Grundlagen Inkrementelles Entwicklungsmodell

Das inkrementelle Entwicklungsmodell basiert auf der Idee, ein umfangreiches Softwareprojekt in kleinere, handhabbare Teile zu zerlegen. Entwickler implementieren diese Teile in aufeinanderfolgenden Phasen, wobei jedes Inkrement auf dem vorherigen aufbaut und es erweitert. Diese Vorgehensweise ermöglicht eine frühzeitige Auslieferung von Teilfunktionalitäten, was wiederum eine schnelle Rückmeldung von den Endnutzern erlaubt. Die konsequente Einbindung von Nutzerfeedback in den Entwicklungsprozess führt zu einer höheren Benutzerzufriedenheit und ermöglicht eine effektivere Fehlerbehebung.

Ursprung und Entwicklung

Die Ursprünge des inkrementellen Entwicklungsmodells liegen in den 1960er und 1970er Jahren. Als Softwareingenieure nach flexibleren Alternativen zu den bis dahin vorherrschenden, starren Entwicklungsmodellen suchten. Das inkrementelle Modell bildete eine Antwort auf die wachsenden Anforderungen an Softwarelösungen. Besonders, die Notwendigkeit, sich schnell an veränderte Benutzeranforderungen und Marktbedingungen anzupassen.

Optimale Anwendungsmethoden

Für eine erfolgreiche Anwendung des inkrementellen Entwicklungsmodells gilt es, einige Schlüsselelemente zu berücksichtigen:

1. Klare Definition der Inkremente: Teams sollten jedes Inkrement klar definieren und festlegen, welche Funktionen es umfasst.
2. Kontinuierliche Integration und Testing: Die kontinuierliche Integration neuer Inkremente und deren umfassendes Testing sind unerlässlich. Dadurch lassen sich Fehler frühzeitig identifizieren und somit die Softwarequalität sichern. (Siehe meinen Beitrag über CI/CD – Continuous Integration und Continuous Deployment.)
3. Nutzerfeedback einbeziehen: Entwicklerteams müssen Nutzerfeedback aktiv einfordern und in den Entwicklungsprozess integrieren, um die Software stetig zu verbessern.

Inkrementelles Entwicklungsmodell Beispiele aus der Praxis

1. Mobile Applikationen: Bei der Entwicklung mobiler Apps hat sich das inkrementelle Modell als besonders effektiv erwiesen. Entwicklerteams können einzelne Funktionen wie Benutzeranmeldung, Profilerstellung und Nachrichtenfunktion in separaten Inkrementen implementieren und ausliefern.
2. Web-Plattformen: Auch im Bereich der Web-Entwicklung findet das inkrementelle Modell breite Anwendung. Beispielsweise kann ein E-Commerce-Unternehmen seinen Online-Shop schrittweise um Funktionen wie Produktsuche, Warenkorb und Zahlungsabwicklung erweitern.

Fazit

Ein inkrementelles Entwicklungsmodell stellt einen flexiblen und effizienten Ansatz in der Softwareentwicklung dar. Durch die Zerlegung des Gesamtprojekts in kleinere Teile, die man schrittweise implementiert und testet, ermöglicht eine schnelle Reaktion auf Benutzerfeedback und sich verändernde Anforderungen. Zahlreiche Erfolgsbeispiele aus der Praxis belegen die Effektivität dieses Modells. Dies macht es zu einer attraktiven Wahl für Softwareentwicklungsprojekte unterschiedlichster Art.

Der Beitrag Inkrementelles Entwicklungsmodell – Kleine Schritte, große Fortschritte erschien zuerst auf CEOsBay.

Grundlagen der Impact Analyse

Es ist eine Methode zur Identifizierung und Bewertung der Auswirkungen, die eine Änderung oder Aktualisierung in einem Softwareprodukt verursachen kann. Sie beinhaltet die Beurteilung von Änderungen an Anforderungen, Systemkomponenten oder Implementierungsdetails und die Analyse der potenziellen Folgen dieser Änderungen auf verschiedene Bereiche wie Leistung, Sicherheit und Benutzererfahrung.

Vorteile der Impact Analyse im Software-Testing

Die Impact Analyse bietet mehrere Vorteile im Bereich des Software-Testings. Sie unterstützt Teams dabei:

1. Priorisierung von Testfällen: Mit der Impact Analyse können Tester die Testfälle identifizieren und priorisieren, die am stärksten von den geplanten Änderungen betroffen sind. Das spart Zeit und Ressourcen und ermöglicht den Teams, sich auf die kritischsten Testfälle zu konzentrieren.
2. Minimierung von Risiken: Sie hilft dabei, Risiken im Zusammenhang mit Änderungen frühzeitig zu identifizieren und zu minimieren. Durch die frühzeitige Erkennung von potenziellen Problemen können Teams geeignete Maßnahmen ergreifen, um sicherzustellen, dass die Qualität der Software nicht beeinträchtigt wird.
3. Verbesserung der Effizienz: Durch die Kenntnis der Auswirkungen einer Änderung können die Teams ihre Teststrategien effizienter gestalten und die Testabdeckung verbessern.

Durchführung der Impact Analyse im Software-Testing

Die Impact Analyse im Software-Testing beinhaltet typischerweise die folgenden Schritte:

1. Identifikation der Änderungen: Das Testteam muss zunächst die geplanten Änderungen in der Software identifizieren. Diese können sich auf die Anforderungen, die Architektur, das Design oder den Code beziehen.
2. Analyse der Auswirkungen: Anschließend analysiert man, welche Bereiche der Software von diesen Änderungen betroffen sein könnten. Dazu kann man Tools zur statischen Code-Analyse oder Techniken wie die Datenflussanalyse verwenden.
3. Bewertung der Auswirkungen: Nach der Identifizierung der betroffenen Bereiche bewertet man die potenziellen Auswirkungen der Änderungen. Dabei kann man verschiedene Faktoren berücksichtigen, wie die Wahrscheinlichkeit eines Fehlers, die Schwere eines möglichen Fehlers und die Auswirkungen auf die Benutzer.
4. Planung und Durchführung von Tests: Basierend auf der Bewertung der Auswirkungen erstellt man neue Testfälle oder passt bestehende Tests gegebenenfalls an und führt diese aus.

Fazit:

Zusammenfassend ist die Impact Analyse ein wesentliches Werkzeug im Software-Testing. Durch die Identifikation und Bewertung der Auswirkungen von Änderungen auf die Softwarequalität unterstützt sie Teams dabei, Risiken zu minimieren, Testfälle effektiv zu priorisieren und die Softwarequalität zu verbessern. Ein effektiver Einsatz der kann dazu beitragen, die Effizienz des Testprozesses erheblich zu steigern und letztendlich eine höhere Kundenzufriedenheit zu erzielen.

Der Beitrag Impact Analyse – Risiken minimieren und Effizienz steigern erschien zuerst auf CEOsBay.

Was ist ein Test-Harnisch?

Ein Test-Harnisch (engl. test harness) ist ein Framework oder eine Sammlung von Tools, die dazu beitragen, das Testen von Softwareanwendungen zu automatisieren, zu koordinieren und zu überwachen. Im Wesentlichen stellt ein Test-Harnisch eine Umgebung bereit, in der Entwickler und Tester den Code einer Anwendung testen und sicherstellen können, dass er korrekt funktioniert und die Anforderungen erfüllt. Man kann Test-Harnische sowohl für manuelles als auch für automatisiertes Testen verwenden.

Funktionsweise eines Test-Harnisch

Ein Test-Harnisch besteht aus vier Hauptkomponenten:

1. Testtreiber: Der Testtreiber ist für die Ausführung der Tests verantwortlich. Er stellt die Schnittstelle zur Verfügung, über die die Tester die Testfälle ausführen und die Ergebnisse erfassen können.
2. Testdaten: Testdaten sind die Eingaben, die man während des Testprozesses verwendet. Sie bestehen in der Regel aus verschiedenen Datentypen, die man verwendet, um die verschiedenen Funktionen und Komponenten der Anwendung zu testen.
3. Testskripte: Testskripte sind Skripte, die den Testprozess automatisieren. Sie enthalten Anweisungen, wie die Tests ausgeführt und die Analyse der Ergebnisse stattfinden soll.
4. Testergebnisse: Testergebnisse sind die gesammelten Informationen, die aus dem Testprozess resultieren. Sie enthalten Daten über die Leistung der Anwendung, Fehler, die während des Testprozesses aufgetreten sind, und Informationen über die Korrektheit der Funktionen.

Vorteile von Test-Harnischen

• Automatisierung: Test-Harnische automatisieren den Testprozess und reduzieren so den Zeitaufwand und die Mühe, die mit manuellem Testen verbunden sind. Dies ermöglicht es Entwicklern und Testern, sich auf die Analyse der Testergebnisse und die Verbesserung der Softwarequalität zu konzentrieren.
• Wiederverwendbarkeit: Test-Harnische ermöglichen es, Testfälle und Testdaten wiederverwendbar zu gestalten, sodass man sie in verschiedenen Projekten und Anwendungen einsetzen kann.
• Vereinfachung: Test-Harnische vereinfachen den Testprozess, indem sie alle Testaktivitäten zentralisieren und eine einheitliche Testumgebung bereitstellen.
• Effizienz: Test-Harnische steigern die Effizienz des Testprozesses, indem sie die Testabdeckung erhöhen, den Testaufwand reduzieren und eine schnellere Fehlerbehebung ermöglichen.
• Kontinuierliche Integration: Test-Harnische unterstützen kontinuierliche Integration (CI) und kontinuierliche Bereitstellung (CD) in der Softwareentwicklung, indem sie die automatisierte Ausführung von Tests bei jedem Commit oder Build sicherstellen. Siehe hierzu den Beitrag über CI/CD.
• Berichterstattung und Analyse: Test-Harnische bieten umfangreiche Berichtsfunktionen, die es Entwicklern und Testern ermöglichen, den Fortschritt und den Status der Tests zu überwachen, Fehler und Schwachstellen schnell zu identifizieren und fundierte Entscheidungen über die Softwarequalität zu treffen.

Gängige Test-Harnisch-Tools in der Softwarebranche

Es gibt viele Test-Harnisch-Tools und Frameworks auf dem Markt, die verschiedene Programmiersprachen und Anforderungen unterstützen. Einige der bekanntesten sind:

JUnit: JUnit ist ein weit verbreitetes Testframework für Java-Anwendungen, das Test-Harnisch-Funktionalitäten wie Testausführung, Testdatenverwaltung und Ergebnisberichterstattung bietet.

TestNG: TestNG ist ein Testframework für Java-Programme, das auf JUnit basiert und erweiterte Funktionen wie Paralleltestausführung, Testkonfiguration und flexible Testskripterstellung bietet.

NUnit: NUnit ist ein Testframework für .NET-Anwendungen, das Test-Harnisch-Funktionen wie Testausführung, Testdatenverwaltung und Berichterstattung bietet.

Pytest: Pytest ist ein Testframework für Python-Anwendungen, das Test-Harnisch-Funktionalitäten wie Testausführung, Testdatenverwaltung und Ergebnisberichterstattung bietet.

Jasmine: Jasmine ist ein Testframework für JavaScript-Anwendungen, das Test-Harnisch-Funktionalitäten wie Testausführung, Testdatenverwaltung und Ergebnisberichterstattung bietet.

Fazit

Test-Harnische spielen eine entscheidende Rolle in der Softwareentwicklung, indem sie den Testprozess automatisieren, vereinfachen und effizienter gestalten. Durch den Einsatz von Test-Harnischen können Entwickler und Tester sicherstellen, dass ihre Anwendungen die gewünschte Qualität erfüllen und potenzielle Fehler frühzeitig identifiziert und behoben sind, bevor der Release stattfindet. Mit der wachsenden Anzahl von Test-Harnisch-Tools und Frameworks auf dem Markt können Entwickler und Tester leicht eine Lösung finden, die ihren spezifischen Anforderungen und Projektzielen entspricht.

Der Beitrag Test-Harnisch – Qualität und Zuverlässigkeit von Anfang an durch effektive Teststrategien erschien zuerst auf CEOsBay.

Hauptmerkmale des SilkCentral Test Managers

• Der SCTM unterstützt Testteams bei der Erstellung, Organisation und Verwaltung von Testplänen. Wobei es sowohl manuelle als auch automatisierte Testfälle berücksichtigt. Mit dem hierarchischen Ansatz kann man Testpläne in einer strukturierten Weise erstellen, sodass Testteams leicht Prioritäten setzen und Testfälle nach Modulen oder Funktionen gruppieren können.

• Man kann damit Testfälle erstellen und die Schritte, die zur Durchführung des Tests erforderlich sind und die erwarteten Ergebnisse dokumentieren. Auch die Verknüpfung der Testfälle mit Anforderungen sowie Defekten sind möglich. Dies schafft die Möglichkeit einer lückenlosen Nachverfolg- und Rückverfolgbarkeit.

• Bei der Testausführung selbst ermöglicht der SCTM den Testteams, sowohl manuelle als auch automatisierte Testfälle auszuführen. Dadurch kann man Fortschritte und Ergebnisse besser verfolgen. Testmanager können Testläufe planen und steuern während man die Testausführung nach Bedarf anpassen kann. Integrationsmöglichkeiten mit anderen Testautomatisierungstools wie Silk Test und Selenium erweitern die Automatisierungsfähigkeiten des SCTM.

• Der SCTM verwaltet Testdaten zentral und stellt sicher, dass alle Testergebnisse und -daten an einem Ort gespeichert und zugänglich sind. Testmanager können auf Testdaten und -ergebnisse zugreifen, um schnell Probleme zu erkennen und entsprechende Maßnahmen zu ergreifen.

• Umfangreiche Berichts- und Analysefunktionen, helfen dabei, Erkenntnisse aus Testaktivitäten zu gewinnen und die Qualität der Softwareprodukte kontinuierlich zu verbessern. Vorgefertigte Berichte und Dashboards ermöglichen es Testmanagern, den Fortschritt und die Ergebnisse von Testaktivitäten leicht zu visualisieren und zu kommunizieren.

• Man kann den SCTM mit einer Vielzahl von Tools und Plattformen integrieren, um Testteams bei der Einrichtung eines nahtlosen Testprozesses zu unterstützen. Integrationen mit Anforderungsmanagement-, Fehlerverfolgungs-, Versionskontroll- und Testautomatisierungstools ermöglichen eine lückenlose Zusammenarbeit und verbessern die Transparenz und Effizienz des gesamten Testprozesses. 

Einige der wichtigsten Integrationen sind:

a. Anforderungsmanagement-Tools: Durch die Integration mit Anforderungsmanagement-Tools wie Jira, TFS oder VersionOne können Testteams Anforderungen erfassen, verwalten und verfolgen und diese direkt mit Testfällen verknüpfen. Diese Verknüpfung verbessert die Rückverfolgbarkeit und erleichtert die Identifizierung von Abhängigkeiten zwischen Anforderungen und Testfällen.

b. Fehlerverfolgungs-Tools: Die Integration mit Fehlerverfolgungssystemen wie Bugzilla, Mantis oder Jira ermöglicht es Testteams, Defekte direkt aus dem SCTM heraus zu melden und zu verwalten. Dadurch kann man gegebenenfalls die Kommunikation zwischen Testern, Entwicklern und Stakeholdern verbessern und die Zeit zur Behebung von Fehlern verkürzen.

c. Versionskontrollsysteme: Durch die Integration mit Versionskontrollsystemen wie Git, Subversion oder Mercurial können Testteams ihre Testartefakte verwalten, versionieren und nachverfolgen. Diese Integration unterstützt die Zusammenarbeit und Kontrolle über die Testdokumentation, was zu einer verbesserten Qualitätssicherung führen kann.

d. Testautomatisierungstools: SCTM bietet Integrationen mit einer Vielzahl von Testautomatisierungstools wie Silk Test, Selenium, JUnit, NUnit und anderen. Durch die Integration dieser Tools können Testteams ihre Testfälle automatisieren, Testläufe planen und die Testabdeckung erhöhen, um die Softwarequalität weiter zu verbessern.

Fazit

Der SilkCentral Test Manager ist ein leistungsstarkes Testmanagement-Tool, das Testteams bei der Planung, Durchführung und Verwaltung von Testaktivitäten unterstützt. Mit der umfassenden Palette von Funktionen und Integrationen hilft der SCTM-Testteams, ihre Testprozesse zu optimieren, die Softwarequalität zu verbessern und die Kommunikation und Zusammenarbeit zwischen den verschiedenen Mitgliedern eines Softwareentwicklungsteams zu stärken. Insgesamt ist der SCTM ein wertvolles Werkzeug für Testteams.

Doch wie bei jedem Testmanagement-Tool gibt es auch beim SilkCentral Test Manager (SCTM) einige Makel oder Nachteile, die potenzielle Anwender berücksichtigen sollten. Da SCTM eine Vielzahl von Funktionen und Einstellungsoptionen bietet, kann es für neue Benutzer schwierig sein, sich zurechtzufinden. Die Lernkurve kann steil sein und es kann einige Zeit dauern, bis sich Benutzer mit der Benutzeroberfläche und den verschiedenen Funktionen vertraut gemacht haben. Darüber hinaus ist SCTM nicht das günstigste Testmanagement-Tool auf dem Markt. Je nach Bedarf und Größe des Testteams kann die Investition in eine SCTM-Lizenz eine erhebliche finanzielle Verpflichtung darstellen, insbesondere für kleinere Unternehmen oder Start-ups.

Die umfangreiche Funktionspalette von SCTM kann für manche Benutzer überwältigend sein, insbesondere wenn man nicht alle Funktionen benötigt. Die Komplexität des Tools kann dazu führen, dass einige Benutzer Schwierigkeiten haben, effektive Testprozesse einzurichten und zu verwalten. Obwohl SCTM in vielen Bereichen anpassbar ist, sind die Anpassungsmöglichkeiten möglicherweise nicht so umfassend wie bei einigen anderen Testmanagement-Tools. Dadurch kann es schwierig sein, das Tool an bestimmte Arbeitsabläufe oder Anforderungen eines Testteams anzupassen.

Aus Onlineforen geht hervor, dass Benutzer manchmal von unzureichendem oder langsamem Kundensupport seitens des Herstellers berichten. Dies kann frustrierend sein, wenn Testteams auf Probleme stoßen, die sie ohne Unterstützung nicht lösen können. Trotz dieser Makel bleibt SCTM ein leistungsstarkes Testmanagement-Tool mit einer Vielzahl von Funktionen und Integrationen, die für viele Testteams von großem Nutzen sein können. Bei der Auswahl eines Testmanagement-Tools sollten potenzielle Benutzer jedoch die spezifischen Anforderungen ihres Testteams sowie ihr Budget und ihre Ressourcen berücksichtigen. Es kann auch hilfreich sein, mehrere Tools zu evaluieren, um herauszufinden, welches am besten zu den Bedürfnissen des Teams passt.

Der Beitrag SCTM – Sicherheitsbewusstes Testmanagement für vertrauenswürdige und robuste Softwarelösungen erschien zuerst auf CEOsBay.

Im Grunde genommen handelt es sich dabei um zwei Arten von Tools, die zum einen Anweisungen dem Java-Quellcode hinzufügen und dessen Neukompilierung einfordern und zum anderen Tools, die den Bytecode entweder vor oder während der Ausführung instrumentieren. Das Ziel von JaCoCo ist es, herauszufinden, welche Teile des Codes getestet werden, indem es die Codezeilen registriert, die man bei der Ausführung eines Tests ausführt. TDD bzw. Test Driven Development ist diesbezüglich ebenfalls ein gutes Stichwort.

Features von JaCoCo

• Abdeckungsanalyse von Anweisungen (C0), Verzweigungen (C1), Zeilen, Methoden, Typen und zyklomatischer Komplexität (McCabe-Metrik).
• Basiert auf Java-Bytecode und funktioniert daher auch ohne Quelldateien.
• Einfache Integration durch Java-Agent-basierte On-the-fly-Instrumentierung. Andere Integrationsszenarien wie benutzerdefinierte class loader sind über die API möglich.
• Framework-unabhängig: Reibungslose Integration in Java VM-basierte Anwendungen wie einfache Java-Programme, OSGi-Frameworks, Web-Container oder EJB-Server.
• Kompatibel mit allen freigegebenen Java-Klassendateiversionen.
• Unterstützung für verschiedene JVM-Sprachen.
• Verschiedene Berichtsformate (HTML, XML, CSV).
• Remote-Protokoll und JMX-Steuerung zur Anforderung von Ausführungsdaten-Dumps vom Coverage Agent zu jedem beliebigen Zeitpunkt.
• Ant-Tasks zum Sammeln und Verwalten von Ausführungsdaten und zum Erstellen strukturierter Abdeckungsberichte.
• Maven-Plug-in zum Sammeln von Abdeckungsinformationen und Erstellen von Berichten in Maven-Builds.

JaCoCo bietet die Instructions, Line- und Branchabdeckung. Im Gegensatz zu beispielsweise Atlassian Clover und OpenClover, die eine Instrumentierung des Quellcodes erfordern, kann JaCoCo Java Bytecode mit zwei verschiedenen Ansätzen instrumentieren:

1. JCov on the fly, während der Code mit einem Java-Agenten ausgeführt wird beispielsweise wie Cobertura und JCov vor der Ausführung (offline)
2. Man kann es aber auch so konfigurieren, dass man die gesammelten Daten in einer Datei speichert oder via TCP versendet. Im Gegensatz zu Cobertura und EMMA ist die Unterstützung von so ziemlich allen Java Versionen ab der Java Version 7 gewährleistet.

Tools, die JaCoCo verwenden oder enthalten

Einige davon habe ich bereits in diversen Beiträgen thematisiert. Mit einem Klick auf das jeweilige Tool kommt man auf den jeweiligen Beitrag.

• SonarQube JaCoCo Plugin – Standardmäßig für Code Abdeckungsanalysen innerhalb der Code-Qualitätsmanagement-Plattform
• EclEmma Eclipse (Software) Code Coverage Plugin
• Jenkins JaCoCo Plugin
• Netbeans JaCoCo support
• IntelliJ IDEA (Seit Version 11)
• Gradle JaCoCo Plugin
• Visual Studio Team Services
• TeamCity

Fazit

JaCoCo bietet sich für die Codeabdeckungsanalyse bei der modularen Softwareentwicklung bzw. bei den Unit Tests an. Die Abdeckungsgrade geben an, wie viele Anweisungen, Zweige usw. die Tests durchlaufen. Auf Basis der so gewonnenen Erkenntnisse kann man weitere sinnvolle Testfälle ermitteln oder aber nicht beanspruchten bzw. toten Code entfernen. Es gibt kein allgemeingültiges Mindestmaß an Codeabdeckung. Man definiert die jeweils erforderliche Testabdeckung in Anbetracht des Anwendungsfalls nach einer Risikoeinschätzung sowie der eigenen Entwickler-Fähigkeiten.

Der Beitrag JaCoCo – Messen und Optimieren von Testabdeckung für robuste Java-Anwendungen erschien zuerst auf CEOsBay.

Wie funktioniert SonarQube?

SonarQube besteht aus drei Komponenten

1. Einem Modul für Build-Management-Tools wie Apache Maven oder Apache Ant. (Hauptsächlich für die Analyse des Quelltextes hinsichtlich verschiedener Qualitätsmerkmale.)
2. Einer Datenbank, für Speicherung der Ergebnisse der Qualitätsanalyse.
3. Einer Website für die visuelle Darstellung, Auswertung und das Management der Qualitätsanalyse-Ergebnisse.

Durch diese Architektur kann man sowohl eine Prüfung des Quelltextes auf dem Entwicklungsrechner ermöglichen als auch eine Einbindung von SonarQube in den Entwicklungsprozess gewährleisten. Dies unterstützt die Ermittlung der Qualitätsmetriken auf einem Build-Server für die kontinuierliche Integration.

SonarQube analysiert den Quelltext hinsichtlich der Abdeckung durch Modultests, checkt den Quellcode nach doppeltem Code und in Bezug auf die Komplexität. Auch werden unter anderem potenzielle Fehler im Code, Kodier-Richtlinien als auch Kommentare überprüft.

Modularer Aufbau und Erweiterungen

SonarQube ist modular aufgebaut und integriert selbst einige bekannte Entwicklungswerkzeuge zur Analyse der Codequalität, darunter PMD und Checkstyle für die Erkennung von doppeltem Code für die Prüfung von Kodier-Richtlinien. Damit wird unter anderem auch nach ineffizientem Code gesuche. FindBugs dient beispielsweise zum Aufdecken potenzieller Fehler sowie Surefire und Cobertura zur Messung der Qualität der Modultests.

Diese Werkzeuge nutzen entsprechend ihrer Natur und Einsatzgebiete Metriken, um die jeweiligen Auswertungen bzw. Statistiken zu erzeugen. Der Name „Metrik“ trägt jedoch wenig Bedeutung von dem in sich, was eine Metrik ausmacht. Schlägt man nämlich nach woher der Name kommt, landet man im Lateinischen: „ars metrica„, die Lehre von den Maßen. Fragt man jedoch das Institute of Electrical and Electronics Engineers, was eine Softwaremetrik ist, erhält man folgende Antwort:

„software quality metric: A function whose inputs are software data and whose output is a single numerical value that can be interpreted as the degree to which software possesses a given attribute that affects its quality.“ „Eine Softwarequalitätsmetrik ist eine Funktion, die eine Software-Einheit in einen Zahlenwert abbildet, der als Erfüllungsgrad einer Qualitätseigenschaft der Software-Einheit interpretierbar ist.“ – IEEE Standard 1061, 1998

Folglich bedeutet dies, dass es sich bei einer Metrik am Ende des Tages um eine Funktion handelt, die für beliebige Eingaben Zahlen erzeugt. Die Beschaffenheit ist so, dass sie, nur so 

lange sie von derselben Funktion erzeugt wurden, vergleichbar sind. Dadurch kann man Rückschlüsse auf die Eingabe mit Hinblick auf die Funktion erzielen.

Ein Beispiel dafür ist die McCabe-Metrik, auch zyklomatische Komplexität genannt. Diese sehr grundlegende Metrik berechnet die Anzahl der unterschiedlichen Pfade durch ein Stück Code. Die Formel ist relativ einfach: Es wird die Anzahl an Kontrollstrukturen wie if, while, case und boolescher Operatoren wie && und || summiert und nochmals mit 1 addiert. Möchte man diese Information nochmals anhand eines Beispiels betrachten, sieht es folgendermaßen aus:

String nameDesWochenTags(int nr) {
  switch(nr) {
    case 1: return "Montag";
    case 2: return "Dienstag";
    case 3: return "Mittwoch";
    case 4: return "Donnerstag";
    case 5: return "Freitag";
    case 6: return "Samstag";
    case 7: return "Sonntag";
  }
  return "";
}

Diese relativ einfache Methode gibt den Namen eines Wochentages entsprechend seiner 1-indizierten Position innerhalb der Woche zurück. Ihre zyklomatische Komplexität beträgt 8. Zumal 1 + 7 x case. Dies ist ein verhältnismäßig hoher Wert. Ein Maximalwert von 10 gilt als allgemein akzeptiert und ausreichend erprobt. Um also die Komplexität dieser Methode zu verringern, findet eine Refaktorisierung statt, die folgendermaßen aussehen kann:

String nameDesWochenTags(int nr) {
  String[] names = new String[] {
    "Montag", "Dienstag", "Mittwoch",
    "Donnerstag", "Freitag", "Samstag",
    "Sonntag"
  };
  if(nr) > 0 && <= names.length) {
    return names[nr - 1];
  }
  return "";
}

Die zyklomatische Komplexität dieser Methode beträgt 3. Zumal 1 + 1 x if + 1 x &&. Durch den unterschiedlichen Ansatz kann man die Komplexität verringern. Dennoch ist es relativ unstrittig, dass die erste Version leichter zu verstehen ist.

Will man nun also alle Tools gemeinsam benutzen, muss man alle konfigurieren und ihre Ergebnisse zusammenführen, damit sich ein Gesamtbild darstellen lässt. Außerdem kommt es dabei zwangsweise zu Dopplungen in ausgewerteten Metriken oder anderen Kennzahlen. PMD beispielsweise besitzt durch seinen relativ vagen Aufgabenbereich Überschneidungen im Hinblick auf Codestil mit checkstyle, während es aber auch genauso wie FindBugs auf toten Code achtet. An solchen und weiteren Stellen kann SonarQube Verbesserungen herbeiführen.

Neben der visuellen Anzeige der Ergebnisse der einzelnen Bereiche, ermöglicht SonarQube das Drill-Down der Ergebnisse bis auf die einzelne Metrik und Codezeile sowie die Verknüpfung der einzelnen Metriken sowie die Darstellung ihrer historischen Entwicklung in einer recht übersichtlichen grafischen Oberfläche.

Über einen ausgeklügelten Plugin-Mechanismus ist eine relativ einfache Integration von Erweiterungen möglich. Neben den Erweiterungen für die Analyse zusätzlicher Programmiersprachen gibt es Plugins für ergänzende Metriken, Governance, Schnittstellen zu Entwicklungsumgebungen, Visualisierungen, Integration sowie zur Berechnung der technischen Schuld(en).

Fazit

Ich arbeite noch nicht so lange mit SonarQube. Um genau zu sein, habe ich es mir erst heute das erste Mal angeschaut. Zusammenfassend kann ich folgendes sagen:

Statistiken sind zwar interessant und es kann Spaß machen, sich diese anzuschauen, doch ist eine statische Codeanalyse erst dann wirklich vollständig, wenn ein Mindestmaß an Interpretation hineingeflossen ist.

Die Codeanalyse liefert ein gutes Gefühl für die Codebasis. Erst so kann man fundierte Aussagen darüber treffen, welche Bereiche des Projekts besonders gefährdet, instabil oder verbesserungsfähig sind.

Regelmäßige Analysen können die Teammotivation erhöhen. Eine positive Issuebilanz am Ende eines Sprints und aufwärtszeigende Historiengraphen sollten gute Treiber für eine Gruppe Entwickler und ein Beweis für die eigene Leistung sein.

Alles in allem sind Analyseergebnisse immer gut als Argumentationsgrundlage. Mit Hilfe der Projekthistorie, die eine Auswahl gut darstellbarer Kennzahlen beinhaltet, kann man vor Kunden oder Entscheidern besser über ein eventuell nötiges technisches Release diskutieren.

Der Beitrag SonarQube – Das Code-Qualitätsmanagement-Tool erschien zuerst auf CEOsBay.

Im Vergleich zu einem Recognizer, der die Eingabe analysiert und ausgibt, ob diese im Sinne der Vorgaben richtig oder falsch ist, gibt der Parser die Analyse einer Eingabe in einer gewünschten Form aus und erzeugt zusätzlich Strukturbeschreibungen.

Wie funktioniert ein Parser?

Zur Analyse des Texts verwenden Parser in der Regel einen separaten Lexer. Dieser zerlegt die als Zeichenkette vorliegenden Eingabedaten in Token (Eingabesymbole bzw. „Wörter“, die es versteht). Weil die Zerlegung in Token einer regulären Grammatik folgt, ist der Scanner meist ein endlicher Automat. Token dienen als atomare Eingabezeichen des Parsers. Parser, die keinen separaten Scanner verwenden, nennt man Scannerless Parser.

Der eigentliche Parser als Implementierung eines abstrakten Automaten, meist realisiert als Kellerautomat, kümmert sich dagegen um die Grammatik der Eingabe, führt eine syntaktische Überprüfung der Eingangsdaten durch und erstellt in der Regel aus den Daten einen Ableitungsbaum, den man im Anschluss zur Weiterverarbeitung der Daten verwendet. Typische Anwendungen sind die semantische Analyse, Codegenerierung in einem Compiler oder die Ausführung durch einen Interpreter.

Bei HTML zerlegt ein lexikalischer Scanner beispielsweise die HTML-Datei in HTML-Tags und Fließtext. Diese Bestandteile reicht es dann an den Parser weiter. Der Scanner ist also ausschließlich auf das Aussehen der Syntaxelemente aus. Spitze Klammern = HTML-Tag 😉 Siehe auch meinen Beitrag über HTML.

Der Parser übernimmt die übernimmt die Verarbeitung der syntaktischen Zusammenhänge, untersucht, welche Paare von Tags zusammengehören bzw. wie die Tags ineinander verschachtelt sind. Die inhaltliche Bedeutung der Tags interessiert den Parser dagegen nicht. Die Berücksichtigung findet erst in der darauffolgenden Weiterverarbeitung statt.

Veranschaulicht, ist ein Parser die Software, welche die Anweisungen im Quelltext des Users überprüft, weiterverarbeitet und weiterleitet.

Welche Typen von Parsern gibt es?

Man unterscheidet bei der allgemeinen Vorgehensweise verschiedene Parse-Verfahren. Folglich erfolgt die Unterscheidung nach der Reihenfolge, in der die Knoten des Ableitungsbaums erstellt sind. Beispiele hierfür sind: Top-Down, auch theoriegetriebenes Parsing; Bottom-Up, auch eingabegetriebenes Parsing; Left Corner, spezifischer Vorgehensweise (LL, LR, SLR, LALR, LC, …) und Implementierungstechnik (rekursiv absteigend, rekursiv aufsteigend oder tabellengesteuert) unterschieden. Weiter erfolgt die Unterscheidung auch, wie bereits erwähnt, nach der Grammatikart.

Parser für kontextsensitive Grammatiken

Das Parsen wohldefinierter künstlicher Sprachen, hierbei ist natürlich die Rede von Programmiersprachen, ist weniger komplex als das Parsen frei gewachsener natürlicher Sprachen wie Englisch, Deutsch oder einer anderen Sprache, die durch eine Vielzahl von Mehrdeutigkeiten, Irregularitäten und Inkonsistenzen geprägt sind. Wobei man hierüber mehr in der Computerlinguistik erfährt, über die ich in einem zukünftigen Beitrag schreiben werde.

Fallbeispiel

Man setzt Parser häufig ein, um eine Aneinanderreihung von Symbolen zu einer Baumstruktur zu adaptieren. Dies kann bei einem mathematischen Ausdruck folgenderweise aussehen:

7+(7+7)-sin(π) 

Die weitere Aufgabe des Parsers ist nun, die zugrundeliegende Struktur dieser Symbolfolge zu erkennen. Häufig geschieht dies in Form eines Parsebaums (abstrakter Syntaxbaum), der in diesem Fall folgendermaßen aussehen kann:

Wo finden Parser Anwendung

• HTML-Code besteht aus reinem Text. Der in einem Webbrowser standardmäßig enthaltene Parser erstellt daraus den logischen Aufbau als Datenstruktur. Das Aussehen dieser Elemente wird getrennt via CSS definiert.
• XML-Parser analysieren XML-Dokumente und stellen die darin enthaltenen Informationen für die weitere Verarbeitung zur Verfügung.
• RSS-Parser wandeln RSS-Feeds in ein passendes Datenformat um. Beispielsweise für eine HTML-Seite.
• URI-Parser lösen Schemata wie URLs in ihren hierarchischen Aufbau auf.
• Logdatei-Parser dienen zum Extrahieren von relevanten Informationen aus Webserver-Protokolldateien, Ereignisprotokollen und anderer in Logdateien gespeicherter Informationen zur automatisierten Analyse.
• Suchmaschinen parsen Webseiten und crawlen relevante Textpassagen.
• Auslesen einer Programmiersprache. Aus der erhaltenen Datenstruktur kann ein Compiler dann Maschinencode bzw. Bytecode erzeugen.
• Ein Kommandozeileninterpreter parst Befehle mitsamt deren Parameter für die korrekte Ausführung der Anweisungen des Benutzers. Das ältere Publikum, die mit DOS vertraut sind, kennen dies vielleicht noch aus der command.com Datei 😉
• In Textadventures wie erfolgt die Steuerung der Spielfigur über die Eingabe von Befehlen in natürlicher Sprache, z. B. „Gehe in den Raum“, „Öffne Tür“ usw. Der Parser greift auf eine Datenbank aller manipulierbarer Objekte im Spiel zu und analysiert, welche Interaktion mit welchen Objekten der Spielwelt der Spieler mit seiner Befehlseingabe meinte.

Fazit

Es gibt verschiedene Parser. Je nach der zu analysierenden Grammatik sucht man sich den passenden Parser aus. Durch die richtige Wahl resultieren bessere und akkuratere Ergebnisse. Durch den Einsatz von diversen Parsern ist es auch möglich, sich relevante Informationen aus den verschiedensten Quellen heranzuziehen. Angefangen von Börsen Daten, über Wetterinformationen und bis hin zu allem, was das Herz begehrt. Sowohl die Anwendungsentwicklung, als auch das Web ist heute ohne einen Parser kaum mehr vorstellbar.

Der Beitrag Parser – Die Macht der Datenverarbeitung erschien zuerst auf CEOsBay.

Welche Kommunikationsschnittstellen lassen sich analysieren?

Wireshark kann den Datenverkehr auf Ethernet-, USB- oder WLAN-Schnittstellen mitlesen. Die primären Einsatzgebiete sind das Netzwerk-Monitoring, die Fehlersuche sowie Fehleranalyse und die IT-Sicherheitsüberwachung. Und ja, auch für Hacker ist es ein beliebtes Tool.

Eine kurze Zeitreise zu den Anfängen von Wireshark

In den 90er Jahren arbeitete Gerald Combs, ein Informatik-Absolvent der University of Missouri-Kansas City, für einen kleinen Internet-Dienstanbieter. Die kommerziellen Produkte zur Protokollanalyse waren damals relativ teuer und liefen nicht auf den Hauptplattformen Solaris und Linux, welches das Unternehmen im Einsatz hatte. Also beschloss der junge Gerald, selbst eine Anwendung dafür zu schreiben und fing mit der Entwicklung von Ethereal an. Seine erste Version wurde gegen 1998 veröffentlicht.

Im Mai 2006 nahm Combs eine Stelle bei CACE-Technologies an. Er war der Urheber für den größeren Teil des Ethereal-Quellcodes und der Rest des Codes war ohnehin unter GNU GPL bereits Open Source, so dass er den Inhalt des Ethereal-Subversion-Repository als Grundlage für seine neue Repository verwenden konnte. Nachdem er zeitgleich auch Markeninhaber von Ethereal war, änderte er den Namen kurzerhand in Wireshark. Im Jahr 2010 kaufte Riverbed Technology CACE auf und übernahm die Rolle des Hauptsponsors von Wireshark. Die Entwicklung von Ethereal wurde kurze Zeit später eingestellt und in einem Sicherheitshinweis von Ethereal wurde der Wechsel zu Wireshark empfohlen. Wireshark hat im Laufe der Jahre mehrere Branchenauszeichnungen abgeräumt. Meiner Meinung nach ist es immer noch eines der besseren Paket Sniffer überhaupt. Vor einigen Tagen wurde ich auch auf eine „neue“ Repo auf GitHub aufmerksam gemacht, die seit einem Jahr entwickelt wird und in den letzten Tagen eine GUI (Graphical User Interface bzw. Grafische Benutzeroberfläche) erhalten hat. Ich werde es mir anschauen und gegebenenfalls einen Beitrag dazu schreiben.

Combs pflegt weiterhin die Repo von Wireshark und veröffentlicht immer wieder neue Updates der Software. Auf der Produktwebsite sind fast 2000 weitere Autoren aufgelistet, die ihren Beitrag leisten und geleistet haben.

Was macht Wireshark eigentlich?

Wireshark erkennt als paketorientierter Sniffer viele verschiedene Protokolle und visualisiert die wichtigsten Informationen der Protokollheader übersichtlich und leicht lesbar. Für das Mitlesen der Daten nutzt Wireshark Zusatzprogramme wie WinPcap, usbpcap oder pcap. Zur veranschaulichten Darstellung der aufgezeichneten Daten sind Verbindungsübersichten, statistische Informationen zum Datenfluss und Ablaufdiagramme von Kommunikationsverbindungen erstellbar. Darüber hinaus sind binäre Daten aus dem aufgezeichneten Datenstrom extrahierbar, sie sich im Anschluss konvertieren lassen.

Was ist WinPcap

WinPcap ist eine als Freeware vertriebene Programmbibliothek, bestehend aus einem Treiber, der Hardware-nahen Zugriff auf die Netzwerkkarte ermöglicht und einer Sammlung von Werkzeugen, die den bequemen Zugriff auf die einzelnen für Netzwerke relevanten Schichten des OSI-Modells bieten. Das OSI-Modell hilft im Grunde genommen Herstellern von Netzwerkgeräten und Netzwerksoftware: Geräte und Software zu entwickeln, die mit Produkten anderer Hersteller kommunizieren können, was eine offene Interoperabilität ermöglicht. Im Laufe der letzten Jahre hat sich Wireshark als Standard-Werkzeug für Netzwerkanalysen etabliert. Auf den Download-Seiten von Wireshark sind Quellpakete und Installationsprogramme für Unix-, Windows- und MacOS-Systeme zu finden. Installationsassistenten für Windows erleichtern die Installation.

Was ist USBPcap?

USBPcap ist ein Open-Source-USB-Sniffer für Windows.

Was ist pcap?

Im Bereich der Computernetzwerkverwaltung ist pcap eine Anwendungsprogrammierschnittstelle (API) zur Erfassung des Netzverkehrs.

Anwendungsbereiche von Wireshark

Die technischen Möglichkeiten der Software sind sehr bereitgefächert. Die aufgezeichneten Daten lassen sich in Echtzeit oder auch in Form von einzelnen Paketen mit leicht lesbaren Headerinformationen darstellen. Über verschiedene Protokollfilter werden die Daten aufbereitet. Auch der tatsächliche Inhalt der Datenpakete ist auswertbar. Am häufigsten wird der Sniffer für die Protokoll-Analyse auf den Schnittstellen Ethernet und im WLAN für Netzwerkprotokolle der TCP/IP-Familie eingesetzt.

Darüber hinaus ist das Tool wie bereits erwähnt in der Lage, Datenverkehr auf anderen Schnittstellen wie Bluetooth oder USB aufzuzeichnen und auszuwerten. Voraussetzung für das Mitlesen auf der jeweiligen Schnittstelle ist die Installation eines entsprechenden Capture-Programmpakets wie WinPcap sowie die Zugriffsberechtigung des Benutzers auf die jeweiligen Schnittstellen.

Um sich die Informationen anzeigen zu lassen wird von Wireshark eine Extraktion initiiert, der aus diversen Protokollen Meta-Informationen aus dem Kontext des Datenflusses zieht. Man kann auch eigene Module und Filter für bestimmte Netzwerkprotokolle erstellen.

Wird kein Filter verwendet, zeichnet Wireshark den gesamten Datenverkehr der Schnittstelle auf. Um die Datenmenge zu reduzieren und sich auf das zu analysierende Netzwerkprotokoll zu konzentrieren, können Capture-Filter eingesetzt werden. Mit einem Capture-Filter lassen sich IP-Adressen (auch Bereiche), Protokolle, Protokollnachrichten und viele weitere Parameter einstellen. Ein Filter mit einer vorgegebenen IP-Adresse beschränkt den aufgezeichneten Verkehr auf die Pakete von und zu einzelnen Netzwerkkomponenten.

Über die Stream-Verfolgung ist es möglich, gezielt einzelne TCP-Streams aufzuzeichnen und zu analysieren. Weitere wichtige Features von Wireshark sind die Statistik-Funktionen. Sie erlauben das Erstellen von Statistiken zum Datenverkehr hinsichtlich Parameter wie Paketlängen, Typen von Netzwerkprotokollen, Verbindungsendpunkten, Antwortzeiten, Kommunikationsbeziehungen oder IP-Adressen. Funktionen zu UDP Multicast-Streams, Signal-Traffic (SIP) und Voice-Traffic (RTP) analysieren den VoIP-Verkehr auf einer Netzwerkschnittstelle relativ präzise und tiefgehend. Mit wenigen Klicks sind die verschiedenen RTP-Streams herausgefiltert und grafisch dargestellt. Per Statistikfunktionen sind die für die Qualität der VoIP-Kommunikation wesentliche Merkmale wie Jitter oder Delay extrahierbar und zu visualisieren.

Einsatz von Wireshark in geswitchten Netzwerken

Wireshark kann nur den Datenverkehr einer bestimmten Schnittstelle des Rechners, auf dem die Software installiert ist, mitlesen. In einer geswitchten Umgebung, sind können lediglich die vom Rechner gesendeten oder empfangenen Pakete sowie die an alle adressierten Broadcast-Pakete protokolliert werden. Nur in einem unverschlüsselten WLAN oder am Port eines Hubs ist der gesamte Netzwerkverkehr analysierbar.

Soll in einer geswitchten Umgebung der Verkehr eines bestimmten Rechners mitgeschnitten und analysiert werden, empfiehlt sich die Verwendung der so genannten Mirror-Funktion eines Switches. Damit kann man den Netzwerkverkehr eines definierten Switchports auf einen anderen Port spiegeln. An diesen kann dann ein weiterer Rechner mit installiertem Netzwerk-Sniffer angeschlossen werden, mit dem sich der Datenverkehr des gespiegelten Ports aufzeichnen und auswerten lässt.

Wireshark als Analysetool

Man kann mit Wireshark nicht nur den eigens ermittelten Datenverkehr analysieren. Es ist auch möglich, Capture-Daten verschiedener Formate anderer LAN-Analyse-Tools oder oder Netzkomponenten einzulesen und auszuwerten. Zahlreiche Geräte wie Router oder Switches verschiedener Hersteller bieten die Möglichkeit an, den Datenverkehr in einem für Wireshark lesbaren Format aufzuzeichnen. Dazu zählen beispielsweise die in Deutschland sehr beliebten Fritzbox-Router des Herstellers AVM.

Wireshark, um Schwachstellen der IT-Sicherheit zu ermitteln

Ein wichtiges Einsatzgebiet von Wireshark ist auch das Umfeld der Netzwerk-Sicherheit. Man kann damit im Grunde genommen die IT-Sicherheit überprüfen. Schwachstellen lassen sich aufspüren und verdächtiger Datenverkehr identifizieren. So sind sämtliche Kommunikationspartner einer bestimmten Netzwerk-Node anhand der IP-Adressen identifizierbar. Verdächtige Pakete zu oder von unbekannten IP-Adressen sind schnell bestimmt. Kommt die Software an zentrale Schnittstellen eines Netzwerks wie beispielsweise auf dem Interface zum Internetanschluss oder an der WAN-Schnittstelle eines Routers zum Einsatz, erfasst die Software sämtliche Ein- und Ausgänge des Datenverkehrs. So ziemlich alles ist auswertbar und identifizierbar.

Gesetzliche und datenschutzrechtliche Aspekte zum Einsatz von Wireshark

Beim Einsatz von Wireshark sind einige gesetzliche Aspekte zu beachten. In Deutschland ist es verboten, fremde Netzwerkverbindungen mitzulesen und aufzuzeichnen. Während die Verwendung des Netzwerkanalysators im eigenen Netz in der Regel unproblematisch ist, muss für den Einsatz des Tools in fremden Netzwerkumgebungen eine Erlaubnis eingeholt werden. Auch die datenschutzrechtlichen Bestimmungen sind bei der Aufzeichnung, Speicherung und Weitergabe von Mitschnitten unbedingt einzuhalten. Hierzu macht es meistens Sinn, einen Datenschutzbeauftragten bzw. Juristen einzuschalten.

Fazit

Sniffing macht im Interesse der Sicherheit immer Sinn und ist auch notwendig. Einerseits um Fehler im Netzwerk aufzuspüren und andererseits, um Hacker oder Schadsoftware aufzuspüren. Man muss also keine Unsummen bezahlen, um sich, das Eigene- oder das Firmennetzwerk zu schützen. Manchmal reicht auch das richtige Werkzeug mit dem richtigen Anwender.

Und nicht vergessen! Sniffing zum Zwecke der Datenausspähung ist strafbar!

Der Beitrag Wireshark – Netzwerkanalyse und Sicherheit mit dem ultimativen Open-Source-Tool erschien zuerst auf CEOsBay.