Apprendre la programmation par contrat en C++ : les assertions

@Pyramidev.
Merci pour le numéro de ligne que je vois et oublie régulièrement. Il faut que je m'organise pour corriger ça. Merci aussi pour l'info, pour boost. Je ne pense pas le rajouter. Je trouve mes billets déjà trop longs. Surtout le deuxième qui s'est dispersé depuis la version initiale qui se concentrait sur les assertions, et ce n'est plus trop le sujet du 3e où je montre des patterns plus ou moins heureux. J'aurai du faire une 4e billet pour présenter GSL et la mode ressuscitée des types opaques en C++.

Je maintiens la domain_error (dérivant de logic_error) dans my::sqrt, et non une runtime_error.
my::sqrt a un contrat: l'entrée doit être positive. Si elle est négative, c'est une erreur de logique. Même avec un contrat élargi. Ce n'est pas à my::sqrt de valider les saisies utilisateur.

Les problèmes arrivent effectivement quand on commence à ne plus vraiment distinguer ces situations et à ne plus vraiment être capables de déterminer les responsabilités de chacun. Si on cesse de contrôler nos entrées au point où on les reçoit, on commet des erreurs de programmation, ou des fautes de style si le choix est assumé.

Accessoirement, je ne valide pas que "Error in distance file toto.txt at line 42: error negative number sent to sqrt" soit une bonne factorisation. Déjà c'est supposé qu'un vrai code soit bien aussi simple que cela, qu'il n'y ait pas des couches intermédiaires avant l'appel à sqrt, ou pire une mémorisation des distances sous forme d'un vecteur avant de calculer nos racines carrées. Mon exemple est un truc simpliste pour le besoin de l'illustration.
Dans les autres trucs assez simples que j'ai rencontré: des chaines lues dans un XML et passées dans boost::lexical_cast pour les convertir en nombre. On est dans les mêmes problématiques à se reposer sur une sous-couche qui renvoie une erreur au lieu de contrôler préalablement, on arrive vite avec des fiches d'anomalies ouvertes par le client sous prétexte que "Cannot execute joborder foobar: source type value could not be interpreted as target".

Bref, je suis de plus en plus convaincu qu'une exception de logique (même si déguisé en runtime_error) est une déresponsabilisation quand elle est le seul mécanisme employé pour valider des cas invalides mais plausibles. Si maintenant, elle est là en roue de secours parce que l'on estime que l'on ne peut pas valider tous les chemins et qu'il ne faut absolument pas planter... ma foi. Je vais dire que c'est un palliatif acceptable en attendant de disposer de bon moyens pour mieux contrôler nos chemins d'exécutions -- typiquement des outils de preuve formelle.

@alex_deba. Merci beaucoup pour toutes ces précisions. C'est très intéressant, et une bonne nouvelle. Je mets ça dans un coin de ma tête le jour où je ferai un billet dédié aux outils d'analyse de code (je pense que j'attendrai l'adoption officielle des contrats en C++).

D'ailleurs, si ce n'est pas déjà le cas, n'hésitez pas à vous impliquer dans les évolutions en cours.
Ce qui me fais penser à la limitation de relaxation des préconditions lors des indirections (héritage, ou pointeurs de fonctions), dans la formulation actuelle des contrats pour un standard ultérieur du C++. Avez-vous d'autres moyens pour annoter un code source quant à des pré- et post-conditions ? (un peu comme Frama-C, ou les futurs `[[expect: x >= 0]]` si tout va bien) ? Et si oui, vous est-il possible de détecter des violations du LSP sans interdire les relaxations des préconditions ni les renforcements des postconditions ?

La façon dont fonctionne Polyspace Code Prover est différente du fonctionnement d'autres outils statiques comme Frama-C qui demandent à l'utilisateur de donner des spécifications fonctionnelles (requires, ensures) qui seront ensuite vérifiées par l'outil. Notre outil ne demande aucune annotation pour fonctionner, la vérification formelle de la "safety" du code se faisant uniquement par son interprétation (Cf. https://fr.wikipedia.org/wiki/Interpr%C3%A9tation_abstraite).

Pour ce qui est du respect du LSP, l'outil est suffisamment précis pour détecter ce genre de violations.
Je prends pour exemple ici le code qui est donné dans la FAQ sur le LSP (rectangle et square) : https://cpp.developpez.com/faq/cpp/?page=L-heritage#Qu-est-ce-que-le-LSP.

Si j'utilise un objet de type square dans foo()

Code Prover appliquera les méthodes set_height() puis set_width() de la classe square. La méthode area() renverra donc 25.0 et l'assert sera faux (coloré en rouge pour indiquer un problème systématique).
Tout se passe ici comme si le code était exécuté.

Fais-moi signe si tu veux en savoir plus sur Code Prover quand tu écriras ton billet !

Je cite BOOST_ASSERT qui est la version raffinée de cette technique.
Par défaut, BOOST_ASSERT est un synonyme de assert.
Par contre, quand la macro BOOST_ENABLE_ASSERT_HANDLER est définie, BOOST_ASSERT appelle la fonction :
qui est déclarée dans Boost, mais pas définie.
BOOST_ASSERT récupère les infos à passer en paramètre à boost::assertion_failed et, en bonus, optimise les branchements en disant au compilateur que l'expression évaluée est souvent vraie.
L'utilisateur peut définir boost::assertion_failed pour faire ce qu'il veut, par exemple lancer une exception riche en informations.

Je réagis au premier article !

J'ai bien aimé ! Récemment j'ai eu une discussion avec un collègue dont le sujet était justement programmation par contrat vs programmation défensive. Le débat était parti d'un code où je mettais des assertions pour vérifier que les valeurs passées en paramètres étaient bien dans les plages précisées dans la documentation de la fonction. Il s'était que je ne fasse pas un test avec un if() (pour ne rien faire ou renvoyer une erreur) à la place de assert(). Ce billet me permet de bien re-situer les tenants et aboutissants de programmation par contrat vs programmation défensive.

Le premier article affirme :
« Le choix de remonter des exceptions, depuis le lieu de la détection de la rupture de contrat, est un choix de programmation défensive. C'est un choix que j'assimile à une déresponsabilisation des véritables responsables. »
« Il est vrai que la programmation défensive permet d'une certaine façon de centraliser et factoriser les vérifications. Mais les vérifications ainsi centralisées ne disposent pas du contexte qui permet de remonter des erreurs correctes. Il est nécessaire d'enrichir les exceptions pauvres en les transformant au niveau du code client, et là on perd les factorisations. »

Cependant, il y a des erreurs dans le code qui illustre les idées ci-dessus :
Erreur d'étourderie : La variable l, qui indique le numéro de ligne, n'est pas déclarée.
Autre erreur : Par convention, std::logic_error, c'est pour une erreur de programmation, pas pour une erreur d'une donnée en entrée d'un programme (comme un fichier).
Le genre de code critiqué, ce serait plutôt celui-ci :
Dans le code ci-dessus, on ne perd pas entièrement la factorisation, car une partie du message d'erreur est gérée par my::sqrt.

Mais il y a bien une déresponsabilisation du code appelant. En effet, l'appelant se dira qu'il n'aura pas toujours besoin de lancer une exception de type std::runtime_error quand un nombre en entrée du programme attendu comme positif est strictement négatif car, s'il donne ce nombre en argument à my::sqrt, c'est my::sqrt qui fera le travail.

Le problème de cette déresponsabilisation, c'est que le jour où my::sqrt recevra un argument strictement négatif suite à une vraie erreur de programmation, l'erreur ne sera pas signalée sous la forme d'erreur de programmation (par exemple avec une exception de type std::logic_error).
Alors, le code spécifique à la gestion des erreurs de programmation (par exemple un bloc catch(std::logic_error const& e)) ne sera pas appelé.
Et le jour où un développeur voudra que le programme détecte mieux les erreurs de programmation en redéfinissant my::sqrt en :
il va se heurter à des faux positifs à cause du code legacy qui partait de l'hypothèse que my::sqrt pouvait recevoir un nombre strictement négatif.

Au quotidien, les fois où je rencontre le plus cette déresponsabilisation, ce sont les fonctions sans assert qui commencent par un if et qui ne font rien quand la condition est fausse. Comme ça, les fois où la condition est fausse à cause d'une erreur de programmation, l'erreur n'est détectée que beaucoup plus tard voire n'est même pas détectée.

Cela dit, il est dommage que le premier article fasse parfois l'amalgame entre lancer une exception et déresponsabiliser le code appelant. Ce n'est normalement pas le cas quand l'exception lancée dérive de std::logic_error.

Heureusement, il ne fait pas toujours cet amalgame. Je cite un passage qui ne le fait pas :
« Si la PpC s'intéresse à l'écriture de code correct, la programmation défensive s'intéresse à l'écriture de code robuste. L'objectif premier n'est pas le même (dans un cas on essaie de repérer et éliminer les erreurs de programmation, dans l'autre on essaie de ne pas planter en cas d'erreur de programmation), de fait les deux techniques peuvent se compléter.
[...]
À vrai dire, on peut utiliser simultanément ces deux approches sur de mêmes contrats. En effet, il est possible de modifier la définition d'une assertion en mode Release pour lui faire lancer une exception de logique. En mode Debug elle nous aidera à contrôler les enchaînements d'opérations. »

Nous sommes d'accord que, dans un code bien conçu, my::sqrt devrait avoir pour contrat que l'argument soit positif.
Mais, dans le code que tu critiquais :
L'appelant n'a pas oublié que le nombre d pouvait être négatif (on le voit dans le message d'erreur) et a donc volontairement ignoré le contrat.
Sinon, il aurait écrit :
Face à cette contradiction, je me suis dit que tu critiquais une conception dans laquelle il n'y avait pas de contrat. Alors, le type de l'exception aurait normalement été std::runtime_error.
Ou alors, j'ai mal interprété ce que tu critiquais.

Je pense que je comprends. Effectivement, dans mon processus de rédaction, je me suis implicitement mis en parallèle avec un code qui évolue selon les étapes suivantes:
1- on plante comme des sauvages
2- on se dit qu'il faut rajouter une exception parce que planter c'est mal
2.5- on a un `catch(std::exception const&` quelque part et ...
3- ...on finit par découvrir que le message n'est pas suffisant, et on rajoute dans `my::process` le nouveau catch qui va enrichir le message.
Et là, pouf conclusion: "pourquoi ne pas avoir testé avant plutôt qu'après? -- D'autant que cela complexifie le code."

J'ai l'impression que tu as tiqué parce que j'ai triché sur l'étape 2. En effet, il faut être honnête, et tu m'as pris la main dans le sac: personne ne sait que std::logic_error existe, et/ou personne ne s'en sert -- peut-être parce que quelques part c'est avouer que l'on fait des erreurs de programmation, je ne sais pas.
Si j'ai employé logic_error, c'est bien parce que j'ai voulu faire propre et honnête, et ne pas suivre les conventions d'un autre langage où la validation des paramètres se faisait avec des RuntimeException (ou autre nom approchant) qui sont bien antérieures à l'introduction des assertions. Dans cette approche, j'ai l'impression que l'entrée (comme dans "validation des entrées (utilisateur)" devient paramètre. Après tout un paramètre est une entrée de fonction, non?

Je pense que l'on n'a jamais vraiment rien eu de bien carré et appliqué uniformément par tous. Du coup chacun fait un peu à sa sauce, et définit ses propres bonnes pratiques. Il y a ceux qui ont continué à vivre au pays des UB sans les redouter car ils ont intégré la notion de contrat qui se vérifie en amont. Et ceux qui ont détesté ces UB et ont vite préféré les exceptions (sémantiquement de logique) et autres techniques de programmation défensive.

Mon objectif est surtout de montrer qu'il y a moyen de faire plus élégant, plus efficace, et plus vite adapté aux investigations post-mortem -- à condition évidemment que (le sous ensemble de) la programmation défensive (que je décris) ne soit pas imposé.