南京大学【软件分析】07 Interprocedural Analysis

1. Motivation

之前接触的都是过程内的分析。过程内的分析做最保守的假设most conservation assumption，容易导致精度丢失imprecison，即把所有传入的参数都当作非常量NAC。
如下图所示，x、y、n在各自的函数当中都被视为非常量NAC，但实际上，n=10为常量，x=42.因此需要过程间分析来保证精度。
过程间分析：当遇到方法调用时，会在两个方法之间加上一条边，表示数据流的流向。进行过程间分析需要构造函数调用图call graph，用来表示函数间的调用关系。

2. Call graph Construction（CHA）

本课程主要介绍面向对象语言的调用图的构造

构造调用图的方法

构造调用图的关键是处理好Virtual call。因其target方法大于等于1，其他的只有一个。

2.1 方法分派Method Dispatch

Method Dispatch方法分派：个人的理解，方法分派是基于方法重载而产生的。
这里先来回顾一下什么是方法重载？
方法重载：一个类中定义多个具有相同名字的方法，具体执行哪个，由传入的参数决定。即方法名字相同，参数列表不同（类型、个数、顺序），与返回值类型、访问修饰符无关。在调用该方法时，程序会根据传入的参数和调用该方法的对象来确定具体执行哪一个函数，确定具体执行哪一个函数的过程就叫做Method Dispatch方法分派。
参考：方法分派（method dispatch）的几个例子
Java多态原理 - JVM的静态分派和动态分派

程序运行时，一个virtual call被确定是具体调用哪个由以下两点决定：

1. virtual call返回内容的接收对象是谁：c
2. 调用点处的方法签名：m

此处的函数调用形式为：$o^1.foo(\dots {)}^2$

2.2 方法签名method signature

签名=类+方法名+描述符。描述符=返回类型+参数类型

定义一个函数$Dispatch（c，m）$，如果$c$包含一个非抽象的方法$m^{\prime }$，并且$m^{\prime }$和$m$有相同的名字和描述符，那么$c$就找到了他的目标函数$m^{\prime }$。
如果在$c$中没有找到，就从$c$的父类$c^{\prime }$中重复的查找。

2.3 案例：查找Dispatch

2.4 CHA

CHA：需要知道整个程序的继承关系，只根据receiver的声明类型来判断目标函数。
定义一个函数Resolve(cs)来查找调用点call site（cs）的目标方法，分别处理static call、special call、virtual call
T：调用点call site（cs）的目标方法
m：调用点call site（cs）的签名


假如 B b=new B（），CHA的结果仍为A.foo C.foo D.foo，其中C.foo D.foo为虚假的目标函数，存在不精确问题。

CHA的特点：
优点：快速。只考虑调用点接收变量的声明类型和它的继承关系，忽略数据和控制流信息
缺陷：不精确。容易引入虚假的目标方法spurious target call

2.5 通过CHA构造调用图

从入口函数开始，使用CHA找到入口函数可达的方法，再从这些可达的方法用CHA找到其他可达的方法，一旦两个方法之间可达，就在两方法间加上一条边，从而构成调用图。

WL：worklist，存储需要被处理的方法
CG：call graph调用图，
RM：可达方法的集合，一个方法进入RM，就代表已经可达了，无需再分析

3. Interprocedural Control-Flow Graph

CFG：单个函数的控制流图
ICFG：整个程序的控制流图。ICFG=CFGs+call edges & return edges
call edges：调用点到目标函数入口之间的边。图中蓝色虚线
return edges：目标函数返回点到调用点的下一条语句（也被称为return site）。图中红色虚线
那么图中黄色部分的边为什么会保留？在main函数中还有一些变量如a，黄色部分的边是为了传播类似于a这些本地的数据流。黄色的边也叫做call-to-return edge

4. Interprocedural Data-Flow Analysis

4.1 ICFG

基于ICFG就可以进行过程间数据流分析。
在过程内分析当中，考虑的是CFG，以及节点之间的转换node transfer
在过程间分析当中，考虑ICFG、节点之间的转换，以及边之间数据流的转换
边之间的数据流转换主要包括call edge transfer、return edge transfer：
call edge transfer：把数据流从调用点转移到目标函数的入口节点，用来传参数argument values
return edge transfer：把数据流从return节点传播到调用点的下一条语句（也被称为return site）上，用来传返回值return values

4.2 案例：过程间常量传播

过程间分析当中的node transfer：类似于过程内的常量传播，对于每一个调用节点, the transfer function is identity function

注意两个地方的kill b

对比下面过程内的分析，过程内的分析很多值都不能确定（如b，c），分析结果不精确