Grundlagen

Warum OAuth?

• Benutzerkontrolle: OAuth ermöglicht es Benutzern, Anwendungen und Diensten den Zugriff auf ihre Konten bei verschiedenen Anbietern zu gewähren, ohne dabei ihre Benutzername/Passwort-Kombinationen preiszugeben.

• Sicherheit: Da die Anmeldeinformationen nicht direkt geteilt werden, reduziert OAuth das Risiko von Datendiebstahl und Missbrauch von Anmeldeinformationen.

• Granulare Berechtigungen: OAuth erlaubt es Benutzern, den Umfang und die Dauer der Zugriffsberechtigungen, die an eine Anwendung vergeben werden, präzise zu steuern.

Hauptkomponenten von OAuth

• Ressourcenbesitzer (Resource Owner)
  Der Ressourcenbesitzer ist normalerweise der Endbenutzer, der den Zugriff auf seine Daten und Ressourcen bei einem Ressourcenserver gewährt.

• Ressourcenserver (Resource Server)
  Der Ressourcenserver hostet die geschützten Daten und Ressourcen des Ressourcenbesitzers. Er ist dafür verantwortlich, die Autorisierung und Authentifizierung von Anfragen mithilfe von OAuth-Tokens zu überprüfen. (Kleiner Tipp am Rande. Bei den Tokens handelt es sich nicht um die Tokens, die man aus den Kryptowährungen kennt 😉 )

• Client
  Die Client-Anwendung ist der Konsument der geschützten Ressourcen. Sie stellt Anfragen an den Ressourcenserver, um im Namen des Ressourcenbesitzers auf die Daten zuzugreifen.

• Autorisierungsserver (Authorization Server)
  Der Autorisierungsserver ist für die Ausgabe, Überprüfung und den Widerruf von OAuth-Zugriffstokens zuständig. Er agiert als Vermittler zwischen dem Ressourcenbesitzer, dem Client und dem Ressourcenserver.

OAuth-Fluss

Man kann den OAuth-Fluss in vier grundlegende Schritte unterteilen:

• Anfordern der Autorisierung: Der Client fordert die Autorisierung des Ressourcenbesitzers an, um auf dessen Ressourcen zuzugreifen.

• Autorisierungsantwort: Der Ressourcenbesitzer gewährt die Autorisierung und leitet den Client an den Autorisierungsserver weiter. Der Client erhält einen Autorisierungscode.

• Anfordern eines Zugriffstokens: Der Client sendet den Autorisierungscode an den Autorisierungsserver und fordert ein Zugriffstoken an.

• Token-Ausgabe: Der Autorisierungsserver überprüft den Autorisierungscode, stellt ein Zugriffstoken aus und sendet es an den Client.

Nachdem der Client das Zugriffstoken erhalten hat, kann er es verwenden, um auf die geschützten Ressourcen des Ressourcenbesitzers zuzugreifen, indem er Anfragen an den Ressourcenserver stellt. Der Ressourcenserver überprüft das Token und gewährt den Zugriff entsprechend der Berechtigungen, die vom Ressourcenbesitzer festgelegt wurden.

Versionen und Unterschiede von OAuth

Es gibt zwei Hauptversionen. OAuth 1.0 und OAuth 2.0. Die Veröffentlichung von OAuth 1.0 fand im Jahr 2010 statt und verwendet einen komplexeren kryptografischen Ansatz für die Sicherheit. Im Jahr 2012 folgte OAuth 2.0 und ist eine überarbeitete Version, die eine einfachere und flexiblere Architektur bietet. Zweiteres basiert auf Bearer-Tokens. Bei beiden handelt es sich nach wie vor um offene Standardprotokolle zur sicheren Delegierung von Zugriffsberechtigungen. Obwohl sie gemeinsame Ziele verfolgen, unterscheiden sie sich in ihrer Architektur, ihren Sicherheitsmechanismen und besonders in der Benutzerfreundlichkeit. Durch die unterschiedliche Architektur ist keine Abwärtskompatibilität gegeben.

Sicherheitsmechanismen:

1.0: Verwendet einen kryptografischen Ansatz, bei dem man Anfragen mithilfe von kryptografischen Signaturen und einem gemeinsamen Geheimnis (Shared Secret) zwischen dem Client und dem Autorisierungsserver signiert. Diese Methode erfordert einen erhöhten Aufwand bei der Implementierung und Konfiguration.

2.0: Verwendet Bearer-Token, bei denen der Besitzer des Tokens (Client) Zugriff auf die geschützten Ressourcen erhält. Die Sicherheit basiert hauptsächlich auf der sicheren Übertragung und Aufbewahrung von Tokens (z. B. über https). Diese Methode ist einfacher zu implementieren und erfordert weniger kryptografische Kenntnisse.

Flexibilität:

1.0: Bietet einen starren Ablauf zur Anforderung und Nutzung von Zugriffstokens, der weniger Anpassungsmöglichkeiten für verschiedene Anwendungsszenarien bietet.

2.0: Ermöglicht eine größere Flexibilität und Anpassungsfähigkeit, indem man verschiedene „Grant Types“ (Genehmigungsarten) zur Verfügung stellt, um unterschiedlichen Anwendungsszenarien und Plattformen Genüge zu tun.

Einfachheit:

1.0: Die Implementierung und das Debugging von OAuth 1.0 können komplex sein, da Entwickler den kryptografischen Prozess und das Signieren von Anfragen verstehen müssen.

2.0: Die Implementierung von OAuth 2.0 ist einfacher und erfordert weniger kryptografische Kenntnisse. Dies führt zu einer schnelleren und einfacheren Integration in Anwendungen und Dienste.

Mobile und native Anwendungen:

1.0: Aufgrund seiner komplexeren Natur und der kryptografischen Anforderungen ist OAuth 1.0 weniger geeignet für mobile und native Anwendungen, bei denen Ressourcen und Konnektivität eingeschränkt sein können.

2.0: Durch die einfachere Implementierung und den flexibleren Ablauf eignet sich OAuth 2.0 besser für die Integration in mobile und native Anwendungen.

Vorteile

Sicherheit: Es erhöht die Sicherheit, indem man Anmeldeinformationen nicht direkt teilen muss und Tokens verwendet, um auf Ressourcen zuzugreifen.

Benutzerfreundlichkeit: Es ermöglicht Single Sign-On (SSO) und reduziert die Notwendigkeit, mehrere Benutzernamen und Passwörter zu verwalten.

Flexibilität: Es bietet eine flexible Architektur, die für verschiedene Anwendungsszenarien und Plattformen geeignet ist.

Granularität: Es ermöglicht, den Umfang und die Dauer der gewährten Berechtigungen genau zu steuern.

Nachteile

Komplexität: Die Implementierung von OAuth, insbesondere bei OAuth 1.0, kann komplex sein, da es verschiedene Abläufe und Mechanismen beinhaltet. Dies kann zu einer steileren Lernkurve für Entwickler führen, die sich nicht mit dem Protokoll auskennen.

Sicherheitsrisiken: Trotz der verbesserten Sicherheit, die OAuth bietet, gibt es immer noch Sicherheitsrisiken. Fehlkonfigurationen, unzureichende Validierungen und direkte Angriffe auf den Autorisierungscode oder das Zugriffstoken können die Sicherheit weiter gefährden.

Abhängigkeit von Drittanbietern: Die Verwendung von OAuth kann eine Abhängigkeit von Drittanbieter-Autorisierungsservern schaffen, die möglicherweise Ausfallzeiten, Sicherheitsverletzungen oder andere Probleme aufweisen können.

Datenschutzbedenken: Bei der Verwendung von OAuth besteht das Risiko, dass Benutzer mehr Daten preisgeben als erforderlich, da Anwendungen möglicherweise Zugriff auf mehr Informationen anfordern, als für ihre Funktionen notwendig ist.

Token-Hijacking: Obwohl es die Sicherheit gegenüber der direkten Weitergabe von Anmeldeinformationen verbessert, besteht immer noch die Gefahr, dass Angreifer Zugriffstoken abfangen oder stehlen können. Dies kann zu unbefugtem Zugriff auf Benutzerdaten führen.

Eingeschränkte Implementierung: Die Nutzung von OAuth in bestimmten Anwendungsszenarien, wie beispielsweise bei Geräten mit eingeschränkter Internetkonnektivität oder eingeschränkten Eingabemöglichkeiten, kann sich als schwierig oder teilweise unmöglich gestalten.

Best Practices

• Man sollte immer die neueste Version (aktuell OAuth 2.0) für bessere Sicherheit und Flexibilität verwenden.
• Implementierung von „Proof Key for Code Exchange“ (PKCE) Erweiterung ist zu empfehlen, um Angriffe, die den Autorisierungscode abfangen, verhindern zu können.
• Sichere Speicherung des Zugriffstokens und der Client-Anmeldeinformationen, um den Missbrauch zu verhindern.
• Verwenden von kurzen Gültigkeiten und Lebensdauern für Zugriffstokens und Erneuerungen bei Bedarf mithilfe von Aktualisierungstokens.
• Implementierung von Zustimmungsbildschirmen, um Benutzer über den Umfang und die Dauer der Berechtigungen, die man gewährt, zu informieren.

Fazit:

OAuth ist ein leistungsstarkes Protokoll, das die sichere Delegierung von Zugriffsberechtigungen im Internet ermöglicht. Durch das Verständnis der Grundlagen von OAuth und die Einhaltung der Best Practices können Entwickler Anwendungen erstellen, die eine sichere und benutzerfreundliche Erfahrung bei Login-Verfahren bieten.

Der Beitrag OAuth – Login ohne Preisgabe von Anmeldeinformationen erschien zuerst auf CEOsBay.

Eine kurze Zeitreise

Die Geschichte der RFCs geht auf das Jahr 1969 zurück, als man das ARPANET (Advanced Research Projects Agency Network), den Vorläufer des Internets, ins Leben gerufen hat. Steve Crocker, ein Forscher am ARPANET-Projekt, veröffentlichte das erste RFC-Dokument, RFC 1, am 7. April 1969. Das Ziel war es, eine Plattform zu schaffen, auf der sich Forscher und Entwickler austauschen und Ideen zur Verbesserung und Standardisierung der Kommunikationsprotokolle diskutieren konnten.

Im Laufe der Jahre entwickelte sich das RFC-System zur zentralen Anlaufstelle für die Veröffentlichung und Diskussion von Internetstandards, Protokollen und Best Practices. Die Internet Engineering Task Force (IETF) übernahm die Verantwortung für die Verwaltung und Entwicklung der RFCs, und das RFC-Editor-Team kümmerte sich um die Veröffentlichung und das Format der Dokumente. Übrigens gibt es hier den Link zum RFC Editor mit Index aller RFCs und in HTML 😉

Die Struktur der RFCs

Jedes RFC-Dokument hat eine eindeutige Nummer und einen Titel, der den Inhalt des Dokuments beschreibt. Die Dokumente sind in der Regel in einem einfachen Textformat verfasst, um die Lesbarkeit und den Zugang zu gewährleisten. Eine typische RFC-Struktur umfasst:

• Titel
• Autor(en)
• Datum der Veröffentlichung
• Abstract: Eine Zusammenfassung des Inhalts
• Einleitung: Einführung in das Thema
• Hauptteil: Ausführliche Diskussion und Definition der Standards, Protokolle oder Best Practices
• Referenzen: Liste der verwendeten und zitierten Quellen
• Anhänge (falls erforderlich): Ergänzende Informationen oder BeispieleDie Bedeutung der RFCs

RFCs sind von zentraler Bedeutung für das Internet und seine Funktionsweise. Sie dienen als offizielle Dokumentation für Internetstandards und Kommunikationsprotokolle wie https, SMTP, DNS und viele andere. Darüber hinaus decken RFCs auch Best Practices und Leitlinien für verschiedene Aspekte der Internetkommunikation ab.

Einige wichtige RFCs sind:

• RFC 791: Internet Protocol (IP)
• RFC 793: Transmission Control Protocol (TCP)
• RFC 1034 und RFC 1035: Domain Name System (DNS)
• RFC 2616: Hypertext Transfer Protocol (https/1.1)

Die Veröffentlichung von RFCs erfolgt in einem offenen, transparenten Prozess, bei dem Entwickler, Forscher und Interessierte aus der ganzen Welt teilnehmen können. Dieser kollaborative Ansatz fördert Innovation und ermöglicht es, dass die entwickelten Standards und Protokolle auf breite Zustimmung und Anwendung stoßen.

RFC-Kategorien

RFCs kann man in verschiedene Kategorien eingeteilen:

• Standards-Track RFCs: Diese RFCs definieren offizielle Internetstandards und Protokolle. Sie sind von der IETF entwickelt und genehmigt. Sie durchlaufen einen mehrstufigen Prozess, der von der Entwurfsphase bis zur Verabschiedung als Internetstandard reicht.
• Informational RFCs: Diese RFCs enthalten nützliche Informationen und Ratschläge, die zwar nicht normativ sind, aber dennoch zur Verbesserung der Internetkommunikation und -technologie beitragen können. Beispiele sind Leitlinien, Hintergrundinformationen oder Untersuchungen über neue Technologien.
• Experimental RFCs: Diese RFCs beschreiben experimentelle Ideen oder Protokolle, die noch nicht zur Standardisierung bereit sind. Sie dienen als Plattform, um neue Technologien zu präsentieren und Feedback aus der Community zu sammeln.
• Best Current Practice (BCP) RFCs: Diese RFCs dokumentieren etablierte Verfahren und Leitlinien. Sie sind von der IETF als bewährte Praktiken anerkannt.

Der RFC-Prozess

Der Prozess der Erstellung, Prüfung und Verabschiedung eines RFC ist offen und kollaborativ:

1. Ideenentwicklung: Ein Autor oder eine Gruppe von Autoren erstellt bzw. erstellen einen Entwurf, der die Idee, das Protokoll oder die Best Practice beschreibt.
2. Community-Feedback: Die IETF-Community erhält den Entwurf zur Überprüfung und Diskussion.
3. Überarbeitung und Verbesserung: Überarbeitung und Verbesserung auf Grundlage des erhaltenen Feedbacks, bis dieser für eine formelle Veröffentlichung als RFC bereit ist.
4. IETF-Genehmigung: Für Standards-Track und BCP RFCs ist die Genehmigung der IETF erforderlich, bevor man sie veröffentlichen kann.
5. Veröffentlichung: Nachdem alle notwendigen Schritte abgeschlossen sind, übernimmt das RFC-Editor-Team die Veröffentlichung des Dokuments und das Dokument erhält eine eindeutige RFC-Nummer.

Fazit

RFCs sind ein wesentlicher Bestandteil der Funktionsweise des Internets und der Kommunikation zwischen verschiedenen Systemen und Geräten. Sie stellen eine offene, kollaborative Plattform dar, die es ermöglicht, gemeinsam an der Entwicklung von Internetstandards, Protokollen und Best Practices zu arbeiten. Die Bedeutung der RFCs für das Internet kann man nicht hoch genug schätzen, da sie für die Interoperabilität und Stabilität des gesamten Netzwerks von entscheidender Bedeutung sind.

Der Beitrag RFC – Grundlage für Internetprotokolle und Kommunikationsstandards erschien zuerst auf CEOsBay.

Definition

Der Begriff wurde zum ersten Mal in einer Arbeit von Ralph Johnson und William Opdyke 1990 gebraucht (Refactoring: An aid in designing application frameworks and evolving object-oriented systems. In: Proceedings of Symposion on Object-Oriented Programming Emphasizing Practical Applications (SOOPPA), September 1990). Opdyke promovierte 1992 zu dem Thema. Sie entwickelten die Idee einer Software-Refactory, die das Umgestalten (eben das Refactoring) von Computerprogrammen erleichtern sollte. Die unzutreffende Übersetzung Refaktorisierung stammt aus einer Verwechslung mit einer häufig zitierten Analogie, die ursprünglich nicht Begriffsinhalt war: Refactoring ist eine Art, ein Programm so zu modifizieren, dass man verborgene Strukturen offenlegt, ohne die Funktionalität zu ändern. Dies, so der (fälschliche) Analogieschluss, entspreche dem Vorgehen der Faktorisierung von Polynomen in der Mathematik. Bin aber kein Mathematiker 😉

Warum ist Refactoring wichtig?

• Verbesserung der Code-Lesbarkeit: Lesbarkeit ist entscheidend, um den Code effizient zu warten und zu erweitern. Durch das Refactoring können Entwickler den Code vereinfachen, Duplikate entfernen und konsistente Benennungen und Formatierungen verwenden, um die Lesbarkeit zu verbessern.
• Reduzierung der technischen Schulden: Technische Schulden entstehen, wenn man die Software in Eile entwickelt, ohne auf Qualitätsstandards zu achten. Sie führen oft zu schwer zu wartendem und unzuverlässigem Code. Es hilft, technische Schulden zu reduzieren und verhindert, dass sie sich im Laufe der Zeit anhäufen.
• Optimierung der Code-Wartbarkeit: Refactoring hilft dabei, den Code modular und gut strukturiert zu halten, was die Wartung und Fehlerbehebung erleichtern kann.
• Verbesserung der Code-Performance: Durch das Entfernen von unnötigem Code und die Optimierung von Algorithmen kann Refactoring dazu beitragen, die Performance der Software zu steigern.
• Erleichterung der Teamarbeit: Ein sauberer und gut strukturierter Code ist leichter zu verstehen und ermöglicht eine effektivere Zusammenarbeit zwischen Entwicklern.

Strategien für effektives Refactoring

• Code Smells identifizieren: „Code Smells“ sind Anzeichen dafür, dass man den Code möglicherweise verbessern muss. Beispiele sind lange Methoden, große Klassen, doppelter Code und unklare Benennungen. Entwickler sollten diese Anzeichen erkennen und entsprechende Maßnahmen ergreifen, um den Code zu verbessern.
• Schrittweise Verbesserungen vornehmen: Refactoring sollte schrittweise erfolgen, um den Code schrittweise zu verbessern und gleichzeitig die Funktionalität intakt zu halten.
• Automatisierte Tests verwenden: Um sicherzustellen, dass die Funktionalität nach dem Refactoring unverändert bleibt, ist es entscheidend, automatisierte Tests zu verwenden. Dies stellt sicher, dass Änderungen am Code keine unerwünschten Nebenwirkungen verursachen.
• Konsistente Coding-Standards einhalten: Ein konsistenter Codierungsstil erleichtert das Lesen und Verstehen des Codes. Es ist wichtig, dass das gesamte Team die gleichen Standards einhält, um Inkonsistenzen zu vermeiden.
• Regelmäßiges Refactoring betreiben: Man Refactoring als fortlaufenden Prozess betrachten, der in die tägliche Arbeit eines Entwicklers integriert ist. Regelmäßiges Refactoring hilft dabei, den Code kontinuierlich sauber und auf dem neuesten Stand zu halten, wodurch man die langfristige Wartbarkeit der Software verbessern kann. Außerdem hilft es dabei, den Code zu besser verstehen und tiefere Erkenntnisse über das Programmieren selbst zu erhalten.

Beliebte Refactoring-Techniken

1. Extract Method: Wenn eine Methode zu lang oder zu komplex ist, kann sie in kleinere, gut definierte Methoden aufgeteilt werden, um die Lesbarkeit und Wartbarkeit des Codes zu verbessern.
2. Rename Variable/Method/Class: Durch das Umbenennen von Variablen, Methoden und Klassen in klarere und aussagekräftigere Namen kann man den Code verständlicher und leichter pflegbar machen.
3. Remove Duplication: Duplikate im Code können Wartungsprobleme verursachen und man sollte sie entfernen. Bei der Erkennung von Duplikaten können Entwickler allgemeine Funktionen extrahieren und wiederverwenden, um den Code zu straffen.
4. Replace Conditional with Polymorphism: Anstatt mehrere bedingte Anweisungen zu verwenden, kann man Polymorphismus eingesetzen, um den Code besser zu strukturieren und die Lesbarkeit zu erhöhen.
5. Encapsulate Field: Durch das Kapseln von Feldern in Klassen und die Bereitstellung von Zugriffs- und Mutationsmethoden kann man den Code modularer und besser wartbar machen.

Tools und Programme

Es gibt eine Vielzahl von Tools und Programmen, die Entwicklern beim Refactoring helfen. Nachfolgend sind einige der gängigsten Tools für verschiedene Programmiersprachen (Einige davon habe ich bereits in diversen Beiträgen thematisiert. Hierzu einfach auf die jeweiligen Verlinkungen klicken oder die Suchfunktion verwenden 😉 ):

Integrated Development Environments (IDEs): Viele moderne IDEs bieten integrierte Refactoring-Unterstützung für verschiedene Programmiersprachen an. Einige der bekanntesten sind:

a. JetBrains IntelliJ IDEA (Java, Kotlin, Scala, u.a.)

b. JetBrains PhpStorm (PHP)

c. JetBrains PyCharm (Python)

d. JetBrains ReSharper (C# in Visual Studio)

e. Microsoft Visual Studio (C#, C++, VB.NET)

f. Eclipse (Java)

g. Xcode (Swift, Objective-C)

Standalone-Tools: Es gibt auch eigenständige Refactoring-Tools, die man unabhängig von der IDE verwenden kann. Einige Beispiele sind:

a. JDeodorant (Java)

b. SonarLint und SonarQube (Java, JavaScript, TypeScript, u.a.)

c. JSLint und ESLint (JavaScript)

d. RuboCop (Ruby)

e. Clang-Tidy (C++, Objective-C)

Code-Editor-Erweiterungen: Viele Code-Editoren, wie Visual Studio Code und Sublime Text, verfügen über Erweiterungen, die Refactoring-Unterstützung für verschiedene Programmiersprachen bieten. Einige dieser Erweiterungen sind:

a. Visual Studio Code Refactoring Extensions (z.B. Python, JavaScript, TypeScript, PHP, Ruby, C#)

b. Sublime Text Refactoring Plugins (z.B. Anaconda für Python, JsPrettier für JavaScript)

Es ist wichtig zu beachten, dass jedes Tool seine eigenen Stärken und Schwächen hat. Ein Entwickler sollte die verfügbaren Optionen für seine Programmiersprache und seinen Arbeitsablauf sorgfältig prüfen, um das am besten geeignete Refactoring-Tool zu finden.

Fazit

Refactoring ist ein wesentlicher Bestandteil des Softwareentwicklungsprozesses, der es ermöglicht, den Code sauber, lesbar und wartbar zu halten. Durch das Identifizieren von „Code Smells“, die Anwendung bewährter Techniken und das kontinuierliche Integrieren von Refactoring in den Arbeitsablauf können Entwickler qualitativ hochwertigen Code schreiben, der leicht zu verstehen und zu erweitern ist.

Die Investition in regelmäßiges Refactoring zahlt sich langfristig aus, indem sie dazu beiträgt, die technischen Schulden zu reduzieren und die Zusammenarbeit im Team zu verbessern. Der Schlüssel zum erfolgreichen Refactoring liegt in der Kombination aus automatisierten Tests, konsistenten Codierungsstandards und einem proaktiven Ansatz zur Code-Optimierung. Durch die Priorisierung von Refactoring in der Softwareentwicklung können Entwickler sicherstellen, dass ihre Projekte skalierbar und zukunftssicher sind.

Der Beitrag Refactoring – Optimierung und Evolution für nachhaltigen Code erschien zuerst auf CEOsBay.

Was ist Swagger?

Swagger, auch bekannt als OpenAPI, ist ein Open-Source–Framework zur API-Entwicklung. Es bietet Entwicklern eine standardisierte Methode, um RESTful-APIs zu entwerfen, zu dokumentieren und zu testen. Es hilft Entwicklern dabei, die Kommunikation zwischen verschiedenen Anwendungen zu vereinfachen und fördert die Zusammenarbeit innerhalb und zwischen Teams.

Die wichtigsten Komponenten:

1. Swagger Editor: Ein browserbasiertes Werkzeug zur Erstellung und Bearbeitung von OpenAPI-Spezifikationen.
2. Swagger UI: Eine benutzerfreundliche Oberfläche, die es Entwicklern und Endbenutzern ermöglicht, API-Dokumentationen interaktiv zu visualisieren und zu testen.
3. Swagger Codegen: Ein Generator, der serverseitigen und clientseitigen Code für APIs auf Basis der OpenAPI-Spezifikation erstellt.

Vorteile

1. Klare und präzise API-Dokumentation: Es ermöglicht Entwicklern, leicht verständliche und konsistente API-Dokumentationen zu erstellen. Dadurch wird die Kommunikation zwischen Teammitgliedern und die Integration von APIs in verschiedene Systeme erleichtert.
2. Zeitersparnis: Die automatische Generierung von serverseitigem und clientseitigem Code reduziert die manuelle Arbeit und beschleunigt die Entwicklung von APIs.
3. Fördert die Zusammenarbeit: Es erleichtert die Zusammenarbeit zwischen Frontend- und Backend-Entwicklern, indem es eine gemeinsame Sprache und Struktur bietet.
4. Einfache Aktualisierung und Pflege: Man kann Änderungen an einer API problemlos in die bestehende Dokumentation integrieren, ohne dass man die gesamte Dokumentation manuell aktualisieren muss.
5. Benutzerfreundlichkeit: Die visuelle Darstellung der API-Endpunkte durch Swagger UI erleichtert das Verständnis der API-Funktionalität und ermöglicht das Testen direkt aus der Dokumentation heraus.

Fazit

Swagger, im Programmierkontext, hat sich als unverzichtbares Werkzeug für Entwicklerteams etabliert, um effizient und effektiv RESTful-APIs zu entwickeln und zu verwalten. Mit seinen leistungsstarken Funktionen zur Gestaltung, Dokumentation und Zusammenarbeit trägt Swagger wesentlich zur Steigerung der Produktivität und Qualität von Softwareprojekten bei. Es ist nicht nur ein nützliches Tool, sondern auch ein Beispiel dafür, wie offene Standards und innovative Technologien die IT-Landschaft nachhaltig beeinflussen können.

Der Beitrag Swagger – Mühelose API-Dokumentation und Interaktion für effiziente Entwicklungsprozesse erschien zuerst auf CEOsBay.

Kurze Zeitreise

Die ISO-Norm 25010 ist aus dem Bedürfnis heraus entstanden, ein international anerkanntes und einheitliches Rahmenwerk für die Bewertung und Verbesserung von Software- und Systemqualität bereitzustellen. Die Geschichte von ISO 25010 ist eng mit der Entwicklung der ISO/IEC 25000-Serie (SQuaRE) verbunden, die sich aus früheren Standards und Modellen zur Softwarequalität entwickelt hat.

Entstehung

Und wenn man es genau nimmt, geht die Geschichte noch weitaus früher los. Und zwar mit McCall’s Quality Model aus dem Jahr 1977. Dieses Modell definierte 11 Qualitätsfaktoren, wie Zuverlässigkeit, Effizienz und Wartbarkeit, die die Softwarequalität beeinflussen bzw. mit Boehm’s Quality Model aus dem Jahr 1978. Wobei letzteres Modell sieben Hauptqualitätsmerkmale vorschlug, die die Softwarequalität beeinflussen. Dabei beispielsweise die Portabilität, Zuverlässigkeit und Verständlichkeit.

Die Internationale Organisation für Normung (ISO) und die Internationale Elektrotechnische Kommission (IEC) entwickelten gemeinsam den ISO/IEC 9126-Standard, der man 1991 veröffentlichte. Dieser Standard führte ein hierarchisches Qualitätsmodell ein, dass aus sechs Hauptqualitätsmerkmalen (Funktionalität, Zuverlässigkeit, Benutzbarkeit, Effizienz, Wartbarkeit und Übertragbarkeit) und mehreren Unterkriterien bestand. ISO/IEC 9126 legte den Grundstein für die Entwicklung der ISO/IEC 25000-Serie und ISO 25010.

ISO/IEC 25000-Serie

Die ISO/IEC 25000-Serie, auch als Systems and Software Quality Requirements and Evaluation (SQuaRE) bekannt, hat man entwickelt, um die verschiedenen Standards und Modelle zur Softwarequalität zu konsolidieren und eine umfassende, international anerkannte Normenserie für Software- und Systemqualität zu schaffen. Die Entwicklung von SQuaRE begann im Jahr 2001 und beinhaltete die Überarbeitung und Erweiterung des ISO/IEC 9126-Standards.

Folglich fand die Veröffentlichung von ISO 25010 im Jahr 2011 statt und ersetzte den früheren ISO/IEC 9126-Standard. Es führte zwei Qualitätsmodelle ein. Das Produktqualitätsmodell und das Qualitäts-in-Use-Modell. Die Hauptqualitätsmerkmale des Produktqualitätsmodells hat man von sechs auf acht erweitert, und die Unterkriterien hat man entsprechend aktualisiert. Sicherheit war nunmehr ein eigenständiges Hauptqualitätsmerkmal und die bestehenden Hauptqualitätsmerkmale hat man weiter verfeinert bzw. erweitert, um die Qualität von Software- und Softwaresystemen umfassender zu erfassen.

Die Entstehung von ISO 25010 ist das Ergebnis von jahrzehntelanger Forschung, Entwicklung und Konsolidierung von Best Practices und Standards zur Bewertung und Verbesserung der Software- und Systemqualität.

Sei der Veröffentlichung, hat ISO 25010 als zuverlässiger und anerkannter Standard für die Beurteilung der Softwarequalität gedient und den Entwicklern, Testern und Projektmanagern dabei geholfen, qualitativ hochwertige Produkte zu entwickeln und bereitzustellen.

Die dynamische Norm

Die ISO/IEC 25000-Serie und ISO 25010 sind nicht statisch. Man überprüft und aktualisiert die Inhalte kontinuierlich, um sich den stetig ändernden Anforderungen der Software- und Systementwicklung anzupassen. Die International Organization for Standardization (ISO) und die International Electrotechnical Commission (IEC) arbeiten gemeinsam daran, die Standards auf dem neuesten Stand zu halten und sie an neue Technologien, Methoden und Best Practices anzupassen.

Es ist wichtig zu beachten, dass man die ISO-Normen in einem Konsensprozess entwickelt, bei dem Experten aus verschiedenen Ländern und Organisationen zusammenarbeiten. Dies stellt sicher, dass die Normen umfassend und von hoher Qualität sind und die Bedürfnisse der verschiedenen Interessengruppen berücksichtigen.

Qualitätsmodelle

ISO 25010 bietet zwei Qualitätsmodelle: das Produktqualitätsmodell und das Qualitäts-in-Use-Modell. Das Produktqualitätsmodell bezieht sich auf die Qualität des Softwareprodukts selbst, während das Qualitäts-in-Use-Modell die Qualität aus der Perspektive des Endbenutzers bewertet.

Produktqualitätsmodell

Das Produktqualitätsmodell besteht aus acht Hauptqualitätsmerkmalen, die wiederum in mehrere Unterkriterien unterteilt sind. Die Hauptqualitätsmerkmale sind:

Funktionalität

Die Fähigkeit der Software, die geforderten Funktionen zu erfüllen, mit den Unterkriterien:

• Angemessenheit
• Richtigkeit
• Ordnungsmäßigkeit
• Interoperabilität
• Sicherheit

Leistungsfähigkeit

Die Fähigkeit der Software, in Bezug auf Leistung, Verarbeitungsgeschwindigkeit und Reaktionszeit auf Anforderungen zu reagieren. Mit den Unterkriterien:

• Zeitverhalten
• Ressourcenausnutzung

Kompatibilität

Die Fähigkeit der Software, in einer gemeinsamen Umgebung mit anderen Systemen oder Softwareprodukten zu interagieren. Mit den Unterkriterien:

• Koexistenz
• Interoperabilität

Benutzbarkeit

Die Fähigkeit der Software, von Benutzern effizient und zufriedenstellend genutzt zu werden. Mit den Unterkriterien:

• Verständlichkeit
• Erlernbarkeit
• Bedienbarkeit
• Attraktivität
• Barrierefreiheit

Zuverlässigkeit

Die Fähigkeit der Software, korrekt und zuverlässig zu funktionieren. Mit den Unterkriterien:

• Reife
• Fehlertoleranz
• Wiederherstellbarkeit

Sicherheit

Die Fähigkeit der Software, Vertraulichkeit, Integrität und Verfügbarkeit von Daten und Ressourcen zu gewährleisten. Mit den Unterkriterien:

• Vertraulichkeit
• Integrität
• Nichtabstreitbarkeit
• Rechenschaftspflicht
• Authentizität

Wartbarkeit

Die Fähigkeit der Software für Modifikationen und Verbesserbarkeit. Mit den Unterkriterien:

• Modularität
• Wiederverwendbarkeit
• Analysierbarkeit
• Modifizierbarkeit
• Testbarkeit (Hier möchte ich gerne auf TDD und BDD verweisen)

Übertragbarkeit

Die Fähigkeit der Software, von einer Umgebung in eine andere übertragen zu können. Mit den Unterkriterien:

• Anpassungsfähigkeit
• Installierbarkeit
• Konformität
• Austauschbarkeit

Qualitäts-in-Use-Modell

Das Qualitäts-in-Use-Modell beschreibt die Qualität aus der Perspektive des Endbenutzers und besteht aus fünf Hauptqualitätsmerkmalen:

Effektivität

Die Fähigkeit der Software, Benutzern dabei zu helfen, ihre Ziele präzise und vollständig zu erreichen.

Effizienz

Die Fähigkeit der Software, Benutzern zu ermöglichen, ihre Ziele mit angemessenen Ressourcen und minimalem Aufwand zu erreichen.

Zufriedenheit

Das Ausmaß, in dem die Software die Anforderungen und Erwartungen der Benutzer erfüllt.

Freiheit von Risiken

Die Fähigkeit der Software, potenzielle Schäden für Benutzer, Geschäftsprozesse oder die Umwelt zu minimieren.

Kontextabdeckung

Die Fähigkeit der Software, in verschiedenen Benutzer-, Organisations- und Umweltkontexten einsetzbar zu sein.

Fazit

Die ISO-Norm 25010 ist ein wertvolles Instrument zur Bewertung und Verbesserung der Qualität von Softwareprodukten und -systemen. Die Qualitätsmerkmale und Unterkriterien des Produktqualitätsmodells und des Qualitäts-in-Use-Modells ermöglichen eine umfassende Analyse und Bewertung verschiedener Aspekte der Softwarequalität. Softwareentwickler und Projektmanager können diese Modelle nutzen, um Qualitätsanforderungen zu definieren, Probleme zu identifizieren und Verbesserungen im Entwicklungsprozess umzusetzen. Dadurch entstehen qualitativ hochwertige Softwareprodukte, die den Bedürfnissen der Endbenutzer gerecht sind und zu einer höheren Zufriedenheit und besserer Performance beitragen.

Der Beitrag ISO-Norm 25010 – Leitfaden für herausragende Softwarequalität und vertrauenswürdige Systeme erschien zuerst auf CEOsBay.