архивировано из оригинала 22 августа 2018 г.
9. Официальная документация Python, оператор assert
10. Брайт, Уолтер (2014-11-01). "Язык программирования D, контрактное программирование". Digital Mars . Получено 2014-11-10 .
11. Ходжес, Ник. «Пишите более чистый и качественный код с контрактами классов в Delphi Prism». Embarcadero Technologies. Архивировано из оригинала 26 апреля 2021 г. Получено 20 января 2016 г.
12. Финдлер, Феллейзен Контракты для функций высшего порядка
13. "Scala Standard Library Docs - Assertions". EPFL . Получено 24.05.2019 .
14. Строгая типизация как еще один способ «обеспечения соблюдения контракта» в Scala, см. обсуждение на scala-lang.org/.
15. "Code Contracts". Microsoft Developer Network . Архивировано из оригинала 15 ноября 2018 г.
16. "Спецификация проверки компонентов". beanvalidation.org .
17. "Помощь в тестировании ПО от экспертов | Ресурсы Parasoft" (PDF) . Архивировано (PDF) из оригинала 2022-10-09.
18. "Архивная копия" (PDF) . Архивировано из оригинала (PDF) 2016-03-28 . Получено 2016-03-25 .{{cite web}}: CS1 maint: архивная копия как заголовок ( ссылка )стр. 2
19. "Нет шансов на выпуск под лицензией Apache/Eclipse/MIT/BSD? · Проблема № 5 · nhatminhle/cofoja". GitHub .

Библиография

• Митчелл, Ричард и МакКим, Джим: Проектирование по контракту: на примере , Эддисон-Уэсли, 2002
• Вики-книга, описывающая DBC близко к оригинальной модели.
• МакНейл, Эшли: Структура семантики поведенческих контрактов. Труды Второго международного семинара по моделированию поведения: основы и приложения (BM-FA '10). ACM, Нью-Йорк, США, 2010. В этой статье обсуждаются обобщенные понятия контракта и взаимозаменяемости .

Внешние ссылки

• Сила проектирования по контракту (TM) Краткое описание DbC со ссылками на дополнительные ресурсы.
• Создание безошибочного объектно-ориентированного программного обеспечения: введение в проектирование по контракту (TM) Более старые материалы по DbC.
• Преимущества и недостатки; реализация в RPS-Obix
• Использование контрактов кода для более безопасного кода