この記事は<a href="https://adventar.org/calendars/6601" target="_blank" rel="nofollow noopener noreferrer">OPA/Regoアドベントカレンダー</a>の8日目です。
今回はRegoでポリシーを記述する際にはまりがちな "Safety" の概念について解説します（<a href="https://www.openpolicyagent.org/docs/latest/faq/#safety" target="_blank" rel="nofollow noopener noreferrer">公式ドキュメント</a>）。
<h1 id="rego_unsafe_var_error%3A-var-x-is-unsafe">
<a class="header-anchor-link" href="#rego_unsafe_var_error%3A-var-x-is-unsafe" aria-hidden="true"></a> rego_unsafe_var_error: var x is unsafe</h1>
Regoでポリシーの記述し始めるとおそらく1度は遭遇するであろうエラーです。例えば以下のようなポリシーがこのエラーになります。
<div class="code-block-container">
<div class="code-block-filename-container">example.rego</div>
<pre class="language-rego"><code class="language-rego">package example

p := {
 "blue": 1,
 "red": 0,
 "yellow": 2,
}

result[x] {
 not p[x] == 0
}
</code></pre>
</div><div class="code-block-container"><pre class="language-bash"><code class="language-bash">% opa eval -b . data
{
 "errors": [
 {
 "message": "var x is unsafe",
 "code": "rego_unsafe_var_error",
 "location": {
 "file": "example.rego",
 "row": 9,
 "col": 5
 }
 }
 ]
}
</code></pre></div>OPAはルールが有限個の入力と出力を持つことを保証するために Safety という概念を持っています。ちゃんと定義された変数のみが 
ドキュメントでは "Safety" は以下のように定義されています。
<blockquote>
Safety: every variable appearing in the head or in a builtin or inside a negation must appear in a non-negated, non-builtin expression in the body of the rule.
</blockquote>
headとは <code>{...}</code> で囲われたルールの外で、上記例だと <code>p</code> および <code>result[x]</code> がその領域にいることになります。builtinは組み込みで用意されているキーワードや関数（例えば <code>with</code> など）、negationは <code>not</code> を指しています。これらに使われる変数はすべて
<ul>
<li>
<code>not</code> を使わない式</li>
<li>組み込みキーワードや関数以外の式</li>
</ul>
のどちらかで定義されている必要がある、ということになります。逆に言うと <code>not</code> の式やbuiltinキーワードを使う式では 変数が決定せず、ルールを安全に評価できない とみなされてエラーになる、というケースが多いと思います。
例えば先程のポリシーだと <code>x</code> が取りうる値は <code>blue</code>, <code>red</code>, <code>yellow</code> の3つのみ<a href="#fn-7930-1" id="fnref-7930-1">[1]</a>ですが、 <code>not x == 0</code> とだけ記述された場合、<code>0</code> 以外の無数の値を取りうる事になってしまいます。また組み込みの関数やキーワードとだけ組み合わせた変数も未定義のものとして扱われるので、同様に無数の値を取り得ます。先述したとおりOPAは有限の結果を返すことを保証するため、変数の安全性を検証できなかった場合は <code>unsafe</code> のエラーを出力して処理を中断します。
<h1 id="%E5%85%B7%E4%BD%93%E7%9A%84%E3%81%AA%E3%82%A8%E3%83%A9%E3%83%BC%E3%81%AE%E4%BE%8B">
<a class="header-anchor-link" href="#%E5%85%B7%E4%BD%93%E7%9A%84%E3%81%AA%E3%82%A8%E3%83%A9%E3%83%BC%E3%81%AE%E4%BE%8B" aria-hidden="true"></a> 具体的なエラーの例</h1>
という説明だけだとなかなか理解しづらいと思うので、具体的な例と解決方法を見ていきたいと思います。
<h2 id="%E4%B8%80%E8%87%B4%E3%81%97%E3%81%AA%E3%81%84%E8%A6%81%E7%B4%A0%E3%82%92%E6%8A%9C%E3%81%8D%E5%87%BA%E3%81%97%E3%81%9F%E3%81%84">
<a class="header-anchor-link" href="#%E4%B8%80%E8%87%B4%E3%81%97%E3%81%AA%E3%81%84%E8%A6%81%E7%B4%A0%E3%82%92%E6%8A%9C%E3%81%8D%E5%87%BA%E3%81%97%E3%81%9F%E3%81%84" aria-hidden="true"></a> 一致しない要素を抜き出したい</h2>
<h3 id="%E3%82%A8%E3%83%A9%E3%83%BC%E3%81%AB%E3%81%AA%E3%82%8B%E4%BE%8B">
<a class="header-anchor-link" href="#%E3%82%A8%E3%83%A9%E3%83%BC%E3%81%AB%E3%81%AA%E3%82%8B%E4%BE%8B" aria-hidden="true"></a> エラーになる例</h3>
<div class="code-block-container"><pre class="language-rego"><code class="language-rego">p := {
 "blue": 1,
 "red": 0,
 "yellow": 2,
}

result[x] {
 not p[x] == 0
}
</code></pre></div>直感的には値が <code>0</code> ではないキー、つまり <code>blue</code> と <code>yellow</code> を抜き出せそうですが、前述したとおり <code>p</code> にどのような値が入るかが決定的ではないため、 <code>x</code> がunsafeな変数として扱われエラーになります。
<h3 id="%E8%A7%A3%E6%B1%BA%E6%96%B9%E6%B3%95">
<a class="header-anchor-link" href="#%E8%A7%A3%E6%B1%BA%E6%96%B9%E6%B3%95" aria-hidden="true"></a> 解決方法</h3>
<div class="code-block-container"><pre class="language-rego"><code class="language-rego">result = y {
 y := {x | p[x]} - {x | p[x] == 0}
}
</code></pre></div>いくつか方法が考えられますが、差集合を使う方法が1つ挙げられます。条件に一致する要素の集合を作り、すべての要素を含む別の集合との差分を計算し、それを返り値として渡します。条件に合う集合は内包表記 <code>{要素 | 条件}</code> によって作り出すことができます。
上記の例は <code>result</code> に直接値を渡すため、再代入できなくなってしまいます。もしほかのルールでも <code>result</code> に要素を追加したいという場合は、以下のような書き方ができます。
<div class="code-block-container"><pre class="language-rego"><code class="language-rego">result[z] {
 y := {x | p[x]} - {x | p[x] == 0}
 z := y[_]
}

result[m] {
 m := "hoge" # ということをしてもエラーにならない
}
</code></pre></div><h2 id="%E3%81%99%E3%81%B9%E3%81%A6%E3%81%AE%E8%A6%81%E7%B4%A0%E3%81%8C%E4%B8%80%E8%87%B4%E3%81%97%E3%81%AA%E3%81%84%E3%81%93%E3%81%A8%E3%82%92%E7%A2%BA%E8%AA%8D%E3%81%97%E3%81%9F%E3%81%84">
<a class="header-anchor-link" href="#%E3%81%99%E3%81%B9%E3%81%A6%E3%81%AE%E8%A6%81%E7%B4%A0%E3%81%8C%E4%B8%80%E8%87%B4%E3%81%97%E3%81%AA%E3%81%84%E3%81%93%E3%81%A8%E3%82%92%E7%A2%BA%E8%AA%8D%E3%81%97%E3%81%9F%E3%81%84" aria-hidden="true"></a> すべての要素が一致しないことを確認したい</h2>
<h3 id="%E3%82%A8%E3%83%A9%E3%83%BC%E3%81%AB%E3%81%AA%E3%82%8B%E4%BE%8B-1">
<a class="header-anchor-link" href="#%E3%82%A8%E3%83%A9%E3%83%BC%E3%81%AB%E3%81%AA%E3%82%8B%E4%BE%8B-1" aria-hidden="true"></a> エラーになる例</h3>
<div class="code-block-container"><pre class="language-rego"><code class="language-rego">p := {
 "blue": 1,
 "red": 0,
 "yellow": 2,
}

result {
 not p[x] == 3
}
</code></pre></div>オブジェクト型の<code>p</code>の中に値として<code>3</code>が入っていないことを確認したい、という意図で記述されたルールです。こちらも先ほどと同様で、<code>not</code> の中でのみ <code>x</code> <a href="#fn-7930-2" id="fnref-7930-2">[2]</a> を呼び出しているため、unsafeな変数として扱われています。
<h3 id="%E8%A7%A3%E6%B1%BA%E6%96%B9%E6%B3%951">
<a class="header-anchor-link" href="#%E8%A7%A3%E6%B1%BA%E6%96%B9%E6%B3%951" aria-hidden="true"></a> 解決方法1</h3>
<div class="code-block-container"><pre class="language-rego"><code class="language-rego">result {
 count({x | p[x] == 3}) == 0
}
</code></pre></div>こちらもいくつか方法が考えられますが、1つ目は「一致する要素が0であることを確認する」というアプローチです。先程の例と同様に内包表記で「値が<code>3</code>であるキーの集合」を作成し、組み込み関数 <code>count</code> で集合の要素数を調べます。要素数が <code>0</code> なら「値が<code>3</code>であるキー」は存在しないことがわかります。
<h3 id="%E8%A7%A3%E6%B1%BA%E6%96%B9%E6%B3%952">
<a class="header-anchor-link" href="#%E8%A7%A3%E6%B1%BA%E6%96%B9%E6%B3%952" aria-hidden="true"></a> 解決方法2</h3>
<div class="code-block-container"><pre class="language-rego"><code class="language-rego">result {
 not has3
}

has3 {
 p[x] == 3
}
</code></pre></div>別の解法として、一度 <code>not</code> を含まない式で<code>x</code>の値を決定し、それをもとに<code>not</code>を含む式を使う、という方法があります。もとのsafetyの定義の通り<code>not</code>を含まない式で呼び出せばsafe扱いになるので、エラーにはなりません。
<h2 id="%E7%B5%84%E3%81%BF%E8%BE%BC%E3%81%BF%E8%A6%81%E7%B4%A0%EF%BC%8Bunification%E3%81%A7%E5%A4%89%E6%95%B0%E3%81%AE%E5%80%A4%E3%82%92%E6%B1%BA%E3%82%81%E3%82%88%E3%81%86%E3%81%A8%E3%81%99%E3%82%8B">
<a class="header-anchor-link" href="#%E7%B5%84%E3%81%BF%E8%BE%BC%E3%81%BF%E8%A6%81%E7%B4%A0%EF%BC%8Bunification%E3%81%A7%E5%A4%89%E6%95%B0%E3%81%AE%E5%80%A4%E3%82%92%E6%B1%BA%E3%82%81%E3%82%88%E3%81%86%E3%81%A8%E3%81%99%E3%82%8B" aria-hidden="true"></a> 組み込み要素＋Unificationで変数の値を決めようとする</h2>
<h3 id="%E3%82%A8%E3%83%A9%E3%83%BC%E3%81%AB%E3%81%AA%E3%82%8B%E4%BE%8B-2">
<a class="header-anchor-link" href="#%E3%82%A8%E3%83%A9%E3%83%BC%E3%81%AB%E3%81%AA%E3%82%8B%E4%BE%8B-2" aria-hidden="true"></a> エラーになる例</h3>
<div class="code-block-container"><pre class="language-rego"><code class="language-rego">result[y] {
 12 = y + 7
}
</code></pre></div>RegoにはUnificationという機能があり、未定義の変数を含む <code>=</code> を使うと左辺と右辺が等しくなる条件を満たす値が代入されます。例えば <code>[1, 2, x] = [y, 2, 3]</code> とすると、<code>x</code> には <code>3</code> が、<code>y</code> には <code>1</code> が割り当てられます。上記の式も数学的には5になることは自明なのですが、OPAの処理では「未定義の変数 <code>y</code> を組み込み機能の<code>+</code>を使って<code>7</code>と足そうとしている」と解釈され、<code>y</code>がunsafe扱いになってしまいます。
<h3 id="%E8%A7%A3%E6%B1%BA%E6%96%B9%E6%B3%95-1">
<a class="header-anchor-link" href="#%E8%A7%A3%E6%B1%BA%E6%96%B9%E6%B3%95-1" aria-hidden="true"></a> 解決方法</h3>
<div class="code-block-container"><pre class="language-result"><code class="language-result">result[y] {
 5 = y
}
</code></pre></div>普通に式をちゃんと整理すればOKです。
<h1 id="%E3%81%BE%E3%81%A8%E3%82%81">
<a class="header-anchor-link" href="#%E3%81%BE%E3%81%A8%E3%82%81" aria-hidden="true"></a> まとめ</h1>
最初は混乱しがちなunsafeエラーですが、基本的には「<code>not</code> キーワードを含む式以外で変数を定義した上で使う」ということで回避できることがほとんどです。エラーに遭遇した際はまずその観点でチェックしてみることをお勧めします。
<section class="footnotes">
脚注
<ol class="footnotes-list">
<li id="fn-7930-1" class="footnote-item">
ポリシーだけで完結する場合は <code>not</code> を使っても値が収束する可能性はあるのですが、それでも外部から <code>with</code> キーワードなどでデータをinjectすることが可能なため、すべからく <code>not</code> だけでの変数定義を禁止していると思われます。 <a href="#fnref-7930-1" class="footnote-backref">↩︎</a>
</li>
<li id="fn-7930-2" class="footnote-item">
説明の流れ上 <code>x</code> を置いていますが、本来このように他に影響しないイテレーションをしたい場合は <code>_</code> にするほうが明示的です。ただし、<code>_</code> でも同様にunsafeエラーになります。 <a href="#fnref-7930-2" class="footnote-backref">↩︎</a>
</li>
</ol>
</section>

Regoの基礎（Safety）

一致しない要素を抜き出したい

すべての要素が一致しないことを確認したい

組み込み要素＋Unificationで変数の値を決めようとする

Discussion