Automatic verification of heap-manipulating programs

Aleksandr Misonizhnik; Dmitry Mordvinov; Konstantin Batoev; Michael Kostitsyn; Yurii Kostyukov

arxiv: 1906.10204 · v2 · pith:LJOSBRVWnew · submitted 2019-06-24 · 💻 cs.PL

Automatic verification of heap-manipulating programs

Yurii Kostyukov , Konstantin Batoev , Dmitry Mordvinov , Michael Kostitsyn , Aleksandr Misonizhnik This is my paper

Pith reviewed 2026-05-25 16:24 UTC · model grok-4.3

classification 💻 cs.PL

keywords compositional verificationsymbolic memoryheap manipulationprogram verificationcyclic codesymbolic heapsfunctional correspondence

0 comments

The pith

Compositional symbolic memory supports an algorithm that generates generalized heaps exactly matching reachable states for cyclic heap-manipulating code.

A machine-rendered reading of the paper's core claim, the machinery that carries it, and where it could break.

The paper develops theoretical foundations for compositional reasoning about heaps in imperative languages. It introduces compositional symbolic memory and its properties to construct a compositional algorithm that generates generalized heaps characterizing arbitrary cyclic code segments. All states inferred by the resulting symbolic heap calculus precisely correspond to reachable states of the original program. The work further establishes that inference in this calculus corresponds to execution of pure second-order functional programs. These foundations matter for building automatic verification procedures that handle loops over heap structures without losing precision on reachable states.

Core claim

The central claim is that compositional symbolic memory possesses the properties needed to build a compositional algorithm generating terms of symbolic heap calculus for arbitrary cyclic code segments, such that all inferred states precisely correspond to reachable states of the original program and inference steps correspond to execution steps of pure second-order functional programs.

What carries the argument

Compositional symbolic memory, which supplies the properties for a compositional algorithm that produces generalized heaps in a symbolic heap calculus.

If this is right

The algorithm produces generalized heaps that characterize arbitrary cyclic code segments.
Inferred states match reachable program states exactly.
Verification of heap-manipulating programs can be reduced to inference in the symbolic heap calculus.
Inference steps in the calculus correspond directly to execution of pure second-order functional programs.

Where Pith is reading between the lines

These are editorial extensions of the paper, not claims the author makes directly.

If the functional correspondence holds, then properties proved about the functional programs transfer back to the original imperative code.
The same memory model could be applied to generate summaries for other control-flow patterns beyond simple cycles.
Exact state correspondence removes the need for separate soundness proofs when using the generated heaps in a verifier.

Load-bearing premise

The introduced compositional symbolic memory possesses the relevant properties that enable construction of a compositional algorithm generating generalized heaps for arbitrary cyclic code segments.

What would settle it

A concrete heap-manipulating program containing a cycle for which the calculus produces at least one state that is not reachable by any execution of the program.

read the original abstract

Theoretical foundations of compositional reasoning about heaps in imperative programming languages are investigated. We introduce a novel concept of compositional symbolic memory and its relevant properties. We utilize these formal foundations to build up a compositional algorithm that generates generalized heaps, terms of symbolic heap calculus, which characterize arbitrary cyclic code segments. All states inferred by this calculus precisely correspond to reachable states of the original program. We establish the correspondence between inference in this calculus and execution of pure second-order functional programs.

Editorial analysis

A structured set of objections, weighed in public.

Desk editor's note, referee report, simulated authors' rebuttal, and a circularity audit. Tearing a paper down is the easy half of reading it; the pith above is the substance, this is the friction.

Desk Editor's Note private letter to a colleague

The paper introduces compositional symbolic memory for heap verification on cyclic code but the abstract gives no proof details so the central correspondence claim can't be checked yet.

read the letter

The core new idea is a compositional symbolic memory with properties that let them build a calculus generating generalized heaps for arbitrary loops in imperative heap code. They claim every inferred state matches a reachable program state exactly and that inference corresponds to running pure second-order functional programs. That is the main contribution on offer: a theoretical route to compositional reasoning that does not require full unrolling of cycles. If the properties of the memory really support the algorithm for any cyclic segment, it would address a real pain point in modular heap verification. The abstract states the correspondence as established by the calculus construction, which is a clean way to frame it. The main soft spot is that no derivation, sketch, or evidence for the correspondence appears in the provided text, so soundness stays unassessable. The weakest link they flag themselves is whether the memory properties actually enable the algorithm on arbitrary cycles. Nothing in the claims looks circular or internally inconsistent from what is written. This is for people working on separation logic, symbolic execution, or compositional verification of imperative programs. A reader who already knows the prior literature on heap calculi would get the most out of it once the full proofs are available. It deserves a serious referee to check whether the claimed exact correspondence actually holds in the details.

Referee Report

1 major / 0 minor

Summary. The paper investigates theoretical foundations of compositional reasoning about heaps in imperative programming languages. It introduces a novel concept of compositional symbolic memory and its relevant properties. These foundations are used to construct a compositional algorithm generating generalized heaps (terms of a symbolic heap calculus) that characterize arbitrary cyclic code segments. The central claims are that all states inferred by this calculus precisely correspond to reachable states of the original program, and that inference in the calculus corresponds to execution of pure second-order functional programs.

Significance. If the soundness claims hold, the work would offer a meaningful contribution to automatic verification of heap-manipulating programs by enabling compositional treatment of cyclic segments and linking imperative heap reasoning to functional execution. The introduction of compositional symbolic memory with the stated properties could provide reusable formal machinery. However, the manuscript supplies no derivation details, proof sketches, or supporting evidence for the correspondence claims, so the actual significance cannot be evaluated.

major comments (1)

[Abstract] Abstract: the claim that 'All states inferred by this calculus precisely correspond to reachable states of the original program' and the claim that 'We establish the correspondence between inference in this calculus and execution of pure second-order functional programs' are asserted without any derivation details, proof sketches, or evidence; soundness cannot be assessed from the given information.

Simulated Author's Rebuttal

1 responses · 0 unresolved

We thank the referee for their review. The major comment focuses on the abstract's presentation of the soundness claims. We respond point-by-point below.

read point-by-point responses

Referee: [Abstract] Abstract: the claim that 'All states inferred by this calculus precisely correspond to reachable states of the original program' and the claim that 'We establish the correspondence between inference in this calculus and execution of pure second-order functional programs' are asserted without any derivation details, proof sketches, or evidence; soundness cannot be assessed from the given information.

Authors: The abstract is a concise summary of the paper's main results. The full manuscript develops the compositional symbolic memory, its properties, the inference calculus for cyclic code segments, and provides the derivations, proof sketches, and evidence establishing that all inferred states precisely match reachable program states and that inference corresponds to execution of pure second-order functional programs. These details appear in the sections following the introduction and abstract. revision: no

Circularity Check

0 steps flagged

No significant circularity detected

full rationale

The paper introduces a novel compositional symbolic memory concept and its properties as foundational elements, then constructs a calculus and algorithm from them. The central claims (precise correspondence of inferred states to reachable program states, and equivalence to second-order functional program execution) are presented as results established by this construction rather than reductions to prior fitted quantities or self-citations. No load-bearing step reduces by definition or self-reference to its own inputs; the derivation is self-contained against the new formalisms.

Axiom & Free-Parameter Ledger

0 free parameters · 1 axioms · 0 invented entities

The central claims rest on the existence and properties of the newly introduced compositional symbolic memory; no free parameters, invented entities, or explicit axioms are identifiable from the abstract.

axioms (1)

domain assumption Compositional symbolic memory possesses the relevant properties needed for the algorithm
Invoked to justify construction of the compositional algorithm for cyclic segments.

pith-pipeline@v0.9.0 · 5605 in / 1051 out tokens · 24387 ms · 2026-05-25T16:24:08.132844+00:00 · methodology

discussion (0)

Reference graph

Works this paper leans on

9 extracted references · 9 canonical work pages

[1]

Однако идея подстановки из контекстной кучи позволяет нам пойти дальше и определить исчисление, описывающее исполнение произвольных императивных программ с динамической памятью

Исчисление символьных куч Представленные операторы КСП уже позволяют описывать симво льные состояния произвольных фрагментов кода без циклов в графе потока управления. Однако идея подстановки из контекстной кучи позволяет нам пойти дальше и определить исчисление, описывающее исполнение произвольных императивных программ с динамической памятью. 5.1 Обобщён...

work page
[2]

Он основан на подходе символьного исполнения программ [22]

Композициональное символьное исполнение В данном разделе предложен алгоритм композиционального символьного исполнения, который позволяет автоматически проверять достижимость ошибок при произвольном графе потока управления. Он основан на подходе символьного исполнения программ [22]. 6.1 Метод описания путей в графе потока управления Этот метод является осн...

work page
[3]

6 обращается к функции -оракулу 𝑆𝑆𝐴𝐴𝑆𝑆

Трансляция символьных куч в чистые функции Для проверки достижимости некоторого пути исполнения программы, алгоритм из разд. 6 обращается к функции -оракулу 𝑆𝑆𝐴𝐴𝑆𝑆. В данном разделе мы определяем 𝑆𝑆𝐴𝐴𝑆𝑆(𝐵𝐵𝑃𝑃𝑖𝑖𝐾𝐾, 𝜎𝜎, 𝑃𝑃) и тем самым завершаем построение композициональной процедуры верификации. Мы сведём задачу выполнимости ограничения 𝑃𝑃 к задаче доказате...

work page
[4]

Нормализация 𝑆𝑆 и преобразование верхнеуровневого объединения в конструкцию ветвления

work page
[5]

Замена всех ячеек 𝐿𝐿𝐿𝐿(𝜎𝜎, 𝐸𝐸) на 𝑓𝑓𝐿𝐿𝑆𝑆𝑖𝑖(𝜎𝜎, ⟦𝐸𝐸⟧𝜏𝜏, 𝜏𝜏)

work page
[6]

assert(¬ g)

Специализация оператора 𝑓𝑓𝐿𝐿𝑆𝑆𝑖𝑖 согласно правилам (10). На этом шаге все термы вида 𝑓𝑓𝐿𝐿𝑆𝑆𝑖𝑖(𝜎𝜎, 𝐸𝐸, 𝜏𝜏) транслируются в применения функций второго порядка find 𝜎𝜎. Телом функции find 𝜎𝜎 будет результат применения этих трёх шагов к соответствующему правилу (10). При появлении композиции 𝜎𝜎∘ 𝜎𝜎′ контекстное состояние становится частичным применением find ...

work page
[7]

Attackin g large industrial code with bi -abductive inference

Заключение В работе представлен подход к композициональному точному анализу программ с динамической памятью. Подход сводит задачу доказательства корректности таких программ к задаче вывода уточняющих типов функциональных программ через построение обобщённых куч, описывающих эффект программы на произвольном состоянии. Имея хорошую модель памяти [26], подхо...

work page doi:10.1145/1190215 2009
[8]

𝐸𝐸𝑛𝑛= 𝑆𝑆𝐸𝐸𝐿𝐿𝑆𝑆 или 𝐸𝐸𝑛𝑛∈ 𝐷𝐷

work page
[9]

Тогда верно следующее

∀𝐿𝐿< 𝑆𝑆, 𝐸𝐸𝑎𝑎∉ 𝐷𝐷\{𝐸𝐸1}. Тогда верно следующее. • Если 𝐸𝐸1 ∉ 𝑅𝑅𝑉𝑉, то 𝐸𝐸∈ Π(𝐸𝐸1, 𝐸𝐸𝑛𝑛, 𝐷𝐷). • Если 𝐸𝐸1 ∈ 𝑅𝑅𝑉𝑉, то 𝐸𝐸∈ 𝑅𝑅𝑆𝑆𝐿𝐿(𝐸𝐸1, 𝐷𝐷) ∘ Π(𝐸𝐸1, 𝐸𝐸𝑛𝑛, 𝐷𝐷). Доказательство. Индукция #1 по длине пути 𝐸𝐸. База: длина пути равна 1. Тогда 𝐸𝐸= 𝐸𝐸1 → 𝐸𝐸𝑛𝑛∈ {(𝐸𝐸1, 𝐸𝐸𝑛𝑛)} ⊆ Π(𝐸𝐸1, 𝐸𝐸𝑛𝑛, 𝐷𝐷). Если 𝐸𝐸1 ∈ 𝑅𝑅𝑉𝑉, то 𝐸𝐸∈ 𝑅𝑅𝑆𝑆𝐿𝐿(𝐸𝐸1, 𝐷𝐷) ∘ Π(𝐸𝐸1, 𝐸𝐸𝑛𝑛, 𝐷𝐷), поскольку 𝜀𝜀∈ 𝑅...

work page

[1] [1]

Однако идея подстановки из контекстной кучи позволяет нам пойти дальше и определить исчисление, описывающее исполнение произвольных императивных программ с динамической памятью

Исчисление символьных куч Представленные операторы КСП уже позволяют описывать симво льные состояния произвольных фрагментов кода без циклов в графе потока управления. Однако идея подстановки из контекстной кучи позволяет нам пойти дальше и определить исчисление, описывающее исполнение произвольных императивных программ с динамической памятью. 5.1 Обобщён...

work page

[2] [2]

Он основан на подходе символьного исполнения программ [22]

Композициональное символьное исполнение В данном разделе предложен алгоритм композиционального символьного исполнения, который позволяет автоматически проверять достижимость ошибок при произвольном графе потока управления. Он основан на подходе символьного исполнения программ [22]. 6.1 Метод описания путей в графе потока управления Этот метод является осн...

work page

[3] [3]

6 обращается к функции -оракулу 𝑆𝑆𝐴𝐴𝑆𝑆

Трансляция символьных куч в чистые функции Для проверки достижимости некоторого пути исполнения программы, алгоритм из разд. 6 обращается к функции -оракулу 𝑆𝑆𝐴𝐴𝑆𝑆. В данном разделе мы определяем 𝑆𝑆𝐴𝐴𝑆𝑆(𝐵𝐵𝑃𝑃𝑖𝑖𝐾𝐾, 𝜎𝜎, 𝑃𝑃) и тем самым завершаем построение композициональной процедуры верификации. Мы сведём задачу выполнимости ограничения 𝑃𝑃 к задаче доказате...

work page

[4] [4]

Нормализация 𝑆𝑆 и преобразование верхнеуровневого объединения в конструкцию ветвления

work page

[5] [5]

Замена всех ячеек 𝐿𝐿𝐿𝐿(𝜎𝜎, 𝐸𝐸) на 𝑓𝑓𝐿𝐿𝑆𝑆𝑖𝑖(𝜎𝜎, ⟦𝐸𝐸⟧𝜏𝜏, 𝜏𝜏)

work page

[6] [6]

assert(¬ g)

Специализация оператора 𝑓𝑓𝐿𝐿𝑆𝑆𝑖𝑖 согласно правилам (10). На этом шаге все термы вида 𝑓𝑓𝐿𝐿𝑆𝑆𝑖𝑖(𝜎𝜎, 𝐸𝐸, 𝜏𝜏) транслируются в применения функций второго порядка find 𝜎𝜎. Телом функции find 𝜎𝜎 будет результат применения этих трёх шагов к соответствующему правилу (10). При появлении композиции 𝜎𝜎∘ 𝜎𝜎′ контекстное состояние становится частичным применением find ...

work page

[7] [7]

Attackin g large industrial code with bi -abductive inference

Заключение В работе представлен подход к композициональному точному анализу программ с динамической памятью. Подход сводит задачу доказательства корректности таких программ к задаче вывода уточняющих типов функциональных программ через построение обобщённых куч, описывающих эффект программы на произвольном состоянии. Имея хорошую модель памяти [26], подхо...

work page doi:10.1145/1190215 2009

[8] [8]

𝐸𝐸𝑛𝑛= 𝑆𝑆𝐸𝐸𝐿𝐿𝑆𝑆 или 𝐸𝐸𝑛𝑛∈ 𝐷𝐷

work page

[9] [9]

Тогда верно следующее

∀𝐿𝐿< 𝑆𝑆, 𝐸𝐸𝑎𝑎∉ 𝐷𝐷\{𝐸𝐸1}. Тогда верно следующее. • Если 𝐸𝐸1 ∉ 𝑅𝑅𝑉𝑉, то 𝐸𝐸∈ Π(𝐸𝐸1, 𝐸𝐸𝑛𝑛, 𝐷𝐷). • Если 𝐸𝐸1 ∈ 𝑅𝑅𝑉𝑉, то 𝐸𝐸∈ 𝑅𝑅𝑆𝑆𝐿𝐿(𝐸𝐸1, 𝐷𝐷) ∘ Π(𝐸𝐸1, 𝐸𝐸𝑛𝑛, 𝐷𝐷). Доказательство. Индукция #1 по длине пути 𝐸𝐸. База: длина пути равна 1. Тогда 𝐸𝐸= 𝐸𝐸1 → 𝐸𝐸𝑛𝑛∈ {(𝐸𝐸1, 𝐸𝐸𝑛𝑛)} ⊆ Π(𝐸𝐸1, 𝐸𝐸𝑛𝑛, 𝐷𝐷). Если 𝐸𝐸1 ∈ 𝑅𝑅𝑉𝑉, то 𝐸𝐸∈ 𝑅𝑅𝑆𝑆𝐿𝐿(𝐸𝐸1, 𝐷𝐷) ∘ Π(𝐸𝐸1, 𝐸𝐸𝑛𝑛, 𝐷𝐷), поскольку 𝜀𝜀∈ 𝑅...

work page