Category

Inhaltliches

CUT: Richtig schneiden (5C-Design, Teil 2)

By | Allgemein, Inhaltliches | No Comments

Je unabhängiger ein Baustein ist, desto einfacher wird er zu handhaben sein. Schneide Bausteine so, dass sie sich möglichst gut voneinander abgrenzen.

  1. Software-Entwurf: Ein Blick zurück und nach vorn
  2. CUT: Richtig schneiden
  3. CONCEAL: Verbergen
  4. CONTRACT: Schnittstelle festlegen
  5. CONNECT: Verbinden
  6. CONSTRUCT: Aufbauen
  7. It´s a Wrap: Zusammenfassung

Um Komplexität dauerhaft beherrschbar zu machen, gibt es kaum eine Alternative dazu, diese in einzelne kleinere Teile zu zerlegen. Dafür muss man sich zunächst einmal die Frage stellen, an welchen Grenzen diese Abgrenzung denn am besten funktioniert. Wie findet man diese? Im Endeffekt wird der Programmcode der Lösung ein Abbild der fachlichen Anforderungen sein. Die möglichen Grenzen müssten demnach bereits in den Anforderungen auffindbar sein. Warum eine solche “fachliche Grenzziehung” (auch Vertikalität genannt) zu mehr Eigenständigkeit der Bausteine führt möchte ich anhand eines Beispiels verdeutlichen.

Schichten vs. Vertikale Architektur

Abbildung 1 zeigt ein nach klassischer Manier in technische Strukturen zerlegtes System. Daraus ergeben sich die dort abgebildeten Schichten, manchmal auch Layer genannt. Damit werden vorrangig die technischen Aspekte der Lösung betont. Dies hat den Vorteil, dass Entwickler passend zu ihren Stärken Strukturen im Code wiederfinden. Es werden außerdem querschnittliche Themen wie Persistenz gleichartig behandelt, was meist auch gewünscht ist. Auch das User-Interface wird für den Benutzer hier wohl ein durchgängig flüssiges Erlebnis darstellen. Aber: Sobald der Wunsch auftaucht, in irgendeinem der bestehenden Features ein weiteres Eingabe-Feld hinzuzufügen, zieht dies eine Kaskade an Änderungen in allen Layern nach sich. Man beginnt in der DB, zieht dies dann im DB-Access-Layer nach, danach in der Service-Schicht und zum Schluss im UI. Auch wird ein Ausfall einer niedrigeren Schicht sich immer auch auf alle Schichten darüber auswirken. Solch technische Strukturen sind demnach nicht wirklich eigenständig.

Abb. 1: Schichtenarchitektur

Die Alternative zu technischen Strukturen sind fachliche bzw. vertikale Strukturen (siehe Abb. 2). Hier wird besonders die Fachlichkeit betont. Das heißt übrigens nicht, dass man bei näherem Blick in eine dieser fachlichen Strukturen nicht wieder so etwas wie Layer finden wird. Trotzdem: Der Aspekt, der der obersten Abstraktionsebene Form gibt, wird immer etwas stärker betont werden als der sekundäre Aspekt innerhalb dieser primären Struktur.

Abb. 2: Vertikale / Fachliche Architektur

Die Grenzen der fachlichen Zerlegung

Tatsache ist allerdings, dass vertikale Abtrennung in manchen Fällen etwas besser funktionieren wird, und in anderen Fällen wiederum nicht so gut. Die Anforderungen eignen sich nämlich nicht immer in gleichem Maß für eine solche Aufteilung. Manchmal sind bereits die Business-Regeln, die der Fachexperte formuliert, so dermaßen miteinander vernetzt, dass eine effiziente Zerlegung schwierig wird. Werfen Sie dazu bitte einen Blick auf die Architektur, die in Abb. 3 dargestellt ist. Es handelt sich dabei um einen Web-Shop, welcher nach allen aktuellen Regeln der Kunst in fachliche Microservices zerlegt wurde, während die User-Interfaces nach wie vor als monolithische Layer implementiert sind.

Zunächst ist bemerkenswert, dass man ein solch monolithische Design des UI in Microservice-Architekturen häufig antrifft. Hier möchte ich kurz innehalten und die Frage stellen, warum dem eigentlich so ist. Warum klappt hier die fachliche Zerlegung oft nicht so gut wie im Backend? Die Ursache ist bei einer nicht-funktionalen (oder qualitativen) Anforderung zu finden. Wenn ich dem User ein durchgängiges Erleben des UIs ermöglichen möchte, so ist ein vertikaler Architekturstil an dieser Stelle nicht besonders gut geeignet. Daran sieht man, dass qualitative Anforderungen ebenfalls Einfluss auf die optimal mögliche Zerlegung eines Systems haben können.

Im Backend wiederum scheint die vertikale Modularisierung prima geklappt zu haben. Im Service “Kundenkonto” werden die Daten gespeichert, die ich vom Kunden benötige um ihn in der Plattform zu registrieren. Dabei wird die Validität seiner Angaben entweder über eine EMail oder eine SMS geprüft. Aus diesem Grund haben wir das Thema “Kommunikation” hier mit rein gepackt. Weiters gibt es Services für die “Bestellung”, das “Lager”, die “Bezahlung” und die “Lieferung”. Querschnittliche fachliche Themen wie die Daten des Kunden (Zahlungsweise, Lieferadresse, Rechnungsadresse etc.) haben wir ebenfalls auf diese Services aufgeteilt wie das Produkt an sich (Preis, Lagerstand, Beschreibung etc.).

Das Ziel war Logik und Daten jeweils nahe beieinander zu haben um eine Architektur mit hoher Kohäsion und niedriger Kopplung zu erreichen. Dies ist hier auch ganz gut gelungen, wie ich finde. Würde mir das jemand als Architektur zum Review vorlegen mit der Fragestellubg, ob dies gängigen Best-Practices folgt, hätte ich zumindest auf den ersten Blick nichts zu beanstanden.

Abb. 3: Die einwandfreie Microservice-Architektur unseres Web-Shops

Eine neue Anforderung

Ab sofort soll es in gewissen Fällen möglich sein, frische Schnittblumen bei jeder Bestellung mit auszuliefern. Dies kann entweder über Bezahlung möglich sein, oder ab jeweils einem Umsatz von 1000 Euro einmalig als Gratis-Angebot. Dies ist allerdings nur möglich bei Lieferdiensten, die dabei auch mitmachen. Diese müssen nämlich die Blumen immer frisch bei örtlichen Blumenhändlern abholen. Außerdem ist dies nur möglich, wenn es in der jeweiligen Gegend auch einen Blumenhändler gibt, der mit uns kooperiert. Angeboten wird dies außerdem nur weiblichen Kunden. Für männliche Kunden wird überlegt evtl. später ein After-Shave als Bonus den Paketen beizulegen. Allerdings nur solange auch welche auf Lager sind. In welchem der Bausteine würden Sie diese Änderung verorten? Es gäbe dafür diverse Strategien:

  • Man schreibt einen neuen Service “Geschenke”, der genau dieses Feature abbildet.
  • Man gibt das neue Feature irgendwo dazu, z.B. bei Payment, Bestellung oder Lieferung.
  • Man extrahiert aus den bestehenden Services einen neuen namens “Produkt”, der Daten und Logik der Produkte beinhaltet und dabei die Geschenke als Sonderfall behandelt.

Jede dieser Lösungen führt dazu, dass sich die Kopplung zwischen den Services im Vergleich zur Situation davor vergrößert. Dies allerdings nicht, weil keine gute Arbeit geleistet wurde, sondern weil dies die Anforderungen selbst nötig machten.

Fazit

Es gibt nicht nur qualitative Anforderungen, die eigentlich immer querschnittlicher Natur sind. Es gibt ebenfalls funktionale Anforderungen, welche auf gewisse Weise übergreifend sind. Sie vernetzen bestehende Anforderungen und sind nicht so gut als Modul isolierbar. Sie führen dazu, dass sich die Software in Summe nicht so gut modularisieren lässt. Die Aufgabe ist, eine Struktur zu finden, welche möglichst gut zu den fachlichen Anforderungen passt. Außerdem haben Sie idealerweise noch die Möglichkeit, auf Änderungen der Fachlichkeit zu reagieren, indem Sie im Zuge eines Refactorings eine Restrukturierung vornehmen. Abhängig von der Komplexität der Anforderungen selbst wird Ihnen das manchmal besser gelingen, und manchmal sind dem gewisse Grenzen gesetzt. Wenn Ihnen das gelungen ist, geht es weiter mit dem nächsten der 5 C´s, nämlich: “CONCEAL: Verbergen”.

Software-Entwurf: Ein Blick zurück und nach vorn (5C-Design, Teil 1)

By | Allgemein, Inhaltliches | No Comments

Als in den 80ern und 90ern des vorigen Jahrhunderts die Objektorientierte Programmierung angetreten ist alle Probleme der Entwicklung komplexer Software zu lösen, fasste Robert C. Martin einige Prinzipien des Software-Entwurfs unter dem Kürzel (und Schlagwort) SOLID zusammen. Diese Sammlung an Prinzipien ist auch heute noch populär, obwohl sich seither einiges getan hat. Anfangs der 2000er wurde dann die “SOA-Sau” durchs Dorf getrieben, und heute muss man sich fast schon schämen, wenn man keine “Microservices” macht. Und das, obwohl der Terminus “Microservices” alles andere als exakt definiert ist und eigentlich einige unterschiedliche Architekturstile umfasst. Die SOLID Prinzipien gab es als eine weithin anerkannte Grundlage des Software-Entwurfs dabei die ganze Zeit. Leider waren diese aber keineswegs hilfreich dabei die SOA zu widerlegen, noch kann man sie als Grundlage für gute Microservice Architekturen zu Rate ziehen.

  1. Software-Entwurf: Ein Blick zurück und nach vorn
  2. CUT: Richtig schneiden
  3. CONCEAL: Verbergen
  4. CONTRACT: Schnittstelle festlegen
  5. CONNECT: Verbinden
  6. CONSTRUCT: Aufbauen
  7. It´s a Wrap: Zusammenfassung

Über SOLID

Es war 1999 als Robert C. Martin auf der Basis seiner eigenen Arbeit, und der Arbeit einiger anderer wie Bertrand Meyer und Barbara Liskov, seine Top 5 Prinzipien des objektorientierten Entwurfs festgelegt hat. Später erst fiel es einem gewissen Michael Feathers auf, dass man diese prima unter dem Akronym SOLID zusammenfassen kann. Dass diese Abkürzung der Popularität geholfen hat merkt man alleine schon daran, dass die anderen Prinzipien, die er gleichzeitig für Kohäsion und die Kopplung von Packages festgelegt hat, heute kaum noch jemand kennt. Bei SOLID handelt es sich im Detail um die folgenden 5 Prinzipien:

  • Single-Responsibility Principle: Eine Klasse sollte einen, und nur (!) einen Änderungsgrund haben
  • Open-Closed Principle: Sie sollten in der Lage sein, das Verhalten einer Klasse zu erweitern, ohne diese im Zuge dessen ändern zu müssen
  • Liskov´s-Substitutionsprinzip: Basisklassen müssen durch ihre abgeleiteten Klassen ersetzbar sein
  • Interface-Segregation Principle: Entwerfe kleine Schnittstellen, jeweils passend für einen Anwendungsfall der Benützung der Klasse
  • Dependency-Inversion Principle: Sei immer von Abstraktionen abhängig, und niemals von konkreten Implementierungen

Wie man sieht ging man damals davon aus, dass Software-Entwurf dem Entwurf von Klassen entspricht. Darauf lag auch der Fokus von SOLID. Objektorientierung war damals das, was heute Microservices sind. Sie galten als Patentrezept zur Lösung so ziemlich aller Probleme der Software-Architektur. Unnötig zu erwähnen, dass man das heute anders sieht. Die OOP gilt als überschätzt, und auch wenn man ab und zu auf Vererbung setzt, so gilt doch der Grundsatz: Composition-over-Inheritance.

Dependency Inversion

Wenn auch tatsächlich keiner der 5 Punkte in SOLID falsch ist, so möchte ich doch zumindest die damals gültige Interpretation des Dependency-Inversion Prinzips hinterfragen. Robert C. Martin war der Meinung, dass eine Klasse A, welche die Schnittstelle einer anderen Klasse B benützt nicht direkt von Klasse B abhängig sein sollte. Niemals. Stattdessen sollte A eine Abstraktion der benötigten Schnittstelle festlegen. B implementiert dann diese Schnittstelle. Damit wäre die Abhängigkeit umgekehrt (siehe u.a. Abbildung), wenn man die neu hinzugefügte Schnittstelle als Teil von A sieht. Das hätte den positiven Effekt, dass später die Implementierung der Schnittstelle ausgewechselt werden kann. B kann also durch eine andere Klasse C ersetzt werden, wenn diese dieselbe Schnittstelle implementiert. Heute sieht man es keineswegs so, dass dies immer zu geschehen habe, sondern eher, dass dies in Ausnahmefällen Sinn macht. Eine abstrakte Schnittstellendefinition sollte man nur festlegen, wenn:

  • … es mehr als eine Implementierung davon gibt.
  • … es absehbar ist, dass es in naher Zukunft mehr als eine Implementierung davon geben wird.
  • … die Schnittstelle als möglicher Erweiterungspunkt dienen soll. Dies ist oft bei der Entwicklung von Frameworks der Fall.
Abhängigkeitsumkehr, dem D in SOLID entsprechend

Das genügt hoffentlich als Beleg dafür, dass SOLID keinesfalls als allumfassende Grundlage für zeitgemäßen Software-Entwurf gesehen werden kann. Wenn wir Software in ihre Einzelteile zerlegen, und uns dabei an Best-Practices orientieren möchten, dann benötigen wir etwas anderes, moderneres. Bevor wir so etwas entwickeln, schärfen wir aber noch die Zielsetzung. Schließlich gibt es ja moderne Prinzipien-Sammlungen, wie die der 12-Factor-App. Diese hat als konkrete Zielsetzung, dass sich die damit entwickelten Applikationen zum “Deployment auf modernen Cloud-Plattformen eignen, die Notwendigkeit von Servern und Serveradministration vermeiden”. Ein adäquater Ersatz für Robert C. Martins Prinzipiensammlung sollte sich aber eher um Wartbarkeit von Code drehen.

Die IT in der Legacy Krise

Dass Wartbarkeit ein großes Thema ist merkt man alleine schon an der Zahl der komplexen Softwaresysteme, die inzwischen als “Legacy” bezeichnet werden. Meist meint man damit einen gewissen Kontrollverlust, der sich in Instabilität und steigenden Kosten bei den laufenden Updates (der Wartung) am System zeigt. Um hier für Abhilfe zu sorgen werden wir zunächst eine Blick auf mögliche Ursachen werfen. Sobald das Team die Software nicht mehr versteht besteht die Gefahr des Kontrollverlustes. Das Verhalten bei Änderungen an der Software wird dadurch in hohem Ausmaß nicht-deterministisch und es kommt zu unerwünschten Seiteneffekten. Dies kann ganz banale Ursachen haben, wie das Fehlen einer Dokumentation. Oder es wurde den Entwicklern, denen das System zur Wartung übergeben wurde, schlichtweg nicht die Möglichkeit gegeben sich in den Code einzuarbeiten. Meist ist es aber so, dass das System zu komplex geworden ist.

Über Komplexität

Aber was heißt eigentlich Komplexität? Eine mögliche Definition ist, dass es dabei um die Knoten eines Graphen geht, und die Kanten mit denen diese miteinander verbunden sind. Je mehr Knoten in Summe, und je mehr Kanten in Relation zu diesen Knoten ein Graph hat, desto komplexer ist er. Ein Beispiel für eine sehr hohe Komplexität ist im folgenden Bild dargestellt. Es handelt sich bei den außen dargestellten Knoten um die Klassen eines der Module der OpenJPA , und bei den Kanten dazwischen um die Abhängigkeiten dieser zueinander. Man kann sich leicht vorstellen, dass die Wartung dieses Codes zumindest eine Herausforderung darstellt. Wenn die Entwickler der OpenJPA das Ding auch offensichtlich unter Kontrolle haben, so können wir uns hoffentlich darauf einigen, dass diese Situation keinesfalls als erstrebenswert bezeichnet werden kann. Ich habe jedenfalls noch nie erlebt, dass etwas vergleichbares vorab als Zielbild entworfen wurde. Demnach ist davon auszugehen, dass dies irgendwie “passiert” ist und niemals so geplant war.

Ein Teil (!) der Komplexität der OpenJPA Codebasis im Tool Sonargraph

So geht es weiter…

Nachdem wir nun ein gemeinsames Verständnis der Problematik haben, gehen wir einen Schritt weiter und beginnen mit der Lösungssuche. Wir brauchen ein Modell, welches den Entwicklern der Software hilft, dauerhaft die Kontrolle darüber zu behalten. Dazu ist es nötig die Komplexität, die bei der Entwicklung von Software automatisch entsteht, in geordnete Bahnen zu lenken. Dafür gibt es keinen besseren Weg als die Gesamtkomplexität in ihre einzelnen, danach im Kleinen einfacher beherrschbaren, Teile zu zerlegen. Ziel ist, dass diese einzelnen Teile danach:

  • … möglichst ohne Seiteneffekte und Abstimmungsarbeit weiterentwickelt werden können.
  • … unabhängig vom Rest zu dokumentieren und zu verstehen sind.
  • … an ihren ein- und ausgehenden Schnittstellen isoliert getestet werden können.
  • … unabhängig voneinander ausgetauscht werden können.

Im nächsten Teil dieser Artikelserie beginnen wir gleich mit dem ersten logischen Schritt, nämlich der möglichst effizienten Zerlegung eines großen Ganzen in seine Einzelteile und nennen dies: „CUT: Richtig schneiden“! Dabei handelt es sich um das erste von 5 C´s, welche dann in Summe die moderne Sammlung von Prinzipien zum Software-Entwurf darstellen werden.

MicroMoves Folge 7_

Security: Spieler für alle Services anmelden mit JWT (Micro Moves, Bauteil 7)

By | Inhaltliches | No Comments

Blog-Serie Micro Moves -- LogoMittlerweile haben wir mit den Folgen der Micro-Moves-Serie  schon einiges an Funktionalität zusammen. Benutzer von FLEXess können Partien starten und im Browser gegeneinander und gegen einen Computer-Gegner (seit Folge 6) antreten. Das Thema Sicherheit haben wir bisher allerdings komplett ausgespart. Wir ändern das in dieser Folge.

Um was geht es — ein Überblick

Aktuell können anonyme Benutzer über den games-Service (siehe Blog-Folge Bauteil 1) Partien mit zwei beliebigen Spielernamen (Texteingabe) einleiten. Anschließend können sie über die  play-Oberfläche (siehe Blog-Folge Bauteil 3) Züge absetzen. Mittlerweile prüft der rules-Service (siehe Blogfolge Bauteil 5) zwar, ob der Zug regelkonform ist. Wer da am anderen Ende des Browsers sitzt spielte aber keine Rolle bisher. Jeder Benutzer kann bei jeder Partie mitziehen, nicht nur in seinen eigenen. 

Mit dieser Folge führen wir einen neuen Service ein: players. Er ist in Python implementiert und ermöglicht es Benutzern, sich als Spieler zu registrieren und am System anzumelden. Die Web-Oberfläche hierzu bauen wir mit Flask (analog zu Bauteil 2 chess-diagrams, aber mit HTML-basierter Oberfläche).

Bei erfolgreicher Anmeldung stellt players ein JWT-Token (siehe unten) aus, mit dem sich der Benutzer auch bei anderen Services authentifizieren kann. Hier ist insbesondere games zu nennen, das ab dieser Folge unter anderem sicherstellt, dass nur angemeldete Benutzer, die mit von der Partie sind, tatsächlich ziehen können.

Eine Warnung: Unsere Implementierung ist eine einfache Lösung zu Illustrationszwecken. In echten Microservices-Vorhaben ist der Einsatz von JWT zwar ebenfalls üblich, nicht aber das Selberstricken der Authentifizierung wie hier in players. Ich diskutiere am Ende gängige Alternativen hierzu.

JWT — JSON Web Token

JSON Web Token, kurz JWT (ausgesprochen: „jot“), ist ein Standard für die sichere Übermittlung von Behauptungen (engl. Claims) bei gleichzeitig geringem Platzbedarf (also Ressourcen-Verbrauch). JWT genießt breite Unterstützung durch (Web-)Frameworks und Bibliotheken in allen nur erdenklichen Programmiersprachen. Unter anderem auch in den in Micro Moves bisher verwéndeten: Java, Python und JavaScript.

Ein JWT-Token sieht so aus (die Zeilenumbrüche gehören nicht zum Token):

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.
eyJzdWIiOiJwcGFudGhlciIsIm5hbWUiOiJQYXVsIFBhbnRoZXIiLCJyb2xlcyI6InVzZXIifQ.
cM93rF0CUXk5PxH8elR0paJ4PFqtbr0RbcFNFBocsmQ

Auf den ersten Blick also wüst, tatsächlich aber lediglich drei mit Base64-kodierte Bestandteile, mit Punkten voneinander getrennt:

  • Header mit Meta-Informationen, z.B. zum Signierverfahren
  • Payload (Nutzlast)
  • Signatur

Die Seite jwt.io stellt ein schönes Online-Werkzeug zum Token-Kodieren und -dekodieren zur Verfügung. Kopiert man das obige Token in diese Seite (siehe auch Screenshot unten), kann man Header und Payload lesen.

Header: {
"alg": "HS256",
"typ": "JWT"
}

Payload: {
"sub": "ppanther",
"name": "Paul Panther",
"roles": "user"
}
 

Das Token ist nicht verschlüsselt, sondern lediglich mit dem Verfahren HMAC / SHA-256 (kurz HS256, Angabe im Header) digital signiert (der dritte Teil des Tokens). Hierbei handelt es sich um ein symmetrisches Verfahren. Derselbe Schlüssel wird server-seitig zum Signieren benutzt und auch zum Überprüfen der Signatur (ebenfalls server-seitig, ggf. durch andere Module, der Client kriegt den Schlüssel nicht zu sehen). Auch dieses Überprüfen kann der Debugger auf jwt.io zeigen. Einfach den Schlüssel bei „Verify Token“ eingeben. In unserem Beispiel lautete er „secret123“.JWT Debugger bei jwt.ioDie Payload sind die eigentlichen Daten innerhalb des Tokens, deren „Echtheit“ die Signatur sicherstellt. Konkret handelt es sich hier um den Anmeldenamen (sub, kurz für subject), den Namen eines Benutzer und seine Rolle(n). Bei uns gibt es die Rollen user, admin und engine.

Wie stellen wir nun solche Token aus? Wie übermittelt ein Client das Token an andere Services? Und wie überprüfen diese die digitale Signatur? Schauen wir es uns der Reihe nach an! 

Ein Python-Service zum Anmelden von Spielern

Der Spieler ist als Konzept bisher nicht präsent. Spielernamen tauchen in Form von Zeichenketten im games-Subsystem auf, das wars. Unser neuer Service players ist eine simple Verwaltung von Spielern in Python. Der Quelltext von players ist wie immer auf GitHub verfügbar (unter modules/players). Über Webseiten ermöglicht players

  • … alle Spieler aufzulisten.
  • … einen neuen Spieler zu registrieren.
  • … Spieler an- und abzumelden.

Beim letzten Punkt kommt JWT zum Zuge, um die Information, dass ein Spieler sich erfolgreich am System angemeldet hat, inkl. weiterer Claims sicher an andere Teile des Systems (allen voran games) zu tragen.

Technologisch ähnelt players dem Python-Service chess-diagrams aus Folge 2 dieser Blog-Serie. Es kommen ebenfalls Flask als Web-Framework und gunicorn als Web-Server zum Einsatz. Mit Jinja2 kommt eine Template-Engine hinzu und mit TinyDB eine einfache Persistenzlösung. Für das für JWT nötige Kodieren und Dekodieren nutzt players die Python Bibliothek PyJWT. 

players beinhaltet folgende Seiten und Funktionalität.

Seite (URL) Funktionalität
/ Startseite. Listet alle Spieler in einer Tabelle auf.
/register Formularbasierte Registrierung eines neuen Spielers.
/profile_userid Profilseite für den Spieler mit dem Benutzernamen userid.
/login Anmeldung durch Benutzername und Kennwort.
/logoff Abmelden des angemeldeten Benutzers.
/about Über das Modul players.

Für die Seiten sind unter den URLs Funktionen für Flask im Python-File players.py hinterlegt, die auf entsprechende HTTP-Requests reagieren. Sie delegieren für die Darstellung der resultierenden (einfach gehaltenen) Seiten auf mit Jinja2 realisierte HTML-Templates.

Der neue Service lässt sich separat starten (z.B. via Kommando python3 player.py, Tests analog zu chess-diagrams via tox), ich hab ihm auch wieder ein Dockerfile spendiert und ihn in die Konfiguration von docker-compose mit aufgenommen. Die Seiten sind unter dem Pfad /players/ im Reverse-Proxy eingeklinkt, d.h. http://localhost:9000/players/about liefert in der Konfiguration und bei lokalem Start die About-Seite zum Modul.

players macht sich das Speicherns der registrierten Benutzer und ihrer Rollen sehr einfach und nutzt dazu TinyDB. Da Micro Moves in erster Linie Konzepte erläutert reicht das zur Illustration. Zu Alternativen und ernstzunehmenden Lösungsansätzen weiter unten.Startseite playersKonsequenterweise — den Spielzeugcharakter mit TinyDb im Blick — speichert players keine Kennwörter ab. Auch nicht verschlüsselt oder als Hash. Es erhebt nicht einmal Kennwörter. Die Authentifizierung simulieren wir durch Überprüfen, ob der Benutzer als Kennwort überhaupt etwas eingibt. Dieses „Sicherheitskonzept“ ist natürlich nicht viel besser als eine Admin-Party (alle Partygäste haben Admin-Rechte), wie wir sie vor dieser Folge hatten. Aber zur Illustration reicht es uns hier. — Liebe Kinder, falls Ihr das hier seht: Probiert das nicht zuhause an Eurem Produktionssystem aus!! 😉 

Im Falle der erfolgreichen Anmeldung stellt das players-Modul ein JWT-Token aus und sendet es als HTTP-Cookie an den Browser. Da die Micro Moves Module hinter einem gemeinsamen Reverse Proxy stehen, teilen sie sich für den Client von außen gesehen Hostname und Port. Das Cookie wird daher vom Browser bei Aufrufen — und das ist entscheidend — an alle beteiligte Module gesendet, insbesondere auch an games.

Das Erzeugen („Kodieren“) und Auslesen („Dekodieren“) des JWT-Tokens ist in players in web_token.py implementiert. Die Herausforderung dabei ist die digitale Signatur (Signieren beim Ausstellen, Überprüfen beim „Wiederkommen“). Die eigentliche Arbeit übernimmt die Python-Bibliothek PyJWT

Für das hier gewählte Signierverfahren HS256 benötigen wir einen geheimen Schlüssel („Shared Secret“). Wir geben ihn der Einfachheit halber von außen über eine Umgebungsvariable in den Docker-Prozess. Das Ganze lässt sich mit docker-compose recht einfach konfigurieren.  Hier ein Ausschnitt aus der Datei docker-compose.yml


players:

    build: ./players/
    environment:
        – JWT_COOKIE_NAME
        – JWT_SECRET

Die Werte der beiden Variablen sind in der Konfigurationsdatei .env abgelegt. Unter dem Cookie-Namen legt players das JWT-Token im HTTP-Response ab und sendet es an den Browser zurück. Umgekehrt versucht players mit diesem Namen den JWT-Token als Cookie-Wert aus einem HTTP-Request auszulesen.

In Abhängigkeit vom empfangenen Cookie ändert sich der rechte Teil der Navigation. Falls keines da ist, stehen Links zum Registrieren und Anmelden zur Verfügung. Ansonsten ein Dropdown für Benutzerprofil und Abmelden (siehe Abbildung unten). Name und User ID des Benutzers werden dazu aus dem JWT-Token entnommen.der rechte Teil der Navigation

Der Konfiguationsparameter JWT_SECRET ist das „shared secret“ für die digitale Signatur. Wer dieses hat, kann Signaturen aus players überprüfen (siehe z.B. unten im games-Modul). Ein Angreifer könnte damit auch selbst „gültige“ JWT Tokens ausstellen. Der Wert sollte daher nur vertrauenswürdigen Beteiligten zugänglich gemacht werden.

Um dieses Sicherheitsrisiko zu umgehen werden statt HS256 gerne asymmetrische Verfahren mit einem öffentlichen Schlüssel zum Überprüfen (erhalten alle) und einem geheimen Schlüssel zum Signieren (erhält nur der Aussteller) gewählt. Mehr dazu etwa im schönen Beitrag „The Importance of Using Strong Keys in Signing JWTs“.

Autorisierung im Subsystem games (Java)

Das games-Modul interessiert sich sehr für den Benutzer hinter einem Request. Nur ein angemeldeter Benutzer sollte …

  • … neue Partien eröffnen (mit sich selbst als 1. Spieler).
  • … offenen Partien als 2. Spieler beitreten.
  • … Züge in seinen Partien machen.

Für letzteres sollte er zugleich nicht nur Spieler in der zugehörigen Partie sein, sondern auch am Zug.

Gerade das letzte Beispiel zeigt, das die Autorisierung, d.h. die Entscheidung über die Berechtigung, im Modul games gut aufgehoben ist. players kann die Authentifizierung klären, und relativ statische Rollenzugehörigkeiten liefern. Ob der Benutzer irgendwo am Zug ist weiß es nicht.

Anonyme Benutzer lassen wir Partien auflisten und anzeigen, auch das zusehen von Partien anderer Spieler lassen wir zu. Weiterhin ist es angemeldeten Benutzern erlaubt, gegen sich selbst zu spielen. Das aber eher aus didaktischen Gründen — es lässt sich so weiterhin leichter ein wenig herumspielen über das play UI. Administratoren (d.h. Benutzer mit Rolle admin) können den Computer-Spieler Stockfish (vgl. Bauteil 6) gegen sich selbst spielen lassen — „normale“ Benutzer (also nur Rolle user) können nur selbst gegen Stockfish antreten.

Eine neue Partie eröffnenDas Auslesen des JWT-Tokens ist in games als Servlet-Filter realisiert (Klasse JwtCookieFilter im Package org.flexess.games.user). Der Prozess erhält über Umgebungsvariablen den Namen des Cookies und das Shared Secret. Er „fischt“ den Cookie, falls vorhanden, aus dem Request und verifiziert die Signatur des enthaltenen JWT-Tokens mit Hilfe des Shared Secrets. Hier kommt die JWT-Java-Bibliothek von Auth0 zum Einsatz. Im Erfolgsfall baut das Servlet ein User-Objekt mit User ID (z.B. ppanther), Namen (z.B. Paul Panther) und Rollen (z.B. user) und legt es im Request als Attribut ab. 

Die Spring Web MVC-Controller können dann darauf zugreifen, und die oben beschriebenen Überprüfungen durchführen (Beispiel: Ist der Benutzer angemeldet? Ist er am Zug? …). Und sie können Werte automatisch setzen. Wenn zum Beispiel der angemeldete Benutzer einer Partie als 2. Spieler beitritt, kann games dessen User ID in die Partie-Entität eintragen — je nachdem als schwarz oder weiß. Und den Namen im Menu anzeigen und Links aufs Profil gehen auch … 

Informationen auslesen in play (Vue.js)

Für das Spielen im Browser hatten wir in Bauteil 3 eine Single-Page-Application play mit Vue.js gebaut. Hier ist für das Berücksichtigen der neuen Funktionalität vergleichsweise wenig zu tun. Wenn ein Benutzer angemeldet ist, und in die SPA wechselt, sendet der Browser auch von dort unseren Cookie mit dem JWT-Token an die hinter dem Reverse Proxy liegenden Web-Applikationen.

Die Interaktion zwischen SPA und games erfolgt über REST — unser ServletFilter greift auch bei diesen Anfragen, fischt den Cookie aus dem HTTP-Request validiert das enthaltene User-Objekt gegen das Shared Secret und legt es als Attribut im Request-Objekt ab.

Die Überprüfung, ob der Benutzer, der einen Zug sendet, tatsächlich am Zug ist, erfolgt in der Java-Klasse GameRestController (Package org.flexess.games.rest) in games. Falls nein gibt es eine Fehlermeldung ( HTTP 403, Forbidden) zurück, die in play fachlich angezeigt wird, siehe Screenshot.Der angemeldete Benutzer ist nicht am Zug.In der SPA play selbst habe ich auf Sicherheitsabfragen verzichtet. Das hätte zwar die Benutzbarkeit erhöht (Beispiel: Man darf nur Züge absenden, wenn man am Zug ist), allerdings könnte ich dann genau solche Überprüfungen nicht gut demonstrieren.

In play ist somit eigentlich gar nichts zu tun. Insbesondere brauchen wir die digitale Signatur des JWT-Tokens nicht verifizieren. Der Browser sendet es einfach unverändert zurück — games verifiziert es auf dem Server. Sollte ein Angreifer auf dem Client ein anderes Token unterschieben, sollte games das merken, da die Signatur nicht stimmt.

Das einzige, was wir in play tun, ist den Benutzer mit User ID und Namen für das Menu anzuzeigen. Da die SPA die ganze Browser-Seite belegt, müssen wir die Funktionalität doppeln (mehr zu diesem Kompromiss in der nächsten Folge dieser Blog-Serie). Dazu müssen wir das JWT-Token allerdings nur auslesen und dekodieren, nicht verifizieren. Hierzu brauchen wir den Schlüssel nicht. Insbesondere muss der Shared Key nicht in die SPA gelangen — was auch fatal wäre. Wegen des symmetrischen Verfahren wäre das Fälschen eines Anmelde-Tokens damit ein Leichtes.

Das Dekodieren eines JWT Tokens in play ist in JavaScript ziemlich leicht. Anders als beim digitalen Signieren in Python (players) und Überprüfen der Signatur in Java (games) und Python (players) kommen wir hier mit Bordmitteln, also ohne Fremdbibliothek durch. Siehe Funktionen getPayloadFromJWT und getUserFromJWT in der Datei players.js in play.

Einschränkungen und Alternativen

Die Benutzerdaten speichert players aktuell lokal über TinyDB in einer Datei ab. Das macht den Docker-Container zustandsbehaftet und damit nicht redundant betreibbar. Eine Persistenz-Lösung außerhalb des Prozesses wäre daher sinnvoll, naheliegend ein Verzeichnisdienst wie Active Directory oder OpenLDAP. Das sind auch seriöse Orte, um Kennwörter abzulegen, die Authentifizierung durchzuführen oder Gruppenzugehörigkeiten zu speichern. Vielleicht zeige ich das nochmal in einer späteren Folge dieser Blog-Serie, und erinnere mich an meine LDAP-Vergangenheit.

Eine andere Option wäre gleich eine Lösung, die Authentifizierung und Single Sign-on für Webapplikationen „hauptberuflich“ implementiert, beispielsweise CAS oder Keycloak. Auch die Möglichkeit, sich via Google-Account etc. anzumelden, ist denkbar. Beim Betrieb in Cloud-Umgebungen oder Container-Orchestrierungen steht Authentifizierung oftmals als Dienst zur Verfügung und wäre auch eine Option.

In den Modulen rules und chess-diagrams habe ich das JWT-Token bisher nicht überprüft. Bei chess-diagrams ist es aktuell nicht auch nötig. Auch nicht angemeldete Benutzer können eine Partie verfolgen. rules ist aktuell von außen nicht erreichbar, bisher greift nur games darauf zu. Hier könnte man das Token bereits jetzt durchschleifen und in rules überprüfen. Den Einbau hole ich mach, wenn wir rules direkt von außen nutzen (kommt noch).

Unsere Schachplattform wächst und gedeiht — das Menu weist nun zwei Bereiche auf. Einen für die Partien (Games), einen für die Spieler (Players). Da die beiden Bereiche separate Webanwendungen sind, und in games auch noch die SPA play steckt, ist das Menu aktuell 3x implementiert. Inkl. der Logik für das Anzeigen des Benutzers bzw. des Login-Links. Das Hinzufügen eines weiteren Bereiches mit eigenem Menu macht das Anfassen an allen anderen Teilen erforderlich, um die Menüpunkt aufzunehmen.

JWT HandbookWeitere Informationen. Und wie es weiter geht.

Wenn Ihr mehr über JWT erfahren wollt lege Euch das schöne E-Book von Sebastián Peyrott ans Herz: JWT Handbook (Cover siehe rechts).

Aktuell wird die Startseite statisch vom Reverse Proxy geliefert. Im nächsten Beitrag in dieser Serie fügen wir mit der Homepage ein weiteres Modul mit UI-Anteil hinzu und diskutieren dabei auch den obigen Kompromiss im Menu (ein neuer Punkt muss in allen Modulen eingefügt werden) und Alternativen dazu. 

Ach ja: Fragen und Anregungen sind natürlich jederzeit willkommen. Per Kommentar hier im Blog oder gerne auch per Mail direkt an mich …

Zur Blog-Serie Micro Moves

Zeigermann_poster_Neural Embeddings

Understanding Neural Embeddings – Poster by Oliver Zeigermann

By | Inhaltliches, Publikationen | No Comments

Understanding Neural Embeddings

Understanding Neural Embeddings
Speaker: Oliver Zeigermann
Data Institute SF, Annual Conference
March 10 to 12, 2019
Data Institute SF, University of San Francisco, San Francisco, CA
@DataInstituteSF #DSCO19

Oliver picks up on his poster a short overview of the semantic embedding of data on the basis of example airline data. How can the data be embedded and how does it support machine learning? You will also find a link to the notebook that generates these embeddings and visualizations.

Oliver Zeigermann, Poster: Understanding Neural Embeddings

follow us on Twitter – @embarced

eBook: arc42-Starschnitt Gradle bei Leanpub

By | Bücher, Inhaltliches, Publikationen | No Comments
arc42 Starschnitt: Gradle

arc42-Starschnitt Gradle, Cover

arc42 Starschnitt: Gradle – Ein Architekturüberblick in Lebensgröße
Autor: Stefan Zörner
Deutsch, ca. 137 Seiten, Januar 2019
Verlag: Leanpub


Das Buch bei Leanpub kaufen

Dieses Buch illustriert zentrale Inhalte einer Architekturdokumentation nach arc42. Hier erhalten Sie Impulse zum Dokumentieren Ihrer Softwaresysteme und lernen arc42 auf vergnügliche Weise kennen. Für eigene Lösungsüberblicke können Sie sich an den Zutaten und Beispielinhalten orientieren. Nebenbei lernen Sie etwas über das Buildsystem Gradle.

Zum Thema Dokumentationskonzepte

IT-Tage 2018_SZoerner_embarc

IT-Tage 2018 – Was (genau) ist eigentlich Architekturbewertung?

By | Inhaltliches, Publikationen, Vorträge | No Comments
„Nörgeln ist einfach. Aber was (genau) ist eigentlich Architekturbewertung?“

IT-Tage 2018

Nörgeln ist einfach. Aber was (genau) ist eigentlich Architekturbewertung?
Sprecher: Stefan Zörner
Vortrag bei den IT-Tagen 2018
Dienstag, 11. Dezember 2018, ab 11:30 Uhr
Frankfurt am Main, im Kongresshaus Kap Europa

Foliendownload (PDF)



Statler: “Das war wirklich mal was zum Lachen!”
Waldorf: “Ja, das ist echt komisch gewesen!”
Statler: “Was glaubst Du – ob das beabsichtigt war?”
(aus der Muppet Show)


Jedes interessante Softwaresystem hat eine Softwarearchitektur. Diese ist kunstvoll geplant oder zufällig entstanden, meist aber irgendwas dazwischen. Hätte man es anders machen sollen? In diesem Vortrag stelle ich vor, wann und wie Ihr Eure Softwarearchitektur bewertet! Seid Ihr auf dem richtigen Weg? Können Eure Architekturideen in der Umsetzung aufgetretene Probleme effektiv lösen? Helfen diese bei der Erreichung Eurer Ziele oder behindern sie diese eher? Architekturbewertung kann Sicherheit schaffen und Risiken aufzeigen und damit helfen die Aufwände im Vorhaben zu fokussieren. Ihr lernt qualitative und quantitative Bewertungsmethoden kennen: Was argumentative, Workshop-basierte Verfahren wie ATAM leisten thematisiere ich ebenso wie welche Aspekte Eurer Architekturziele sich mit Messungen verknüpfen lassen.

Stefan Zörner - Stefan Zörner - Was (genau) ist eigentlich Architekturbewertung

follow us on Twitter – @embarced

Bullshit_Bingo_Artikel JAXenter

Artikel auf JAXenter – Hohle Phrasen in der IT erkennen und vermeiden

By | Artikel, Inhaltliches, Publikationen | No Comments
Bullshit Bingo: Wie man hohle Phrasen in der IT erkennt und vermeidet

JAXenter Logo


Bullshit Bingo: Wie man hohle Phrasen in der IT erkennt und vermeidet
Autor: Herbert Dowalil
Online-Beitrag bei JAXenter, erschienen am 19. Oktober 2018

Online lesen auf JAXenter


Jeder kennt ihn, jeder belächelt ihn und jeder benutzt ihn hin und wieder mal als Werkzeug, um unverdient zu Glänzen: Den Bullshit. Er ist in unserer Branche so omnipräsent, dass er eigentlich kaum noch wegzudenken ist. Es muss die Frage erlaubt sein, worum es sich dabei eigentlich handelt und warum gerade wir in der IT so massiv darunter zu leiden haben.

Online lesen

 
follow us on Twitter – @embarced

Software vermessen_Blog Dowalil

Über die Vermessung von Software

By | Inhaltliches | No Comments


“If you can´t measure it, you can´t manage it”

Das wusste schon Peter Drucker! Wenn sich die Qualität von Software als Zahl wiedergeben lässt, so wird es wesentlich einfacher gute Entscheidungen zu treffen. Aber auch wenn Sie so eine Bürde nicht zu tragen haben, möchten Sie vielleicht wissen, wie weit Sie im Zuge von Verbesserungsmaßnahmen eines Produktes bereits gekommen sind. Es ist also kein Wunder, dass es den Wunsch nach der Objektivierung durch Kennzahlen in der Welt der IT ebenfalls gibt. Zunächst klingt es verlockend, denn so scheint es doch, als würden sich die Bits und Bytes von Software besonders für die Abbildung durch Metriken eignen. Tatsächlich habe ich in meiner Karriere aber sehr oft erleben müssen, dass durch die Anwendung einer Kennzahl mehr Schaden angerichtet wurde, als Nutzen generiert. In diesem Artikel möchte ich Ihnen einerseits Möglichkeiten aufzeigen, Software in Zahlen zu Vermessen, als auch andererseits vor typischen Fallstricken warnen, die es im Zuge dessen zu vermeiden gilt.

Kategorien von Software Metriken
Zyklomatische Komplexität nach McCabe als Beispiel
Mögliche Fallstricke beim Einsatz von Metriken
Mögliche Lösungsansätze beim Umgang mit Metriken

Eingehen möchte ich auf Kennzahlen zur Messung von Komplexität und struktureller Qualität von Software. Tatsächlich gibt es noch weitere Kategorien von Metriken im Umfeld von Software. Bei der folgenden Auflistung beziehe ich mich dabei ausschließlich auf Kennzahlen, welche sich auf das fertige Software-Produkt beziehen, und nicht auf solche, die im Umfeld davon existieren. Es gibt Kennzahlen, welche versuchen die Produktivität bei Entwicklung der Software zu vermessen, oder die Effizienz im Zuge der Benutzung. Dies ist aber nicht Fokus dieses Artikels und ich verweise dafür auf das Buch Software in Zahlen von Harry M. Sneed, Richard Seidl und Manfred Baumgartner.

Kategorien von Software Metriken

Quantität

Dabei wird die schiere Menge an Software gemessen, welche vorhanden ist. Es kann sich um die Anzahl an Codezeilen handeln, die Anzahl an Klassen, Codedateien oder auch Bildschirmmasken, welche vorhanden ist. Der Vorteil dieser Art von Kennzahl ist die Transparenz, da man sich darunter relativ einfach etwas vorstellen kann. Der Nachteil ist, dass es relativ wenig über die Software aussagt. Beim Hauptschirm einer Applikation wie Microsofts Word ist mit Sicherheit das x-fache an Komplexität enthalten, als in einer durchschnittlichen Bildschirmmaske.

Komplexität

Wie schwierig ein Stück Software zu verstehen oder zu entwickeln ist wird wesentlich besser von den Kennzahlen aus dem Gebiet der Komplexität wiedergegeben. Wenn Sie die Wartungs- oder Entwicklungstätigkeiten in Relation setzen möchten, so verwenden Sie bitte besser eine dieser Kennzahlen.

Struktur

Diese Art von Metriken misst die Kapselung des Codes in Bausteine, und auch, wie diese dabei zueinander in Relation stehen. Beispiele dafür wären die Software-Package-Metrics von Robert C. Martin oder auch die Metriken von John Lakos. Ich ziehe dabei diejenigen von John Lakos vor, da diese Abhängigkeiten transitiv betrachten. Eine Abhängigkeit, wo Baustein B den Baustein A benötigt wirkt sich dort nämlich auch auf einen potentiellen Baustein C aus, wenn dieser den Baustein B benützt. Dies entspricht viel mehr der tatsächlichen Natur der Abhängigkeiten im Code.

Testautomatisierung

Die bekannteste Kennzahl aus dem Bereich der automatisierten Tests ist mit Sicherheit die der durch Unit-Tests abgedeckten Code-Zeilen. Testabdeckung wird dabei aber auch durch System- und Integrationstests erzeugt, welche zwar ebenfalls Code automatisch testen, dabei aber nicht die Kennzahl der Abdeckung durch Unit-Tests beeinflussen. Das kann ein guter oder schlechter Aspekt dieser Kennzahl sein. Tatsächlich ist meine Erfahrung, dass eine sehr niedrige Abdeckung durch Unit-Tests ein Indiz für das Fehlen von Strukturen in der Codebasis darstellt. Unit-Tests testen nämlich per definitionem gezielt die einzelnen kleinsten Bausteine des Codes. Wenn dies nicht passiert, so ist es nicht selten so, dass es diese Zerlegung in Bausteine nicht gibt und das Unit-Testen dadurch gar nicht erst möglich ist.

Qualität

Die Erfüllung gewisser Qualitätsmerkmale der laufenden Software kann ebenfalls recht gut auf objektive Art und Weise gemessen werden. Ein Beispiel dafür ist die Zuverlässigkeitsmessung nach Tom Gilb, welche schlichtweg wie folgt errechnet wird:

(Anzahl richtiger Ergebnisse) / (Anzahl aller Ergebnisse)

Andere Beispiele wären die durchschnittliche Zeit bis zum Zusammenbruch des Systems (Mean-Time-to-Failure) und die durchschnittliche Zeit bis sich dieses wieder von seinem Problem erholt (Mean-Time-to-Recover). Eine Messung der durchschnittlichen Response Time würde wiederum die Erfüllung von Performance Anforderungen prüfen.

Zyklomatische Komplexität nach McCabe als Beispiel

Verdeutlichen möchte ich die Thematik noch anhand eines konkreten Beispiels, nämlich der Zyklomatischen Komplexität nach McCabe, da es sich dabei um die populärste der Komplexitätsmetriken handelt. Als Beispiel soll uns das folgende Code-Snippet dienen:


while (x < 100) {                  // 1

   if (values(x) % 2 == 0) {       // 2 
      parity = 0;                  // 3 
   } else {
      parity = 1;                  // 4 
   }                               // 5 

   switch (parity) {               // 6 
   case 0: 
      System.out.pritln("Even");   // 7 
      break; 
   case 1: 
      System.out.println("Odd");   // 8 
      break; 
   default: 
      System.out.println("Weird"); // 9 
      break; 
   } 

   x++;                            // 10 
}
result = true;                     // 11


Diese Abbildung illustriert die möglichen Wege durch dieses relativ kurze Stück Code. Hier sehen wir 11 verschiedene Knoten (welche auch im Code durch Kommentare am Zeilenende markiert sind) sowie 14 Pfeile, welche die möglichen Pfade zwischen dieses Knoten illustrieren. Die Formel lautet nun:

(Anzahl Pfeile) – (Anzahl Knoten) + 2

Was im konkreten Fall eine zyklomatische Komplexität nach McCabe von 5 ergibt.

Bleibt noch die Frage zu beantworten, was man denn nun konkret mit einer solchen Kennzahl wie McCabe anfangen kann?! Eine mögliche Anwendung ist die Beantwortung der Frage, ab wann man einen Baustein (wie eine Klasse) auf Grund seiner Komplexität weiter aufteilen sollte. Ein hohes Maß an Komplexität könnte bedeuten, dass diese eine Klasse mehr als nur eine Verantwortung hat, was aber im Sinne des Single-Responsibility-Prinzips nicht sein sollte. Außerdem ist eine derart komplexe Klasse auch für den Entwickler schwieriger zu verstehen, und sollte daher eher auf weitere Einzelteile aufgebrochen werden. Es ist demnach durchaus sinnvoll, eine Obergrenze für Komplexität für Klassen oder Methoden festzulegen.

Mögliche Probleme beim Einsatz von Software Metriken

Leider gibt es jede Menge Fallstricke, welche es auf dem Weg zum erfolgreichen Einsatz von Metriken im Unternehmen zu vermeiden gilt. Die am häufigsten anzutreffenden sind:

Einschränkende Sicht auf die Gesamtproblematik

Eine Kennzahl ist eine numerische Abstraktion eines Aspektes einer Software. Die Gefahr beim Messen einer solchen ist, dass daraufhin dieser Aspekt maximiert wird, und dadurch nicht erfasste Aspekte vernachlässigt werden. Ein Beispiel dafür: Ein Unternehmen war ausgesprochen unglücklich über die hohen Kosten, welche vom Rechenzentrum für CPU Zeiten berechnet wurden, welche am Großrechner anfielen. Ergo gab man das Ziel aus, die CPU Nutzung am Großrechner messbar zu reduzieren. Als möglicher Verursacher wurde die Kompilierung von Cobol Sourcen ausgemacht. Auf die Aufforderung, die Sourcen in Zukunft auf alternativer Hardware zu übersetzen und erst danach auf den Großrechner zu übertragen, konnte das Development Team aufzeigen, dass die Kosten für die Mehraufwände die möglichen Ersparnisse durch die Reduktion der CPU-Zeiten überstiegen hätten.

Auf Umwegen zum Ziel

Viele Wege führen nach Rom. Ähnliches gilt für die Erfüllung von Kennzahlen. Meist möchte man, dass mit der gewünschten Veränderung einer Kennzahl auch eine gewünschte Veränderung im Unternehmen stattfindet. Allerdings wird dieses eigentliche Ziel dabei oft nicht erreicht, einfach weil übersehen wird, dass ein für die Mitarbeiter angenehmerer Weg ebenfalls zum gewünschten Ziel führt. Im schlimmsten Fall kann genau das sogar zu einer Verschlechterung der Situation führen. Das klassische Beispiel um dies darzustellen ist die folgende Geschichte, die sich so angeblich in Indien zugetragen hat, als es noch von den Briten besetzt war: Ein Gouverneur wollte die Anzahl der Kobras in seinem Herrschaftsgebiet reduzieren, indem er ein Kopfgeld für jede tote Kobra ausbezahlte. Das Ergebnis war aber, dass sich die bestehende Kobra-Plage in der Gegend sogar noch verschlimmerte. Durch das Kopfgeld erhielten tote Kobras plötzlich einen Wert. Was dazu führte, dass die Einwohner begannen, Kobras zu züchten und später zu töten, um diese Prämie zu kassieren. Manche dieser Tiere entkamen und verschlimmerten dadurch sogar die Problematik.

Ein Beispiel aus der IT Praxis ist die folgende Anekdote: Ein Konzern wollte von einem der großen Consultingunternehmen ob der Produktivität seiner Programmierer bescheid wissen. Das Unternehmen untersuchte die beiden Teams, von denen eines für die Erstellung und Wartung von Cobol Sourcen verantwortlich war, und das andere entsprechend für den Java Code. Das Ergebnis dieser Untersuchung war: Man sollte auf Cobol Entwicklung umsteigen, weil dieses Team angeblich wesentlich produktiver wäre. Was war hier geschehen? Gemessen wurde die Anzahl an Codezeilen in Relation zu den Stunden, welche die Mitarbeiter zur Programmierung dessen brauchten. Da derselbe Sachverhalt in Java allerdings in wesentlich weniger Codezeilen ausgedrückt werden kann, war man danach irrtümlich der Meinung, dass Cobol Entwicklung produktiver wäre.

Falsche Anreize

Verschärft wird jede Art von Problemen mit Kennzahlen immer, wenn an der Erfüllung eines gewissen Grenzwertes der Erfolg von Mitarbeitern gemessen wird. Ganz besonders dann, wenn damit ein monetärer Anreiz verbunden ist. Überlegen Sie sich also gut, ob sie eine finanzielle Belohnung im Umgang mit Metriken einsetzen möchten.

Mögliche Lösungsansätze

Ich hoffe ich konnte Sie überzeugen, dass beim Einsatz von Metriken zur Vermessung von Software auf jeden Fall Vorsicht geboten ist. Nachdem Sie nun aber genug über Probleme gelesen haben, möchte ich nun zu möglichen Lösungsstrategien zur Thematik kommen. Was empfiehlt sich, um mit Metriken auch tatsächlich erfolgreich zu sein?

Wenig reduzierend

Den Terminus “gesamtheitlich” vermeidend möchte ich empfehlen, Kennzahlen zu wählen, welche bei der Auswahl der Aspekte des Erfolges möglichst wenig einschränkend sind. Also so breit wie möglich die Güte der Arbeit der Mitarbeiter wiedergeben. Dadurch wird vermieden, dass nur ein Aspekt besonders betont wird und somit falsche Prioritäten gesetzt werden. Dies hat wiederum den Nachteil, dass es somit u.U. schwierig wird, die Performance einzelner Teams einzuschätzen. Entschärfen können Sie diese Problematik wiederum durch eine Organisation um die fachlichen Teilbereiche der Problemdomäne herum. Ein Team ist dann genau der Behandlung einer Subdomäne (oder Business Capability) zugeordnet und dafür verantwortlich. Anhand dessen kann der Erfolg prinzipiell recht umfangreich, aber eben nur für einen solchen Teilbereich, gemessen werden. Wesentlich schwieriger is so etwas, wenn Ihre Organisation anhand der Aufgaben bei der Entwicklung von Software strukturiert ist, wie Analyse, Architektur, Entwicklung und Test. In so einem Fall könnten isolierte Kennzahlen sogar die Zusammenarbeit zwischen den Teams behindern. Wenn jedes Team an der Erfüllung der eigenen Kennzahl gemessen wird, dann wird es auch alles danach ausrichten, diese zu optimieren, und zur Not die Schuld, wenn es nicht klappen sollte, bei anderen suchen.

Zusammenfassen

Um nicht reduzierend zu wirken kann man Kennzahlen auch kombinieren. Dafür müssen sie natürlich zuerst in ein einheitliches Format gebracht werden. Für Software bietet es sich an, Verfehlungen bei Metriken in Aufwänden zu messen, welche im Zuge einer Behebung anfallen würden. Wenn es sich bei der Metrik beispielsweise um “Anzahl zyklischer Abhängigkeiten zwischen Modulen” handelt, dann kann diese Umrechnung erfolgen, indem man eine Zeiteinheit (z.B.: 1 Manntag) definiert, welcher nötig wäre, um einen Zyklus im Code zu beheben. Die Aufwände berechnen sich dann wie folgt:

(Anzahl_Zyklen – Obergrenze_Anzahl_Zyklen) * Aufwand_pro_Zyklenbehebung

Wenn Sie das für all Ihre Kennzahlen machen, können Sie die Aufwände am Ende summieren. Das u.a. als Plugin für SonarQube erhältliche SQALE Rating tut etwas ähnliches. Es errechnet zuerst die Kosten der gefundenen Issues im Code (Technical Debt) und erstellt daraus ein Scoring indem es die Kosten für Issues zur Quantität des Codes in Relation setzt. Das Ergebnis geht dann von A (gut) bis F (schlecht) und ist somit sehr plakativ. Etwas problematisch an SQALE finde ich, dass es teilweise Kennzahlen verwendet, welche in meinen Augen “Kobras” sind, wie die Anzahl der dokumentierten public Methoden in Java. Diese sollte man nicht messen, da es dadurch dazu kommen kann, dass veraltete und unverstandene Kommentare von den Entwicklern nicht gelöscht werden. In so einem Fall ist aber kein Kommentar besser als ein schlechter Kommentar. Außerdem ist es möglich (und auch besser) Code auf eine Art und Weise zu schreiben, sodass er im Endeffekt selbsterklärend ist, wodurch es dann keinen expliziten Kommentar mehr braucht.

Gezielte Auswahl für einen bestimmten Anwendungsfall

Es gibt meiner Erfahrung nach durchaus Problemgebiete, deren Erfüllungsgrad durch einige sehr passende Kennzahlen sehr gut wiedergegeben werden. Die Qualität der Strukturen von Software ist so ein Beispiel. Wenn Sie dies messen möchten, so empfehle ich Ihnen die Kennzahl NCCD aus der Familien der Kennzahlen von John Lakos. Eine Alternative stellt die Messung und Kontrolle der Relativen Strukturzyklizität dar, welche auch gut Schritt-für-Schritt gezielt erreicht werden kann, was motivierende Effekte auf ein Team haben kann.

Lockerer Umgang mit dem Thema

Monetäre Anreize führen manchmal zu einer Übermotivation bei der Erfüllung einer bestimmten Metrik. Und das Team vernachlässigt dann andere Aspekte des Erfolgs. Ähnlich verhält es sich, wenn aufgrund einer Untererfüllung eines Kennzahl-Grenzwertes harte Entscheidungen getroffen werden. Wenn in so einem Fall nicht mehr deployt werden kann, dann werden sich die Mitarbeiter Tricks einfallen lassen, um diese Kennzahl zur Not irgendwie noch zu erfüllen. Stattdessen können Sie auf die intrinsische Motivation Ihrer Mitarbeiter setzen. Kommunizieren Sie Ihrem Team bei jeder Gelegenheit wie weit es bei der Erfüllung seiner Ziele bereits ist. Wenn die Mitarbeiter bei der Auswahl der Kennzahlen teilhaben durften, wird die Motivation umso höher sein.

Fitness Functions

Fitness Functions, als Idee aus dem Buch Building Evolutionary Architectures von Neal Ford, Rebecca Parsons und Patrick Kua, basieren nicht selten auf Metriken, gehen aber in ihrer Definition noch darüber hinaus. Es werden dabei entweder punktuell oder laufend, einzelne oder gesamtheitliche Aspekte der Software überwacht. So kann ein einfacher Unit-Test, der auf ArchUnit oder JDepend basiert prüfen, ob die Modulstruktur des Systems auch frei von zyklischen Abhängigkeiten ist. Dies wäre atomar und punktuell. Die Simian Army von Netflix wiederum prüft kontinuierlich und holistisch die Stabilität der Produktionsumgebung. Mehr Informationen dazu im Blog-Beitrag zum Thema Evolutionäre Architektur.

Werkzeuge

Hier noch ein Überblick welche Kennzahl in welchem Tool umgesetzt ist:

Tool Plattformen LCOM4 Relational Cohesion McCabe Visibility Depth-of-Inheritance Component Rank Software Package Metriken John Lakos Metriken Zyklen-Erkennung Architektur Soll/Ist Prüfung
Axivion Bauhaus Suite C/C++, C#, Java + + + + +
Sonargraph C/C++, C#, Java, Python + + + + + + + + + +
JDepend Java + + +
Structure101 Java + + +
STAN Java + + + + +
NDepend / CppDepend / JArchitect C/C++, C#, Java + + + + + +
SDMetrics UML + + +

Fazit

Metriken können ein mächtiges Werkzeug zur Entwicklung und Kontrolle diverser Qualitätsaspekte im Unternehmen sein. Bei der Auswahl und dem Einsatz ist aber Vorsicht geboten. Im Zuge meines Trainings zum Thema Software-Design erlernen die Teilnehmer Schritt für Schritt worauf es bei Messung und Entwicklung effektiver Strukturqualität ankommt.

Nähere Informationen zu diesem Thema finden Sie in meinem Buch Grundlagen des modularen Softwareentwurfs, dessen Kapitel 9 zu diesem Zweck mit freundlicher Genehmigung des Carl Hanser Verlages zur Verfügung gestellt wurde:

Download: Grundlagen des modularen Softwareentwurfs / Kapitel 9

Machine Learning Summit

Interview: Anwendungsmöglichkeiten von Machine Learning

By | Allgemein, Inhaltliches | No Comments
„Anwendungsmöglichkeiten von Machine Learning“ (Interview zum ML-Summit)


Anwendungsmöglichkeiten von Machine Learning
Interview mit Oliver Zeigermann
online im ML-Summit Blog
erschienen am 24. Juli 2018


embarc Vorträge & Workshops auf dem ML-Summit

Oliver Zeigermann, Programm Chair und Trainer auf dem ML Summit, hat im Vorfeld des Events mit dem Entwickler Magazin über die vielfältigen Möglichkeiten zum Einsatz von Machine Learning und Deep Learning gesprochen. In dem Interview zeigt Oliver auf, welche Chancen ML auch für laufende Projekte bietet und womit ein Einstieg in die Arbeit mit Deep Learning möglich ist.

Lesen Sie das ganze Interview und erhalten Sie einen Vorgeschmack auf das große 2-in-1-Trainingsevent vom 1. bis 2. Oktober in Berlin.

zum Interview

MicroMoves_Bauteil 6

Einen Computergegner asynchron anbinden mit RabbitMQ (Micro Moves, Bauteil 6)

By | Inhaltliches | No Comments

Blog-Serie Micro Moves -- LogoIn der vorherigen Folge der Micro-Moves-Serie haben wir einen Service für die Spielregeln im Schach synchron an einen anderen Service angeflanscht. Mit diesem Bauteil zeigen wir nun asynchrone Kommunikation. Konkret ermöglichen wir es Benutzern unserer Online-Schachplattform FLEXess sich mit einem der ganz Großen im Computer-Schach zu messen.

Um was geht es — ein Überblick

Im Bild sieht es aus, als gäbe es dieses Mal gleich zwei Bauteile. Was die Anzahl Prozesse angeht stimmt das auch. Wir integrieren einen Computer-Spieler (Stockfish) und binden ihn via Messaging asynchron an das games-Modul an. Inhaltlich passiert am Ende aber nur eins: Unsere Benutzer können gegen den Ranglisten-Ersten (CCRL 40/40, Stand Juli 2018) im Computer-Schach antreten. Oder auch der Computer gegen sich selbst, wenn wir einfach nur zugucken wollen.

Überblick FLEXess, Bauteil 6

Computerschach

Ein Jahrhundertraum wie das Fliegen. Eine Machine bauen, die Menschen im Schach bezwingt. Seit Wolfgang von Kempelens berühmten Schachtürken um 1780 haben sich Menschen daran versucht. Das Problem können wir als gelöst ansehen. Claude Shannon hat 1949 mit seinem Aufsatz „Programming a Computer for Playing Chess“ die theoretische Grundlage gelegt. 1996 verlor das erste Mal ein amtierender Schachweltmeister — stellvertretend für die gesamte Menschheit sozusagen — unter Wettkampfbedingungen gegen eine Machine (Deep Blue). Mit dem aktuellen Megatrend Machine Learning hatte das Ganze übrigens nichts zu tun. Deep Blue lernte nicht. Es rechnete einfach brutal schnell.

Erste Schach-Computer für den privaten Gebrauch erschienen bereits 1977 und kosteten noch eine Stange Geld. Der Fortschritt in der Hardware lässt uns heute bequem auf unserem Smartphones gegen eine App verlieren. Der eigentliche (Rechen-)Kern von Schach-Programmen wird dabei als „Engine“ bezeichnet. Engines lassen sich typischerweise in verschiedene Schachoberflächen integrieren. Damit dies einfach möglich ist, und auch damit Engines leicht gegeneinander antreten können, haben sich textbasierte Kommunikationsprotokolle etabliert. Das verbreitetste heute ist UCI (kurz für Universal Chess Interface, Spezifikation siehe hier).Stockfish Logo

Um auch Nutzern von FLEXess die Möglichkeit zu geben, gegen einen ernstzunehmenden Computergegner anzutreten, binden wir in dieser Folge Stockfish an. Das ist eine besonders spielstarke Chess Engine, in C++ implementiert und Open Source. Stockfish ist auf allen Ranglisten vorne dabei (Spitzenreiter zum Beispiel in der CCRL 40/40, Computer Chess Rating Lists, Stand Juli 2018). Das Programm unterstützt das UCI-Protokoll und lässt sich dadurch einfach integrieren.

Stockfish auf der Kommandozeile

Wenn Ihr Stockfish für Eurer Notebook herunterladet findet Ihr auf der entsprechenden Seite auch ein einfaches UI, mit dem sich die Engine interaktiv passabel bedienen lässt. Uns interessiert allerdings die Kommandozeile. Startet Ihr die Stockfish Engine in einem Terminal könnt Ihr Befehle eingeben und die Denkarbeit des Programmes beobachten, inkl. des  „besten Zuges“ nach Ende einer Analyse. Die folgende Abbildung zeigt in einem Terminal, dass Stockfish ein Schäfermatt auch auf der Kommandozeile souverän nach Hause spielt.

Stockfish in der Kommandozeile

Die von mir eingegebenen Befehle waren isready, position, go und quit. Mit position wird die aktuelle Spielsituation gesetzt. Die Eingabe ist in FEN möglich (mit position fen …, Details zu dieser Notation findet Ihr in der zugehörigen Randnotiz). Oder wie oben im Bild durch Angabe der bisherigen Züge ausgehend vom Start (mit position startpos moves e2e4 e7e5 d1h5 …). Die verwendete Züge ermöglichen weiß am Zug ein sogenanntes Schäfermatt. Die schicke Abbildung unten zeigt das Brett nach diesen 6 (Halb-)zügen. Es ist übrigens mit dem chess-diagrams-Modul als Folge 2 dieser Serie generiert.

Spielsituation vor Schäfermatt

Der UCI-Befehl go lässt Stockfish losrechen. Mit dem depth-Parameter habe ich die Suchtiefe beschränkt, damit die Ausgaben nicht das Terminal zutexten und wir die vorherigen Eingaben noch im Screenshot sehen. Mit bestmove gibt Stockfish seinen Zug aus. Dame auf h5 schlägt auf f7 und setzt Matt. Besser geht es nicht.

Mit quit können wir die Session beenden. Wir wollen Stockfish nicht weiter unterfordern.

Stockfish anbinden

Roboter mit SteckerBei der Integration der Schach Engine habe ich mich für Python entschieden, um ein bisschen Gluecode zu schreiben. Ihr findet diesen im Modul computer-player auf GitHub. Die betreffende Datei heißt stockfish.py und umfasst ca. zwei Dutzend Zeilen Quelltext. Die Python-Funktion calculate_move startet Stockfish als Subprozess. Via stdin gibt sie die Befehle (position, go …) an die Engine und holt sich das Ergebnis über dessen stdout ab.

Das Ganze funktioniert nur, wenn stockfish installiert ist. Ein kleiner Integrations-Test mit tox überprüft die Anbindung der Engine, indem er Stockfish u.a. genau das Schäfermatt serviert. Unser Image für Docker basiert auf Ubuntu. Das Dockerfile installiert Stockfish mit apt-get. Damit das Programm aktiv wird, wenn wir ihm Züge vorlegen, verbinden wir es via Messaging.

Die Messaging-Renaissance

Messaging ist eine etablierte Technologie, um Programme miteinander sprechen zu lassen, die dies von Natur aus nicht können. Entsprechende Middleware schaut auf eine lange Geschichte zurück. WebSphere MQ von IBM etwa erblickte als MQSeries bereits Anfang der 90er das Licht der Welt. Der spätere SOA-Hype befeuerte den Einsatz derartiger EAI-Lösungen. Neben kommerziellen Produkten von Firmen wie Oracle oder TIBCO gibt es auch Open Source-Lösungen, etwa Apache ActiveMQ.

RabbitMQ LogoMessaging-Lösungen kennzeichnen sich durch lose Kopplung aus. Die Kommunikationspartner können in sehr verschiedenen Technologien implementiert sein und auf unterschiedlichsten Plattformen laufen. Der Nachrichtenaustausch erfolgt asynchron und oftmals indirekt. Die Partnerprogramme brauchen sich weder kennen, noch gleichzeitig laufen. Das macht Messaging Lösungen für zeitgenössische Architekturstile wie Microservices, die lose Kopplung anstreben, sehr interessant.

Auch wenn die Konzepte die alten sind sehen wir vermehrt neuere, leichtgewichtige Messaging-Löungen auf dem Vormarsch. Ganz vorne dabei ist RabbitMQ. Die in Erlang entwickelte Open Source-Lösung implementiert eine Reihe von Standards, darunter AMQP (Advanced Message Queuing Protocol).

Für unsere Anbindung haben wir ein vorgefertigtes Docker-Image von RabbitMQ genutzt, und in der Konfigurationsdatei für docker-compose als Service vereinbart. Die gewählte Image-Variante beinhaltet die webbasierte Management-Konsole. Dadurch lässt sich RabbitMQ mit seinen Verbinden, Nachrichtenaustauschen und Queues prima von außen beobachten. Die folgende Abbildung zeigt bereits unser FLEXess in Aktion. Also beim Senden und Empfangen von Schachstellungen und Spielzügen als Nachrichten.

RabbitMQ Management Console

games und computer-player tauschen Nachrichten aus

Für die Anbindung zwischen games und computer-player (siehe auch Überblicksbild oben) nutzen wir zwei sogenannte „Direct Exchanges“ in RabbitMQ. Die Middleware bietet verschiedene Austauschmuster an — das direkte ist das einfachste. Die folgende Abbildung zeigt das Zusammenspiel:

Ablauf Messaging

Zwei Queues nehmen Nachrichten im JSON-Format auf. Im Fall eines Zuges, den Stockfish ausführen soll, legt games zunächst eine Nachricht mit der Spielsituation (Schachstellung in FEN) in der Message-Queue positions ab. Ein Computer-Spieler „lauscht“ auf dieser Queue (Implementierung der Funktionen in Python in der Datei stockfish_listener.py). Tatsächlich könnte es mehrere computer-player-Container  geben. Im Falle einer Nachricht liest computer-player die Position aus und nutzt die UCI-Integration wie oben beschrieben zur Ermittlung des besten Zuges aus Stockfishs Sicht. Dieser Zug geht über die Queue moves an games zurück. Über die Game-ID, die jede Nachricht als ein Attribut enthält, kann das games-Modul den Zug dem Spiel zuordnen und ausführen.

Die Aussteuerung von Spielsituationen in die Warteschlange positions erfolgt in games über den Spielernamen „stockfish“. So kann ein Spieler gegen den Computer spielen, indem er einfach eine Partie gegen „stockfish“ startet. Die folgende Abbildung zeigt mich (weiß) im Spiel gegen den Computer-Gegner. Im Moment sieht es noch ausgeglichen aus.

Spiel gegen den Computer-Gegner im Browser

Übrigens lassen sich über das UI des games-Subsyststems auch Partien starten, in denen Stockfish gegen sich selbst spielt. Einfach für beide Spielernamen „stockfish“ im Formular unter „Create a new game“ eintragen. Dann geht das los. Wählt Ihr „Play Game!“ könnt Ihr die „beiden“ Kontrahenten beobachten. Die folgende animierte Abbildung zeigt den Ausschnitt einer solchen Partie in Endlosschleife.

Stockfish gegen Stockfish

Weitere Informationen. Und wie es weiter geht.

Enterprise Integration Patterns: Designing, Building, and Deploying Messaging SolutionsRabbitMQ stellt exzellente Tutorials für alle denkbaren Programmiersprachen und verschiedene Kommunikationsmuster bereit. Ich habe mich für Python daran orientiert. Für die Integration in das games-Modul mit Spring Boot ließ ich mich von einem entsprechenden Beitrag inspirieren: „Getting Started: Messaging with RabbitMQ“.

Die fundierte Quelle für Messaging in Buchform ist meiner Meinung nach immer noch der Klassiker Enterprise Integration Patterns: Designing, Building, and Deploying Messaging Solutions von Gregor Hohpe.

Die Entwicklung von Programmen, die Schach spielen können, geht weiter. Auch heute noch treten Schachprogramme im Wettbewerb gegeneinander an. Mittlerweile mischt die künstliche Intelligenz tatkräftig mit. 2017 schlug Google’s AI-Lösung AlphaZero das traditionelle Spitzenprogramm Stockfish. Es benötigte 4 Stunden, um Schach zu lernen. Und verlor im Anschluss von 100 Partien keine einzige (Bericht hier).

Wie geht es hier mit FLEXess weiter eigentlich? Die Benutzer brauchten sich bisher noch nicht an der Plattform anmelden. Eine Zeichenkette für den Spielernamen einzugeben, genügt. Und jeder kann bei jedem mitspielen. Zeit, dass wir uns diesem offensichtlichen Mangel widmen!

Ach ja: Fragen und Anregungen sind natürlich jederzeit gerne willkommen. Per Kommentar hier im Blog oder gerne auch per Mail direkt an mich …

Zur Blog-Serie Micro Moves