Научный форум dxdy

Поэтому хорошей практикой является не указывать размер массива вовсе в прототипе функции - эта цифра никоим образом не учитывается компилятором. Для того, чтобы обозначить массив, лучше написать func(char m[]).

Кстати, еще похожий пример:

Тот редкий случай, когда int a[] и int *a не взаимозаменяемы. Пример взят из книжки "Как не надо программировать на Си++", автора посмотрю чуть позже.

Стив Уэллин?

По моему, он.

Куда-то затерялась книга, поищу. Купил в ларьке типа "все за 40 руб" .

Добрый день!
Очень интересно было читать тему.

Хотел бы дать ссылку на одну любопытную статью http://kholeg.spaces.live.com/blog/cns! ... !152.entry

Заинтересовала тема "доказательного программирования". Предлагаю рассмотреть практический пример, хватит абстракций. Как, скажем, доказательно запрограммировать файловый сервер ftp ?

А что-нибудь попроще Вас не устроит? Например, алгорифм Евклида Вы готовы доказательно рассписать (здесь)?

Я не то, чтобы скептик. Как правило, никто не готов платить за доказательный код. Если Вы распишете а.Е., Вы увидите, насколько это трудоёмко.

Видимо, я очень плохо владею математиким аппаратом, но просто не вижу его применения в самых обычных повседневных практических задачах. Просто хотелось бы взглянуть как суровые математики отнеслись бы к такой задаче. Например, программирование ftp сервера - это просто систематическое следование спецификациям, разработка на их основе простейших алгоритмов работы(с точки зрения математики). И здесь, как ни крути, к совершенству можно идти только отладкой(разумеется, не безсистемной).

Видите ли, не вижу необходимости доказывать каждую строку программы. Когда дело касается какого-либо сложного алгоритма, разумеется правильность доказывать необходимо, но, насколько я понимаю, доказательство применяется именно к алгоритму, а не к коду.

Общий тезис: стремление к программам без ошибок с помощью лишь математики - тупиковый путь.

bak: Очень рад достижениям российских студентов на соревнованиях по программированию. Однако, к сожалению, мне не удалось ощутить наличие существования "русской школы программирования". Возможно потому что вуз не столичный =)

То, что Вы не видите, не делает его бесполезным.


Вы глубоко заблуждаетесь. Посмотрите Literate Programming, «Наука программирования» Д.Гриса, «Взаимодействие последовательных процессов» Хоара.

Более того, в некоторых областях (security, reliability) отладки быть не может: только by design.


А зря.


Код — это формальная запись алгорифма. В чём Вы видите разницу?


А почему? Мне это успешно удавалось. Более того, когда я не знаю, как писать программу, я честно начинаю писать математику программы.

Возможно, заблуждаюсь.
Вы используете Literate Programming в своей деятельности? Обязательно займусь этой технологией. Насколько понял из описаний, это просто удобный способ работы с исходным текстом. А также развивает культуру документирования.


Как я понял, Вы отказываетесь от отладки как от некоего средства разработки, но не как от средства тестирования? Если это так, то я в чем то с Вами согласен. Однако считаю отладку чрезвычайно полезным инструментом, особенно для критических приложений. Например, при разработке программ для станков с программным управлением прежде всего обкатывают программу на симуляторе, и уже затем позволяют ей работать с заготовками.


Разницу я вижу в том, что с точки зрения человека "Повторять пока i не больше нуля действие N" и

может оказаться одним и тем же.

Т.е. в процессе трансляции кода с математического или иного алгоритмического языка на машинный язык (эту трансляцию выполняет человек) не исключены ошибки. В результате доказанный и отработанный до мелочей алгоритм на железе вдруг откажется работать.


Как раз из-за особенностей машинного языка(имею в виду языки программирования). А также невозможности полностью держать в голове большую программу происходят различные нестыковки, недоработки, неучтенные моменты и тп.
Очень рад за Вас, не знаю, удастся ли мне когда-либо научиться программировать без ошибок.

Ух, что-то мы такое проходили ... инвариант цикла, ...

Д. Кнут, том1, "Основные алгоритмы" .

Что-то я не упомню такого. С расписанными пред- и пост-условиями, инвариантами циклов? Может, Вы более точно ссылку укажете?

Между прочим, алгорифм Евклида ещё пишут более или менее. А вот аккуратное выписывание двоичного поиска вызывает куда больше проблем. Я, не мудрствуя лукаво, сразу пишу предикаты. Поскольку по опыту знаю, что иначе совру.


Ну так доказывайте правильность второго, кто ж Вам мешает?


Не очень понял. Если речь идёт о С++, то доказывается именно правильность программы на С++. Если речь идёт о правильности трансляции С++ в машинный код, то её обычно выполняет не человек, а программа. И там, где это критично (в авиационном приборостроении, например), эта программа (компилятор) сама подлежит сертификации.


Нет. Я и правильность програм доказываю редко — слишком дорого и трудоёмко. Кроме того, очень часто выбор осуществляется внешними факторами, например, группой.


Принципа «разделяй и властвуй» ещё никто не отменял. А неучтённые моменты могут ловиться на assert'ах.

Вспомнилась Тьюринговская лекция Кена Томпсона: Размышления о том, можно ли полагаться на доверие.

Вобще-то "программа без ошибок" -- реальность, особенно если не считать ошибок смысловых. Например, на языках с зависимыми типами (dependent types) можно написать программу сортировки, при этом при компиляции будет математически доказано, что данная программа сортирует.

Добавлено спустя 1 час 50 минут 40 секунд:



Да, это трудоемко -- если доказывать код императивный. В случае строго типизированного (и, желательно, на функциональном яп) кода это совсем не сложно.

Браво! А если ещё и не считать синтаксические ошибки, то с написанием безошибочной программы уже сейчас справится каждая кухарка.


Я уже упоминал аксиомы Шура-Буры. Они не утверждают невозможности программы без ошибок, лишь ставят под сомнение её полезность.


Это нехитро сделать и на C. Даже и на ассемблере. Вы вот контрол календаря напишите. Чтобы был интуитивно правильным. И, желательно, в стандартном Windows (без всех этих новомодных фрейворков. Почему? да потому, что фреймворки тоже люди пишут. Вот и поставьте себя на место фрейворкаписателя).


Возьмите Алгол-68 — академически формальная строгая типизация.

~~~

Я, боюсь, существую одновременно во множестве разных миров. В некоторых из них Вы правы: наверное, можно писать полезные программы на функциональных языках. В некоторых — нет. И даже не только потому, что найдите мне компилятор функционального языка, ориентированный на встроенные системы. Просто, когда речь идёт о строго хронометрированном опросе пары дюжин каналов с частотой 700 мкс и обработкой данных на процессоре с ограниченными ресурсами (скажем, PowerPC 20 МГц), на одном языке просто не получается писать. Начинаются всяческие разные вкрапления ассемблера, коды вспомогательных процессоров и подобные радости. И их тоже надо выписать без ошибок.

Есть и классическое определение ошибки в программе (Майерс, Искусство тестирования программ): ошибка — это когда программа делает не то, что ожидает пользователь. Соответственно, для доказательства правильности надо формализовать — а значит, необходимо огрубить, — пользователя. Что, в свою очередь, означает неминуемое внесение ошибок.

Покажите мне компилятор си, который докажет вам то, что ваш алгоритм сортирует. Опять же, как вы уже указывали, аналогичное ручное доказательство для си будет ужасным.



Никакой "контрол календаря" меня совершенно не интересует А уж windows -- тем более.



Такого компилятора нет, зато есть инструменты, позволяющие формально описывать многие встроенные системы вплоть до fpga и доказывать их корректность. И никто не собирается сами эти инструменты запускать на целевых системах.



Вот именно, что она только кажется строгой, на самом деле она там почти отсутствует



Если добавить, "но то, что ожидает программист" -- тогда именно такие ошибки я и имел в виду, когда говорил "смысловые".

Добавлено спустя 5 минут 22 секунды:

Да, кстати, про



Доказательства корректности исходного кода этой системы, к примеру -- http://coq.inria.fr/ -- были произведены вручную. Поэтому нет повода не доверять тем д-вам и программам, что через нее прошли В основном она конечно не про программирование, а про доказательства, но опять же построена на зависимых типах и программировать кое-что можно.