JMLKelinci+：使用Coverage-guided模糊化和运行时断言检查检测语义错误并使用有效输入覆盖分支

2.1用有效输入覆盖分支

不同的作者提出了生成有效输入的方法。在基于语法的模糊化中[43,49,60,66]例如，使用生成器（基于某些语法或类似模型）生成具有特定结构的有效输入。还可以为几个网络协议模糊器提供输入结构的规范或语法，包括SNOOZE[6]和TFuzz[67]. 一些内核API模糊器提供了指定输入参数数量和类型的模板，如syzkaller[52].

此外，使用符号执行是收集PUT中分支信息的常用方法[5,70]. 符号执行的结果可用于生成（通过使用SMT解算器）新的有效输入测试，以覆盖新的分支。然而，本研究关注能够满足前提条件的有效输入。此外，符号执行通常比模糊化产生更大的计算开销，在测试广泛或复杂的软件系统时可能会限制其可伸缩性。符号执行还需要准确建模软件环境，包括库和API。准确构建此类模型可能是一项具有挑战性的任务；相反，在本文中，我们只需要先决条件就可以用entry方法的有效输入覆盖分支。

此外，一些模糊器是为特定语言设计的，语言及其类型的模型内置于模糊器中，用于生成有效的输入，如funfuzz[73]用于JavaScript。相比之下，我们的想法不仅限于特定的输入结构格式或语言，而且可以与任何可以为RAC指定前提条件的编程语言一起工作。

还使用了其他几种技术来提高生成有效输入的概率。Godefroid等人。[51]使用机器学习为PUT构造语法，并使用基于语法的模糊器创建有效输入。Rajpal等人。[116]建议使用深度学习来预测选定输入的哪些字节应该变异以创建有效输入。TaintScope（泰恩显微镜）[126]使用污点分析绕过无效输入。然而，虽然这些方法增加了生成有效输入的概率，但它们不能保证发送到PUT的所有输入都是有效的。

几个工程[27,113,129,135]使用RAC来决定测试是否通过，但要求用户生成自己的测试数据或提供（少量）测试数据。然而，这些工作并没有试图实现代码覆盖。

其他一些工具[三,7,15,16,18,48,50,92,124]使用符号执行和/或模型检查（基于模型的测试）来生成输入测试。然而，他们不使用分支覆盖率指标；因为这些工具使用模型检查，它们的执行时间取决于PUT的大小，所以它们的可伸缩性有限。

科拉特[13,94]与我们的工作类似，它使用JML先决条件验证输入。然而，虽然Korat可以自动创建复杂数据结构的输入，但Korat不会测量分支覆盖率或尝试增加它。此外，Korat的可扩展性有限。未来的工作可以考虑将Korat的技术与我们的技术相结合，或许可以实现更自动的测试复杂输入的合成。

一些研究[20,106,107,122,123,125]将模糊处理与符号执行相结合。这些工作添加了一些使用符号执行生成的有效测试，以及变异语料库的符号方法所使用的前提条件，以指导模糊器生成更好的测试。然而，它们不能保证所有生成的输入都是有效的（通过模糊器生成有效输入并不是此类模糊器的主要目标）。

以下工具测量代码覆盖率，并尝试在生成测试套件时改进代码覆盖率：EvoSuite[45,46,47]、兰多普[109,110]和TSTL[54,55,63]. 然而，它们不能保证只有有效的输入被传递到PUT。TSTL允许指定在测试期间必须保持的不变属性，但不允许指定先决条件。Randoop可以用断言记录程序行为，但不基于用户特定的前提条件过滤输入，这将保证只有有效的输入被传递到PUT。

2.2检测语义错误

已经使用了几种静态和动态方法来检测语义错误，一些密切相关的方法使用模糊器。

3.1Java建模语言与OpenJML

JML公司[78,82]是一种用于Java的Hoare-style形式化行为接口规范语言，已用于研究[81]，教育[19,114]和实际工作[38,71]. JML是一种演绎规范语言，它使用前置和后置条件指定Java方法和类的预期行为。此外，它还提供了用于编写内联断言和循环不变量的注释。

前提条件是在调用方法（或构造函数）时应该满足的断言。同样，后置条件是应该在方法（或构造函数）的出口点满足的断言。内联断言是在代码的语句之间编写的，当执行到达它们时，它们应该得到满足。此外，循环不变式是一种内联断言，应该在每个循环迭代的开始时保持。

有几个工具使用JML，包括OpenJML[22,33,34,36]和KeY[1,9]. KeY支持静态验证。OpenJML支持静态验证和RAC。要验证程序，工具需要对使用的所有方法（包括被调用的库方法）进行前置和后置条件，并对开始验证的方法中的所有循环使用循环不变量。然而，RAC只需要被测试方法的方法规范，尽管它可以使用内联断言来监视测试运行中的断言冲突。

图1显示了AddLoop方法及其JML规范；这个程序是Java+JML数据集中的一个重要程序[64,103]. JML规范是作为特殊的Java注释编写的，来自“//@“到一行的末尾。在JML中要求和确保子句分别指定方法的前置条件和后置条件。基于该方法的前提条件x个和年不应大于Java的最大整数值（以避免溢出）。此外，它们的总和应该不小于Java的最小整数值（以避免下溢）。后置条件表示返回值，\结果，等于x+y. The维护子句指定循环不变量减少子句循环变体；循环变量表示n个必须在每次迭代期间减少。

图1。

查看地物

3.2凯林奇

凯林奇[69]是一个灰盒CGF工具，旨在增加分支覆盖率并检测Java程序中的错误。Kelinci建立在著名的AFL工具之上[132]并将所有输入执行中继到JVM，以启用Java程序的模糊化。事实上，JMLKelinci+使用了另一个版本的Kelinci-WCA。^三Kelinci-WCA有三个主要选项。第一个选项使其像Kelinci一样工作，以尽量扩大分支覆盖范围。第二个选项使其尝试找到最大化执行时间的输入。⁴第三个选项的目的是找到最大化Java程序使用内存的输入。请注意，在所有三个选项中，Kelinci-WCA与Kelinci一样保存导致崩溃的输入，这表明程序中存在错误。

对于使用Kelinci（或Kelinci-WCA），用户至少需要提供一个驱动程序，用于将模糊器生成的输入数据字节（这些字节本身由Kelinchi内的AFL实例提供）转换为运行PUT所需的输入类型。此外，Kelinci至少需要一个种子输入，以便通过变异种子来提供输入数据类型。

Kelinci（以及几乎所有的模糊器）的问题之一是，与驱动程序结合使用时，它可能会生成无效的输入。因此，Kelinci可能会用无效输入覆盖分支。例如，在图1，如果模糊器生成x个和年值的总和超过Java的最大整数值，则当驱动程序运行添加循环方法，程序的分支将被无效输入覆盖，而Kelinci将保存这些无效输入，因为它们覆盖了一个新的分支。在此之后，如果Kelinci要生成覆盖该分支的新有效输入，则Kelinchi不会保存它们（因为它们不会覆盖新分支）。

4.1JMLKelinci+概述

为了说明我们的想法，我们开发了一个原型工具JMLKelinci+，它结合了CGF工具Kelinci[69]和OpenJML的RAC工具[33,34,35]. JMLKelinci+的作用类似于CGF工具，但只生成有效的输入并使用RAC检查后置条件。如图所示2，该原型工具的输入是一个Java程序，具有在JML中指定的前置和后置条件以及种子输入（如图中的突变语料库所示）；种子输入是变异语料库中唯一允许的无效输入。然后，Kelinci（使用AFL）生成输入数据，对变异语料库中的输入进行变异。然后，驱动程序（由用户编写）获取输入数据并将其转换为PUT所需的输入类型（即程序参数）。然后JMLKelinci+使用RAC运行PUT。如果转换的输入不满足指定的前提条件，则驱动程序捕获RAC引发的前提条件冲突异常（丢弃输入）并返回（通常）。因此，这种前提条件检查可以保证没有无效的输入被传递到PUT。此外，所有先决条件的违反都会导致程序在一个分支下运行，因此Kelinci在寻求更高的分支覆盖率时试图避免这种情况。然后，如果RAC在运行PUT（使用有效输入）时检测到任何断言冲突，那么JMLKelinci+会将生成的输入保存为反例，以显示错误的存在。如图所示2，此原型工具在使用每个输入运行时监视PUT的执行。JMLKelinci+尝试使用有效输入达到最高的分支覆盖率（并查找导致未捕获异常或其他崩溃的输入数据）。生成的导致新分支（或崩溃）的输入数据保存在变异语料库中。⁵JMLKelinci+中的AFL实例在其遗传算法中使用此类保存的输入来帮助生成其他此类输入数据。

图2。

查看地物

与标准Kelinci工具相比，我们的想法为模糊化提供了以下好处：

(1)	它可以通过在测试中使用有效输入的RAC检查后置条件来检测语义错误。
（2）	它使测试更加高效，因为它在运行PUT之前捕获并绕过无效输入。Kelinci存在的问题之一（以及几乎所有的CGF工具）是，它可能会用无效输入覆盖分支。Kelinci（不检查前提条件）可以运行图中的“AddLoop”方法1两个值的和大于最大整数值，因此可能会用无效输入覆盖分支。此外，如果一个分支被无效输入覆盖，然后Kelinci提供覆盖同一分支的有效输入，那么Kelinchi将不会保存有效输入，因为它们不覆盖新的分支。
（3）	它可以找到由有效输入导致的程序崩溃。
(4)	早期的研究表明，在突变语料库中有有效输入将增加生成更多有效输入的概率；这可能导致使用有效输入更有效地实现PUT的分支覆盖[127,131]. 由于变异语料库测试由有效输入组成（种子输入可能除外），因此Kelinci使用的遗传算法生成更多有效输入的概率增加。更多证据来自混合模糊工具的研究；这种混合模糊工具使用符号执行和程序的前置条件[20,106,107,122,123,125]生成有效的输入，以帮助CGF生成更好的输入数据。这些研究表明，有效的种子输入增加了模糊化过程中生成更多有效输入的概率。

JMLKelinci+可以被视为灰盒或白盒模糊器。如果该工具只能访问PUT的前置和后置条件，那么JMLKelinci+将像灰色框模糊器一样工作。然而，如果它可以访问代码，并且用户向更多方法添加前置和后置条件，那么它将像白盒模糊器一样工作。⁶

与其他CGF工具一样，使用JMLKelinci+，测试人员必须编写一个驱动程序，将模糊器中的字节流转换为程序的预期输入类型。那么，为什么不仅要将字节转换为有效输入呢？有几个原因：

• 手写驱动程序可能没有正确考虑PUT的前提条件，因此使用这种驱动程序的CGF工具可能仍然使用无效输入运行PUT。

• 将生成正确类型输入的任务与编写前提条件的任务分开，可以使每个任务更有可能正确执行。

由于JMLKelinci+使用前置条件检查，因此可以保证PUT始终使用有效输入执行。

此外，正如我们将在下一节中显示的那样，当驱动程序总是为PUT生成有效参数时，检查前提条件不会显著影响PUT的执行时间。此外，使用RAC检查前提条件将缩短PUT的执行时间，因为当违反前提条件时，PUT根本不会运行。

4.2JMLKelinci+详情

要将OpenJML的RAC工具与Kelinci结合起来，需要提供一个连接这两个工具的接口。在JMLKelinci+中，这种连接是通过调用驱动程序中的两个shell脚本来提供的，这些脚本必须编写才能使用Kelinci。第一个调用OpenJML的RAC来检查条目方法的前提条件，第二个使用RAC运行PUT来检测语义错误。因此，在运行JMLKelinci+之前，必须使用OpenJML的RAC编译器将PUT编译两次，输出将进入两个不同的目录。第一次编译是使用OpenJML前提条件编译标志完成的。⁷第二次使用OpenJML的RAC默认编译模式进行编译。为了编译PUT以检查前提条件，只需要具有入口方法和JML前提条件的接口。如果我们用OpenJML的RAC编译整个PUT，那么OpenJML中的RAC将根据其JML规范检测所有程序方法中的任何违规行为。然而，为了检查Kelinci生成的输入测试的有效性，只需检查输入方法（和构造函数）的前提条件。虽然深层方法调用中的前提条件冲突可能有助于定位错误，但不需要检查这些前提条件来验证输入。此外，必须使用Kelinci编译PUT，并且生成的对象文件必须保存在单独的目录中（即，与OpenJML的RAC编译输出的目录不同）。

图中显示了使用JMLKelinci+运行“AddLoop”方法时必须提供的驱动程序三.⁸在运行JMLKelinci+期间，驱动程序首先将Kelinci生成的字节转换为输入参数。“AddLoop”方法有两个整数类型参数，命名为数字1和数量2在驱动程序中。图中的驱动程序三将生成的随机字节转换为两个整数值使用ByteBuffer.wrap（字节）.getInt（）并将其分配给数字1和数量2.

图3。

查看地物

然后，JMLKelinci+通过调用第一个shell脚本来检查前提条件。驱动程序（如图所示三)通过使用参数调用“RunRAC”方法检查前提条件检查Post设置为假。“RunRac”的参数为数字1和数量2，通过随机生成的输入，以及假作为检查Post参数。“RunRac”方法调用用于运行OpenJML的RAC的shell脚本，通过运行以下代码检查前提条件：

用于检查前提条件的shell脚本运行另一个驱动程序，如图所示4。为了只检查前提条件，可以调用带有所有规范的整个程序（例如，图中的整个“AddLoop”程序1)并使用OpenJML标志“-racPreconditionEntry”，该标志只检查输入方法的前置条件。然而，我们的实验使用了不同的方法，即提供一个只检查PUT的前提条件和输入参数的PUT版本（图5显示了这种方法）。后一种方法节省了运行OpenJML的RAC的时间，我们也将其用于我们的研究。如果发生前置条件冲突，那么它不会运行PUT，JMLKelinci+中的AFL模糊器会生成更多随机字节输入。

图4。

查看地物

图5。

查看地物

图中的驱动程序三，在测试时检测到前提条件冲突如果 （前提条件）失败。在这种情况下添加。添加循环（num1，num2）将不会运行。因此，JMLKelinci+中的AFL实例将不会执行以进行监视。相反，AFL将生成更多输入，JMLKelinci+将重新运行驱动程序。

然而，如果没有违反前提条件，那么在驱动程序中真的分配给检查Post变量（见图三). 在此之后RunRac（运行赛车）方法的值为数字1和数量2、和真的作为检查Post参数。在这种情况下RunRac（运行赛车）运行第二个脚本，即

这将检查程序中的所有断言，包括后置条件。如果OpenJML的RAC发生了违规，那么JMLKelinci+会将生成的反例保存为显示错误存在的测试。之后，JMLKelinci+运行Kelinci编译的PUT版本，Kelinci监控PUT的执行，检查是否有任何程序崩溃或新的分支被覆盖；导致这些行为的输入被Kelinci保存在其变异语料库中。

JMLKelinci+假设PUT是确定性的，因为它在相同的输入上运行两次PUT（一次由Kelinci监控，一次由RAC监控），并期望PUT在两次执行中采用相同的路径。在构建用于同时监视分支和断言的工具中，可以放宽此假设。⁹

5.1有效输入的分行覆盖率

为了确定我们的方法是否适用于仅使用有效输入覆盖分支，我们将JMLKelinci+与标准Kelinci进行比较，测量（1）有效输入覆盖的分支的百分比，以及（2）实现100%分支覆盖所需的时间。我们使用OpenJML的RAC和JaCoCo来测量有效性[62]以测量分支覆盖范围。

测试的程序是28个（正确的）用Java+JML数据集中的JML前提条件注释的程序[64,98,99,103]. 虽然这个数据集的程序不太大，但之所以选择它们，是因为它们已经有JML规范。在这项研究中，标准Kelinci和JMLKelinci+使用了相同的初始种子输入，这要求我们使用标准Kelinchi找到不会导致程序崩溃的初始种子。此外，我们没有使用JML来指定程序入口方法的异常行为；指定前提条件是为了确保没有抛出异常。

在本研究中，这两个工具在每个程序上运行五次，并计算平均执行时间和覆盖的分支。

表1显示了数据集中14个具有重要前提条件的程序的结果。在本表中JK公司+和K（K）分别代表JMLKelinci+和标准Kelinci。“Best K Valid Coverage”（最佳K有效覆盖率）列给出了使用标准Kelinci在每个程序的单个运行中通过有效输入实现的最高分支覆盖率。此外，“Avg.K Valid Coverage”和“Avg.JK+Valid Cover”列分别是使用Kelinci和JMLKelinci+的有效输入的每个程序的平均分支覆盖率。每个程序五次运行的时间和覆盖率平均值四舍五入到小数点后一位。分支覆盖基于正常行为，不包括引发异常的路径。

表中的结果1显示了JMLKelinci+生成的测试，正如预期的那样，覆盖了这14个非平凡程序中只有有效输入的所有分支。¹¹然而，标准Kelinci生成的测试并没有用有效的输入覆盖所有分支，因为当Kelinchi达到100%的分支覆盖率时，我们停止了运行，尽管一些分支可能已经被无效的输入覆盖。请注意，标准Kelinci和JMLKelinci+仅在PUT中首次覆盖分支时保存输入；然而，标准的Kelinci无法区分有效输入和无效输入，可能是覆盖新分支的第一个输入无效。结果表明，标准Kelinci平均覆盖了非平凡项目中约37.3%的分支¹²使用有效输入（相比之下，JMLKelinci+的分支覆盖率为100%）。此外，标准Kelinci对每个项目实现的有效输入的最大覆盖率平均约为46.7%。

在非平凡的程序中，JMLKelinci+覆盖了所有具有有效输入的分支，比标准Kelinci覆盖的分支（可能具有无效输入）快22.5%。然而，与JMLKelinci+相比，标准Kelinci在九个程序中覆盖分支的速度更快（尽管一些分支被无效输入覆盖）。此外，在一些程序中，如“BinarySearch”、“FindInSorted”和“FindFirstSorted“，标准的Kelinci覆盖分支的速度要快得多，因为JMLKelinci+强制要求必须使用排序数组作为输入；因此，JMLKelinci+必须检查许多生成的输入，直到找到一个表示排序数组的输入。在这些示例中，由标准Kelinci生成的未排序数组覆盖了所有分支，即使它们不是有效的输入。此外，在这三个示例中，标准Kelinci的有效输入覆盖了不到10%的分支。然而，在五个程序中，如“Factorial”、“CombinationPermutation”和“Time”，JMLKelinci+使用有效输入覆盖分支的速度大约是标准Kelinci的三倍（即使标准Kelinchi可以使用无效输入覆盖分支）。这是因为当生成的输入无效时，这三个程序的执行时间可能非常长。此外，这些程序的有效输入范围很小。例如，“Factorial”中的输入范围被限制为0到20，以避免（长）整数溢出，但这样的有效输入也可以更快地完成。

表2指示14个具有琐碎前提条件的程序的结果。如果一个程序的前提条件对几乎所有可能的输入都是真的，那么它是微不足道的。例如，“Absolute”有一个简单的前提条件，因为几乎所有的整数输入都是有效的（除了最小Java整数值）。

表中的结果2显示了“平均K有效覆盖”和“平均JK+有效覆盖”，这是使用Kelinci和JMLKelinci+的有效输入在五次运行中的平均分支覆盖率，分别为所有普通程序的100%。因此，JMLKelinci+和Kelinci都使用预期的有效输入覆盖了所有分支。平均而言，使用标准Kelinci覆盖所有分支的时间比JMLKelincis快14.5%左右；结果四舍五入到小数点后一位。虽然在六个项目中，这两个项目覆盖分支的时间大致相同，但在四个项目中JMLKelinci+覆盖分支的速度更快。在这些程序中，几乎所有输入都有效。因此，标准Kelinci生成的输入通常是有效的，并且浪费时间的无效输入很少。然而，在一些程序中，如“斐波那契”，所有输入都是有效的，因为当输入太大或太小时，程序会抛出异常（内部捕获）。对于这样的程序，JMLKelinci+大约快了两倍，因为我们指定了JML前提条件，以避免抛出异常（并在PUT内部捕获）的情况。

5.2检测语义错误

在第二项研究中，我们通过使用RAC和检查PUT的内联断言和后置条件来评估JMLKelinci+检测语义错误的能力，并将其与标准Kelinci进行比较。这项研究使用了来自有缺陷的Java+JML数据集中的112个有缺陷的程序[99,103]. Java+JML数据集中的每个正确程序都有由变异工具PITest生成的各种有缺陷的程序版本[37]. 这项实验研究使用了28个程序中每一个程序的前四个错误版本，因此包括112个错误程序；每个有bug的程序版本都有一个bug。

这项工作比较了使用标准Kelinci和JMLKelinci+工具检测到的错误程序数量。对于标准的Kelinci，当检测到一个有效的输入使程序崩溃时，¹³然后我们认为该工具检测到了错误。此外，当JMLKelinci+将输入保存为反例时，我们知道它会检测到带有有效输入的错误。在本研究中，JMLKelinci+和标准Kelinci使用相同的驱动程序，将生成的字节数据转换为这112个错误程序中每个程序的PUT参数类型。此外，这两个工具使用了相同的初始种子输入，这要求我们使用标准Kelinci找到一个不会使程序崩溃的初始种子。然而，在极少数情况下，有bug的程序会发生程序崩溃，其初始种子表明存在bug。因此，在那些有缺陷的程序中，我们并没有寻找一个不会使程序崩溃的新初始种子。此外，在这项实验研究中，JMLKelinci+在每个错误程序上运行，直到它检测到至少一个显示错误存在的反例。对每个错误程序进行模糊处理的最长时间是48小时，如果没有检测到错误，则在此时间之后终止模糊处理程序。然而，JMLKelinci+在不到14小时的时间内成功地识别了数据集中的所有错误，并且在不到一小时的时间里检测到了大多数程序中的错误。此外，标准的Kelinci在数据集中所有有错误的程序上运行，直到程序崩溃显示存在具有有效输入的错误。与JMLKelinci+类似，每个bug程序允许的最大模糊时间为48小时。

我们的结果表明，JMLKelinci+在所有112个有缺陷的程序中检测到了语义错误，并且可以找到至少一个反例来显示每个程序的语义错误。然而，标准的Kelinci工具只能检测到39个导致程序崩溃的错误程序（近35%）。在26个案例中，程序崩溃是因为“ArrayIndexOutOfBoundsException”，两个bug崩溃是由于“StringIndexOutofBounds异常”，三个案例是“ArithmeticException:/by zero”。此外，在八个案例中发生了“java.lang.IllegalArgumentException“崩溃，这是由于错误程序抛出异常。在这项实验研究中，当一个if-statement的测试在边界条件下有一个bug，并且if-state的其他部分抛出异常时，标准Kelinci无法在四种情况下检测到bug。例如，图6显示了Fibonacci程序第二版的错误方法，该程序来自有错误的Java+JML数据集，尽管运行了允许的48小时，但标准Kelinci工具无法检测到该数据集。JML规范作为特殊注释（在“/*@“和”@*/”). 这个公共常态行为显示程序正常终止（即没有引发异常）时程序的正常行为公众例外行为显示程序应抛出异常时程序的预期行为。这个要求和确保子句分别为正常和异常行为的每个情况指定方法的前提和后置条件。根据规范，当参数大小为93，呼叫有效；¹⁴然而，Java代码中的错误是，当大小等于93，则将执行引发异常的分支。因此，只有当输入等于93时，该程序的错误才会被发现。每当JMLKelinci+生成使大小值等于93的输入数据时，它都可以使用RAC检测错误，并将其保存为反例（我们的研究中就是这样）。然而，标准Kelinci仅在发现新程序崩溃或新分支时保存输入。在这个例子中，标准Kelinci可以用任何其他值（例如，大于93的值）覆盖这个程序分支，并且当稍后标准Kelinci生成输入93时，它可能没有覆盖新的分支（如果这个分支已经被大于93的值覆盖），因此93的输入可能不会保存在突变语料库中。因此，虽然标准的Kelinci工具在39个案例中检测到错误，因为它们可能导致崩溃，但它没有检测到四个可能导致崩溃的错误程序。请注意，标准的Kelinci无法在其他69个有缺陷的程序中找到错误，因为它们不会导致程序崩溃。

图6。

查看地物

可以获得正确程序和有错误程序的所有实验结果以及重现JMLKelinci+实验的说明[97].

5.3对有效性的威胁

在这项研究中，我们没有使用像Defects4J这样真正正确或有错误的程序的数据集[68,91]; 然而，Defects4J和其他数据集没有正式规范。相比之下，我们使用了Java+JML数据集和有缺陷的Java+JML数据集[99,103]Java程序配备了JML规范。因此，这项研究的结果可能无法推广到现实世界的程序中。

本研究中的一个威胁是如何比较JMLKelinci+和标准Kelinci来检测程序错误，这可能不合适。因为JMLKelinci+检查正式的后置条件以检测语义错误，而标准的Kelinci只检查崩溃。然而，我们的目的之一是表明仅检测崩溃不足以检测语义错误。

所有CGF工具发现的结果的有效性面临的威胁之一是其驱动程序的编写方式。拥有驱动程序的主要原因是将模糊器中随机生成的字节数据转换为PUT所需的输入类型。然而，更好的驾驶员也可以考虑生成有效输入的前提条件。例如，如果一个参数应该总是一个正整数，那么驱动程序可以被写为否定任何随机生成的负数；然后驱动程序将始终生成有效的输入。在这项实验研究中，我们提供的驱动程序只会将AFL（它是Kelinci的一部分）随机生成的字节转换为所需的输入类型，而无需检查前提条件。

CGF研究表明，使用足够的种子将有助于模糊器覆盖分支并更有效地检测错误（对于非平凡的程序）[127,131]. 在这篇文章中，我们没有使用任何技术来保证使用足够的种子，比如混合打毛机[20,106,107,125]为此目的使用符号执行的。我们对所有项目都使用了相同的种子。¹⁵选择另一个种子可能会影响结果，尽管这种影响可能不会发生在我们的小程序数据集上。

6.1RAC限制

使用RAC的困难与编写正式规范的困难有关。然而，与静态验证不同，RAC只需要一个轻量级规范，而不需要一个完整的正式规范（正式验证程序的正确性所需的规范）。此外，要使用JMLKelinci+检查方法，只需要为该方法（以及使用的任何构造函数）指定一个轻量级规范；对于程序中的其他方法，甚至没有必要使用轻量级规范。

与RAC一样，我们的方法确实需要测试方法的先决条件，以充分表征程序的有效输入。如果指定的前提条件太弱，那么PUT中的分支可能会被无效输入覆盖，因此该工具的结果可能不是真正的错误。然而，如果指定的前提条件太强，那么该工具可能无法覆盖PUT的所有分支，这些分支可以通过有效的输入到达，因此可能会漏掉一些错误的检测。

类似地，对于RAC检测错误，指定的后置条件必须充分描述PUT的预期行为。不幸的是，无法将设计者的意图与正式规范进行比较。

6.2模糊限制

JMLKelinci+共享的所有模糊工具的一个限制是，如果工具无法检测到错误，那么它仍然无法保证程序没有错误。一般来说，模糊化与测试一样是不完整的，而JMLKelinci+与其他动态测试方法一样，只能显示错误的存在（当断言冲突发生时），而不能显示PUT中没有错误。然而，模糊测试可以帮助提高程序几乎没有错误的信心。

此外，可以使用消毒剂技术来检测语义错误，方法是插入Java断言，并在Java断言不满足时使程序崩溃，而不是使用RAC和正式规范。然后，模糊器可以在程序崩溃时检测这些语义错误。然而，通过使用RAC，只需要访问PUT主方法的前置和后置条件，¹⁶而使用消毒剂时，需要访问PUT的源代码才能在PUT中插入Java断言。此外，使用RAC，我们可以确保PUT仅通过使用前置条件的有效输入执行，而使用消毒剂时，程序可能会因无效输入而崩溃。此外，在JMLKelinci+中，所有生成的无效输入都将遍历PUT中的一个分支，CGF工具试图避免该分支，这鼓励JMLKellici+生成有效测试。此外，JMLKelinci+变异语料库中保存的所有输入都是有效的输入，可以帮助模糊器更快地找到更多有效的测试。

所有模糊工具的另一个问题是覆盖所有分支和检测错误所需的运行时间不明确。与其他模糊化工具一样，给工具更多的时间来执行PUT将增加覆盖更多分支和检测更多潜在错误的概率。一般来说，模糊器需要更多的时间来覆盖具有更多分支的大型程序中的所有分支和潜在错误，特别是当一个分支只能由一小组输入域覆盖时。然而，我们实验结果中使用的方法之一是使用第三种工具（JaCoCo[62])使用保存的输入计算PUT中的分支覆盖率。只有在达到一定的分支覆盖率后，我们才停止模糊处理。