C# 代码合同:如何满足';确保未经验证';在属性getter中?
我有以下界面:C# 代码合同:如何满足';确保未经验证';在属性getter中?,c#,code-contracts,C#,Code Contracts,我有以下界面: [ContractClass(typeof(MyObjectContract))] public interface IMyObject { int CountOfItems { get; } } 以下合同: [ContractClassFor(typeof(IMyObject))] public abstract class MyObjectContract { int IMyObject.CountOfItems { get
[ContractClass(typeof(MyObjectContract))]
public interface IMyObject
{
int CountOfItems { get; }
}
[ContractClassFor(typeof(IMyObject))]
public abstract class MyObjectContract
{
int IMyObject.CountOfItems
{
get
{
Contract.Ensures(Contract.Result<int>() > 0);
return 1;
}
}
}
确保未经证实:Contract.Result()>0谢谢我想,你不能用静态来证明这一点。
Enumerable.Count因此,CC stais checker会警告您这一点。让我们假设您的代码是正确的。它是有效的,您只是试图让代码契约系统认识到这一事实 这特别意味着对
MyObjectCountOfItemssomeEnumerablesomeEnumerable.Count()CountOfItemsMyObjectsomeEnumerable因此,为了满足关于
CountOfItemsIEnumerable.Count()public int CountOfItems
{
get
{
int count = this.someEnumerable.Count();
Contract.Assume(count > 0);
return count;
}
}
向实现中添加
压缩变量方法似乎可以解决警告问题。它无法证明可枚举项将返回>0。但我不确定您将如何执行它。此外,我会将某个可枚举项更改为列表或数组,否则每次有人调用CountOfI时它都会完全迭代tems
。您的代码暗示了一个对象不变量,someEnumerable.Count()
将始终大于零。满足属性契约的第一步应该是在代码中显式显示该对象不变量。如何满足该不变量的详细信息取决于代码如何确保满足该不变量的详细信息。但肯定要我证明CountOfItems
,不是吗tEnumerable.Count
?合同是针对我的对象的行为,而不是内部实现的。除非我误解了这里的某些内容。我越想这个答案,就越觉得它是错的。在最一般的情况下,你如何证明一个属性获取者的安全性?如果我误解了你的意思,请道歉。。@马尔科姆塔克:静态检查器试图通过分析代码来证明契约。您的契约声明,IMyObject.CountOfItems
将始终大于零。好的,静态检查器说,让我们看看代码。啊哈,调用了Enumerable.Count
。Enumerable.Count
是否保证它总是返回一个值,g是否为零?不,不是。С后果:无法静态证明该契约。这里唯一能做的就是假设(请参见契约。假设
),那是someEnumerable.Count>0
。好的,谢谢,我想我知道你要做什么。在一个相关的注释上——证明代码契约警告你的所有内容是必要的还是可取的?如果我不能证明这个不变量,但由于代码的结构和使用方式,确保它实际上是真的,是吗ufficient?如果我们能正式证明我们的代码是正确的,那肯定是很棒的。我实际上没有访问静态检查器的权限,所以我不知道它能做什么,但是从我从其他人那里听到的,我们还没有到能以这种方式证明一切的地步。只要你能向自己证明它是正确的,那么对事实的断言可能是合同所需的全部。但是,如果不变量依赖于此模块之外的代码(“它的使用方式”),则我不会做出断言。相反,我会继续抛出异常或其他东西。这一工作原理的示例至少会得到我的支持。
public int CountOfItems
{
get
{
int count = this.someEnumerable.Count();
Contract.Assume(count > 0);
return count;
}
}