Zentrale Service Einstellungen?

Dienstspezifische Einstellungen sollten bei dem jeweiligen Dienst abgelegt werden.

Kohäsion

Es ist eine Frage der Kohäsion. Dinge, die fachlich zusammengehören, sollten auch zusammen und in enger Nähe platziert werden. Es gibt wenig schlimmeres als ein Feature so aufzuteilen, dass es im ganzen System verteilt ist (hier ein bisschen Code, hier ein bisschen Config, hier wieder ein bisschen Code, da ein bisschen Doku, usw.). Dienste sollten möglichst autark sein und bestenfalls eigenständig existieren können. Je mehr Kopplung im System besteht, desto schwieriger wird die Weiterentwicklung. Deswegen sind zentrale Aspekte besonders gefährlich. Manche Funktionen müssen zentral realisiert werden, wie zum Beispiel Authentifizierung, weil es nicht anders geht. Alle Dinge, die nicht zwingend zentralisiert werden müssen, sollten es auch nicht. Für den Anwenderkomfort können zentrale Darstellung mit Hilfe von konsolidierenden Oberflächen und Backends For Frontends geschaffen werden.
Im weiteren zeige ich zusätzlich noch drei eindeutige Vorteile der dezentralen Konfiguration.

Atomare Änderungen

Änderungen und Weiterentwicklungen eines Dienstes müssen nicht mehr an zwei entfernten Stellen (Code und Config) nachgezogen werden und in zwei Phasen committed werden. Diese zwei Stellen haben in der Regel eine zeitliche Kopplung, die zu einer fest vorgegebenen Reihenfolge der Aktualisierung führt, die eingehalten werden muss.
Wenn Code und Config an der gleichen Stelle liegen, kann der Code weiterentwickelt und neue Einstellungen direkt mit angepasst werden. Beides kann mit einem einzigen Commit in der richtigen Reihenfolge atomar deployt werden.

Prepare and Forget

Eine Einstellung kann dann auch nicht fälschlicherweise zu früh deployt werden, was zu Fehlern in der aktuellen Version führen kann, sondern wird erst unmittelbar mit dem Code deployt. Ein Entwickler muss nach seinem Commit nicht erst darauf warten, dass sein Code in Test und schließlich nach Production deployt wird, damit er endlich die Einstellung für die jeweilige Umgebung einstellen kann. Die Einstellung wird automatisch angewendet, wenn der Code in die jeweilige Umgebung freigegeben und deployt wird. Der Entwickler brauch sich nicht mehr kümmern (wenn alles nach Plan läuft). Natürlich muss er die Einstellung für Test, Production und alle anderen Umgebungen kontrolliert vorbereiten, aber das tatsächliche Anwenden passiert transparent im Hintergrund, zur richtigen Zeit automatisiert.
Eventuelle Geheimnisse, die der Entwickler nicht kennen darf, müssen ihm verschlüsselt von der jeweils zuständigen Person mitgeteilt oder in Kooperation vorbereitet werden.
Auch das Wiederherstellen einer früheren Version ist aus der Perspektive der Einstellungen problemlos möglich, da die Einstellungen mit dem selben Commit assoziiert sind.

Verantwortung des Service beim Team

Solange das Team, das den Service entwickelt, auch die Verantwortung für den Betrieb des Services übernehmen soll, müssen alle relevanten Artefakte mit dem Service verwaltet werden. Das Repository repräsentiert auch eine organisatorische Klammer. Durch das Klonen des Repositories bekommen Entwickler nicht nur vollständigen Zugriff auf den Quelltext, sondern auch auf tatsächliche Einstellungen, Build Skripte und Deployment Ressourcen. Ein Entwickler kann sich also jederzeit eine funktionsfähige und sinnvoll konfigurierte Umgebung auf seinem Computer erstellen und für Test- und Entwicklungszwecke betreiben. Isolierte Weiterentwicklungen können dabei sogar problemlos in eigenen Branches erfolgen. Ein Entwickler hat jederzeit alle nötigen Ressourcen zur Verfügung, um die Anwendung eigenständig weiterzuentwickeln.

 

Einwände

Und wenn sich nur die Einstellung ändert?

Wenn Einstellung und Service in der selben Pipeline deployt werden, ist das erstmal nicht schlimm. Nachteilig ist lediglich, dass es vielleicht etwas länger dauert, bis die Einstellung aktiv wird. Soll die Änderungen sofort gelten, kann sie manuell oder über das K8S Dashboard vorgenommen werden, und wenn sie endgültig sein soll, kann diese Änderung durch commit dokumentiert werden. Durch das anschließende Deployment wird der Wert dann nicht nochmal geändert, weil er bereits auf dem Zielwert steht.

Und wenn sich eine Einstellung auf viele Dienste bezieht?

Einstellungen, die keinem Dienst zugeordnet werden können (Logging, Message Bus,…), können in der Regel der Umgebung zugeordnet werden. Daher sollten sie an einem dafür vorgesehehen Ort für Infrastruktur Konfiguration abgelegt werden.
Einstellungen, die von einem Dienst für andere Dienste bereitgestellt werden, sollten bei dem bereitstellenden Dienst abgelegt werden. Eine Änderung dieser Einstellungen sollte einen automatisierten Neustart der Konsumeten verursachen.

Und wenn sich alle Einstellungen ändern?

Generell sollten Einstellungen so platziert werden, dass wahrscheinliche und häufige Änderungen mit wenig Aufwand vorgenommen werden können, während für unwahrscheinliche und seltene Änderungen höhere Aufwände akzeptiert werden können. Es macht mehr Sinn für Weiterentwicklung einzelner Dienste zu optimieren als für das Umziehen des ganzen Systems in neue Umgebungen. Sollten sich dienstübergreifende Dinge, wie zum Beispiel die Domain, ändern, dann müssen im schlimmsten Fall viele Commits vorgenommen werden. Auch hier kann eine sofortige Änderung manuell oder im K8S Dashboard erfolgen, die dann anschließend noch committed werden muss. Sollten sich dienstübergreifende Dinge häufig ändern, sollten diese hoffentlich wenigen Einstellungen besser an dem Ort für Infrastruktur Konfiguration abgelegt werden.

Empfangsbekenntnis 3.0 (STP LabsDay 2019)

Am vergangenen Donnerstag und Freitag (14.-15. November 2019) habe ich wieder am STP LabsDay teilgenommen. Diesen internen 24h-Hackathon veranstaltet STP jedes Jahr. Die Idee des LabsDays ist es, in kleinen Gruppen an einer eigenen Idee zu arbeiten. Wer kennt es nicht? Man wollte schon immer einmal Framework X oder Bibliothek Y ausprobieren, aber irgendwie ist man nie dazu gekommen. Genau dafür ist der LabsDay der perfekte Rahmen. Außerdem übernimmt STP an diesen beiden Tagen komplett die Verpflegung.

Insgesamt haben sechs Teams teilgenommen. Mein Kollege und ich bildeten eines dieser Teams. Während die anderen Teams sich primär mit künstlichen Intelligenzen beschäftigten, haben mein Kollege und ich uns einem Thema gewidmet, über das ich schon länger nachgedacht hatte: das Empfangsbekenntnis. Nach der §174 Zivilprozessordnung sind Anwälte, Gerichte und alle Personen und Institutionen, deren Arbeit besonders zuverlässig sein muss, dazu verpflichtet, den Erhalt von entsprechenden Dokumenten zu bestätigen. Auf die klassische Art und Weise passiert das mit der Post. Das Empfangsbekenntnis 1.0 ist ein spezielles Dokument, welches vom Anwalt unterzeichnet und dann an den Sender des ursprünglichen Dokuments zurückgeschickt werden muss. Der Hauptnachteil dieser Lösung liegt auf der Hand. Die Anwälte und Gerichte versinken in einer immer größer werdenden Papierflut. Deswegen wurde vor einigen Jahren das Empfangsbekenntnis 2.0 eingeführt. Mit beA- und EGVP-Postfächern wird eine digitale Empfangsbekenntnis automatisiert erstellt und verschickt, sobald der Anwalt das Dokument in seinem Software Client erhalten hat. Wenn ein digitales Empfangsbekenntnis auf einem zentralen Server oder einem Client gespeichert ist, besteht die große Gefahr eines Datenverlusts. Im Falle eines Brandes im Datenzentrum oder einer Sicherheitspanne bei den Betreibern sind die Daten gefährdet.

Wir wollten diese Situation verbessern. Meine Mission bei STP ist es, unseren Partnern, Kunden und Kollegen die Vorteile der modernen Technologien zu ermöglichen. Moderne Technologien sind zum Beispiel Cloud, Mobile, Artificial Intelligence und die Blockchain. Beim STP LabsDay haben wir deswegen das Empfangsbekenntnis 3.0 als Decentralized Application (DAPP) in Form eines Smart Contracts auf der Ethereum Blockchain realisiert. Mein Kollege hatte zu dem Thema Blockchain bereits seine Bachelor Thesis geschrieben und auch mir waren einige theoretische Konzepte bereits bekannt. Erwähnenswerte praktische Erfahrung hatte ich aber bisher noch keine. Also haben wir uns ein Tutorial gesucht und uns diesem Projekt spielerisch genährt. Schließlich wollten wir am Ende des Hackathons eine funktionsfähige Lösung präsentieren.

Der Prozess ist eigentlich ziemlich einfach. Ein Sender registriert sein Dokument und gibt es danach an den Empfänger weiter, welcher den Erhalt bestätigt. Diesen Prozess konnten wir problemlos in Form einer Abstract State Maschine in Solidity, der Programmiersprache der Ethereum Virtual Machine (EVM), implementieren. Dabei wollten wir nicht nur digitale Dokumente in unserer Lösung verwalten, sondern auch physikalische. Wir brauchten also eine Abstraktion von physikalischen und digitalen Dokumenten, um für diese Abstraktion ein Empfangsbekenntnis zu speichern. Unsere Abstraktion nennen wir Document Link. Wenn das Dokument bereits ein digitaler Datensatz ist, können wir den Document Link ganz einfach als Hash des digitalen Datensatzes erzeugen. Ist das Dokument allerdings ein physikalisches Dokument, können wir eine Zufallszahl generieren und diese in Form eines QR-Codes auf den Brief drucken. Natürlich können wir auch eine URL als Document Link verwenden. Damit haben wir die Möglichkeit geschaffen, um in einer vereinheitlichten Form sowohl digitale als auch physikalische Dokumente zu verwalten.

Ein Sender ermittelt den Document Link aus seinem Dokument und persistiert diesen in der Blockchain. Ein Empfänger des Dokuments kann dann den Document Link mit dem Empfangsbekenntnis ebenfalls in der Blockchain persistieren. Um sicherzustellen, dass nur die Person, die das Dokument tatsächlich erhalten hat und jetzt besitzt, das Empfangsbekenntnis ausstellen kann, nutzen wir eine Hashfunktion. Der Sender ermittelt den Hash des Document Links und persistiert diesen auf der Blockchain. Der Empfänger muss jetzt genau den Document Link auf der Blockchain speichern, der zu dem vom Sender persistierten Hash passt. Versucht er einen Document Link zu persistieren, dessen Hash nicht bereits vorher registriert wurde, wird die Transaktion abgelehnt.

Wenn das Dokument von einer zweiten Person gelesen wird, wird auch eine zweite Empfangsbekenntnis in der Blockchain gespeichert. Wenn ein Empfänger das gleiche Dokument, also mit dem selben Document Link, an eine weitere Person sendet, tritt der Empfänger jetzt als Sender auf und persistiert den Hash des Document Links. In diesem Fall wurde das gleiche Dokument von zwei unterschiedlichen Sendern registriert. Das ist auch für alle Beobachter erkennbar. Wenn jetzt eine dritte Person dieses Dokument empfängt, werden zwei Empfangsbekenntnisse ausgestellt, die jeweils einem Sender zugeordnet werden. Ein Sender kann also jederzeit feststellen, 1) wer sein Dokument wann empfangen hat und 2) wer es ebenfalls verschickt oder weitergeleitet hat.

Diese Prozesslogik lief nun in einem Smart Contract auf der Blockchain. Dazu haben wir noch ein Frontend mit React und Web3 gebaut und auf Azure gehostet. Unser Frontend listet alle getrackten Dokumente mit sämtlichen Empfangsbekenntnissen auf. Den Smart Contract selbst haben wir dann in das Ethereum Testnetzwerk Kovan deployt. Anschließend haben wir uns Szenarien für die Präsentation unserer Ergebnisse überlegt. Um die ganze Sache einfach demonstrieren zu können, hatten wir uns überlegt, dass wir auf ein Papier zwei QR-Codes drucken. Den einen QR-Code scannen wir um dieses Dokument zu registrieren und den anderen QR-Code scannen wir um das Dokument zu empfangen. Genauso haben wir es auch im Rahmen der Ergebnispräsentation demonstriert. Dazu öffneten wir die URLs hinter den QR-Codes jeweils mit MetaMask for iOS und konnten so die Transaktionen mit unseren Mobiltelefonen signieren. Natürlich würden Software Clients diesen Vorgang automatisiert im Namen des Anwalts durchführen.

Die Vorteile von Empfangsbekenntnis 3.0 verdanken wir der Blockchain. Das Empfangsbekenntnis ist unveränderlich, unabstreitbar und für alle sichtbar für immer persistiert. Dass wir uns bei unserem Prototypen für das öffentliche Ethereum Testnetz entschieden haben, hat die Konsequenz, dass Transaktionen nicht kostenlos sind. Wir müssen die Miner incentivieren, damit sie unsere Transaktionen in Blocks verpacken und der Blockchain hinzufügen. Dafür müssen wir bei jedem Schreibvorgang etwas Geld in der Ethereum-Kryptowährung namens Ether bezahlen (Gas). Wenn viele Transaktionen in die Blockchain gespeichert werden sollen, steigt außerdem die Latenz. Das bedeutet, dass wir ein paar Sekunden bis Minuten warten müssen, bis unsere Transaktion bestätigt und tatsächlich persistiert ist. Diese beiden Nachteile haben Consortium Blockchains nicht. Deswegen würden wir für einen real life Einsatz unserer Lösung eine Consortium Blockchain der Public Ethereum Blockchain vorziehen.
Ein weiterer Nachteil ist die komplizierte Weiterentwicklung von Smart Contracts. Genau wie Daten, ist auch der Code unveränderlich auf der Blockchain gespeichert. Das bedeutet, dass wir einen Fehler nicht einfach korrigieren können. Mit jeder Fehlerkorrektur müssen wir das Programm neu auf der Blockchain installieren und allen Verwendern mitteilen, dass sie jetzt diese neue Version verwenden sollen. Zusätzlich müssen natürlich die Daten aus der alten in die neue Version migriert werden. Idealerweise würde die alte Version abschließend auch deaktiviert werden, allerdings müssten wir den Smart Contract von Begin an dementsprechend fehlerfrei programmieren. Das macht das Weiterentwickeln von Smart Contracts umständlich. Im Rahmen des 24h-Projekts haben wir zwei Versionen deployen müssen.

Am Ende war unser Projekt ein ganzer Erfolg. Unser Smart Contract hat sehr gut funktioniert und unsere Präsentation hat einen guten Eindruck hinterlassen. Wir haben für unsere Arbeit den Vorstandspreis gewonnen. Der Kundenpreis und der Zuschauerpreis gingen an das Projekt unseres anderen geschätzten Kollegen, dessen Modell automatisiert Fristen in Dokumenten erkennen konnte.

Auch wenn nicht alle Teams einen Preis gewonnen haben, haben wir alle viel dazugelernt. Alle Projekte haben die Firma merklich motiviert und inspiriert. Wie jedes Jahr war der STP LabsDay ein echtes Highlight. Um 16 Uhr hatten wir uns das Wochenende dann auch redlich verdient. Ich freue mich jetzt schon auf den nächsten STP LabsDay. Ein großartiges Event!

 

Weiterentwicklung?

Unser Prototyp funktioniert. Doch bevor wir unseren Code produktiv einsetzen würden, müssten wir noch eine Sicherheitserweiterung einbauen. Damit die Miner unsere Daten in Form von Transaktionen in Blöcke verpacken können, müssen wir ihnen den Input für unsere Smart Contract Funktionen schicken. Aktuell muss ein Empfänger den Document Link im Klartext an den Miner schicken, damit der Smart Contract den Hash bilden und mit dem vom Sender gespeicherten Hash vergleichen und persistieren kann. Diesen Klartext des ersten Empfängers könnte eine andere Partei mitlesen und ebenfalls persistieren. Dadurch können nach einem ersten Empfangen weitere Parteien ein Empfangsbekenntnis für ein Dokument ausstellen, obwohl sie es gar nicht tatsächlich besitzen. Durch die Signatur der Transaktion ist jederzeit erkennbar, wer die Anfrage gestellt hat, sodass das System nicht gespooft werden kann. Dennoch schwächt dies die Sicherheit des Empfangsbekenntnis. Das Problem ist die Verwendung der Hashfunktion. Nachdem der entsprechende Klartext einmal bekannt ist, kann ihn jeder nutzen um den Hash zu berechnen. Um diesem Verhalten entgegen zu wirken, dürfte der Document Link niemals im Klartext an die Miner geschickt werden. Ihn einfach zu signieren oder mit der Adresse des Empfängers zu prefixen und anschließend zu hashen reicht leider nicht, da der Smart Contract den Klartext nicht kennt und die Signatur oder den Hash deswegen nicht validieren kann.

Die Idee ist, den Document Link wie einen Private Key zu verwenden. Mit diesem Private Key müsste ein Empfänger seine durch die Blockchain eindeutige Adresse signieren und diese anstelle des Klartexts an den Miner schicken. Nur die Parteien, die das Dokument tatsächlich besitzen und deswegen den Private Key kennen, können dies tun. Würde eine signierte Adresse von einer anderen Partei wiederverwendet werden, würde die Signatur nicht zur tatsächlichen Adresse des vermeintlichen Empfängers passen. In diesem Fall ist der Smart Contract nämlich in der Lage die Signatur mit dem vom Sender persistierten Public Key zum Private Key aka Document Link zu überprüfen.

Den Code unseres Prototypen finden Sie im Kovan Testnetz (0xf41930b233137f37b7cd770c3b36eaa51d38c8e2) oder auf Github.

Trends, Gesetze, Verschlüsselung

Es gibt aktuell drei große Trends in der Softwareindustrie. Der erste große Trend ist IOT. Das Internet der Dinge vernetzt alle Geräte und Maschinen, die Daten an Server oder sich gegenseitig senden. Das zweite große Trendthema ist die Blockchain. Ein Netzwerk, in dem kein Teilnehmer einer zentralen Organisation vertrauen muss, sondern sich auf das Netzwerk verlassen kann. Der dritte Megatrend ist die künstliche Intelligenz. Maschinen sind immer mehr in der Lage, Dinge zu erkennen, Korrelationen zu finden und Entscheidungen zu treffen.

Alle diese Trends haben eine Sache gemeinsam: Daten. Ohne Daten spielen IOT, Blockchain und KI keine Rolle. Manche behaupten sogar, dass Daten der wichtigste Rohstoff unserer Zeit ist. Jedenfalls sind Daten die Grundlage der Wortschöpfung unseres Jahrhunderts. Daten waren schon immer wichtig, aber zwei Dinge sind relativ neu. Zum einen wächst der Datenbestand weiterhin exponentiell. Zum anderen werden die Daten, die bis vor kurzem primär on-premise gespeichert wurden, in die Cloud migriert. Unternehmensdaten werden ohne großen Aufwand erfolgreich in der Cloud persistiert. Das Problem dabei ist, dass das Unternehmen dann nicht mehr alleiniger Besitzer der Daten ist. Die Daten werden einem Cloud Service Provider treuhänderisch anvertraut, der nun auch auf diese zugreifen kann.

Um die Daten in der Cloud zu schützen, hat die Regierung besondere Gesetze erlassen. Das wohl bekannteste Gesetz ist die Datenschutzgrundverordnung (DSGVO) und damit das Bundesdatenschutzgesetz (neu). Darüber wurde letztes Jahr viel berichtet. Dieses Gesetz reguliert, wie mit personenbezogene Daten umzugehen ist. Das betrifft alle Unternehmen, die europäische Kunden haben.

Es gibt allerdings auch Branchen, die mit Daten noch vorsichtiger umgehen müssen. Damit meine ich Berufsgeheimnisträger. Darunter fallen zum Beispiel Ärzte und Rechtsanwälte. Daten, die Rechtsanwälten anvertraut wurden und die von Rechtsanwälten generiert werden, müssen besonders gut geschützt werden. Dazu gibt es das “Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen“. Seit November 2017 gilt dieses Gesetz und seitdem dürfen Anwälte überhaupt erst Cloud-Dienstleistungen in Anspruch nehmen. Eine Vorgabe aus diesem Gesetz ist zum Beispiel, dass Daten nur dann im Ausland verarbeitet oder gespeichert werden dürfen, wenn in diesem Land der Schutz des Geheimnisses vergleichbar ist mit dem Schutz des Geheimnisses in Deutschland.

Es gibt noch ein Gesetz, das in diesem Zusammenhang sehr wichtig ist: Der C.L.O.U.D. Act. Der C.L.O.U.D. Act ist ein Gesetz der Amerikaner. Er erlaubt es der amerikanischen Regierung jeden amerikanischen Cloud Service Provider dazu zu verpflichten, Kundendaten herauszugeben, egal wo auf der Welt diese gespeichert sind. Das hat natürlich eine dramatische Konsequenz für Daten, die besonders geschützt werden müssen. Rechtsanwälte können ihre Daten nicht einfach in ein beliebiges Rechenzentrum eines amerikanischen Betreibers in Frankfurt laden, weil die amerikanische Regierung den amerikanischen Konzern, dazu verpflichten kann, die Daten herauszugeben, obwohl die Daten in Deutschland gespeichert sind. Das ist ein echtes Problem und würde Lösungen auf Cloud-Angebote deutscher Konzerne reduzieren.

Es gibt noch eine andere Lösung: Verschlüsselung. Daten können verschlüsselt werden, bevor sie in die Cloud hochgeladen werden. Solange der Schlüssel nicht auch in der Cloud liegt, können die Daten gefahrlos weitergegeben werden. Jeder Empfänger, der den geheimen Schlüssel nicht hat, kann sie nicht lesen. Jetzt müssen nur noch die Schlüssel gut geschützt werden. Bei einer echten Ende-Zu-Ende Verschlüsselung, wie sie beispielsweise von WhatsApp oder Skype genutzt wird, kann ein Datensatz nur genau von der Person entschlüsselt werden, an die der Datensatz adressiert ist. Keine andere Person, Admin oder Regierung kann die Daten entschlüsseln, weil sie die nötigen Schlüssel nicht haben. In den letzten Jahren sind die dafür nötigen kryptographischen Routinen sogar nativ in unsere Browser eingebaut worden. Das W3C hat mit der Web Crypto API jede Web-App dazu befähigt, Daten zu verschlüsseln und wieder zu entschlüsseln. Es ist nicht mehr nötig, dazu eine eigene Software zu installieren.

Und dank dieser Verschlüsselung können wir unseren Kunden einen Sicherheitsstandard implementieren, der erstens die Gesetze berücksichtigt und zweitens Daten mit maximaler kryptographischer Sicherheit schützt.

Demo

Hier ist ein Beispiel für eine verschlüsselte Nachricht:

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

Diese Nachricht ist mit den Verfahren Salsa20 (stream cipher developed by Daniel J. Bernstein) und Poly1305 (cryptographic message authentication code (MAC) created by Daniel J. Bernstein.) verschlüsselt worden. Diese Verfahren sind nicht Teil der Web Crypto API sondern können über die NACL-Bibliothek eingesetzt werden. Um die obige Nachricht zu entschlüsseln, kann die Beispielseite https://tweetnacl.js.org/#/secretbox verwendet werden. Dort dann der Cipher-Text in das Box-Feld kopiert werden. Gleichzeitig müssen auch noch folgende Nonce und folgender Schlüssel kopiert werden. Der Schlüssel müsste natürlich geheim gehalten werden.

Nonce
BjPvjG2ibzqnTayXhNCtxxo5J7t72Qfi

Schlüssel
8qsjT9mNMwXUEpkthvPP3JZPhwEuwg077sJV+IikwSo=

Kaufen oder selber machen?

Entwicklungsteams stehen regelmäßig vor der Frage, ob ein Stück Software eingekauft oder selbst gemacht werden sollte. Diese Frage stellt sich sogar nicht nur Softwareentwicklern sondern jedem Menschen. Mache ich etwas selbst oder lasse ich es einen Experten machen? Bin ich der Experte oder ist der andere der Experte? Investiere ich Zeit und spare Geld oder investiere ich Geld und spare Zeit? Soziologie und die eigene Weltanschauung spielen bei der Beantwortung dieser Fragen und bei Entscheidungen eine große Rolle.

Um in der Welt der Softwareentwicklung zu bleiben, ist hier ein kleines Beispiel. Es geht um ein Web-Template. Es kann entweder ein fertiges Template gekauft werden oder man kann das Template selber bauen. Zunächst können einmal die Vor- und Nachteile beider Alternativen gegenübergestellt werden.

Kaufen

Vorteile

  • Das Template ist bereits fertig und kann sofort verwendet werden. Bei Bedarf kann es noch ein wenig angepasst werden, aber es ist bereits vollständig und umfangreich.
  • Das Template ist professionell gestaltet. Design, Layout und Look & Feel sind konsequent und kongruent.

Nachteile

  • Manche Komponenten sind nicht gut genug. Es gibt bessere Lösungen für Inputs, Tabellen und Charts.
  • Das Template ist schwergewichtig. Es enthält viele Komponenten und Funktionen, die gar nicht gebraucht werden.

Selber bauen

Vorteile

  • Ein eigenes Template ist maximal flexibel. Es können beliebige Komponenten verwendet werden.
  • Ein eigenes Template ist leichtgewichtig. Es enthält nur genau die Funktionen und Komponenten, die benötigt werden.

Nachteile

  • Ein eigenes Template muss erstmal entwickelt werden. Es entsteht Basisaufwand, der leicht unterschätzt wird.
  • Ein eigenes Template ist lange unvollständig. Vor allem wenn die Lösung in Design, Layout, Responsiveness und Look & Feel vergleichbar sein soll.

In dieser Gegenüberstellung kann der Begriff “Template” durch “Lösung” ersetzen werden. Das Schema bleibt gleich.

Eigene Meinung

Um maximal produktiv zu sein, würde ich jederzeit Geld in Zeit eintauschen. Um Zeit zu sparen bin ich bereit Geld zu investieren. Natürlich muss der Preis verhältnismäßig sein, aber darum geht es hier nicht. Die Nachteile einer gekauften Lösung sind schnell kompensiert. Unzulängliche Komponenten können durch bessere ersetzt werden. Nicht verwendete Funktionen können entfernt und das Template somit leichtgewichtiger gemacht werden. Diese Anpassungen sind unkompliziert und schnell. Es war schon immer leichter Dinge wegzulassen, als sie neu zu schreiben. Dadurch werden die Vorteile der Eigenentwicklung relativiert.

Wir sollten anfangen, an unseren USPs zu arbeiten statt uns an 0815-Basisentwicklung aufzuhalten. Wir neigen schnell dazu alles selber machen zu wollen. Manche Dinge müssen leider aus technischen, fachlichen und rechtlichen Gründen selbst gemacht werden. Da können dann keine fertigen Lösungen verwendet werden. Aber es gibt auch viele andere Dinge, bei denen von fertigen Lösungen profitiert werden könnte. Oft wird dort dann allerdings auch gerne auf den Produktivitäts-Boost verzichtet und die Lösung ebenfalls selbst gebaut.
Das ist das klassische Not Invented Here Syndrome. Man glaubt, dass die Eigenentwicklung besser, kontrollierter und schneller erfolgt als die bestehende. Verhaltensforscher führen viele Gründe für die Abneigung gegenüber Bestehendem an. Die prominentesten Gründe sind Mangel an Verständnis der bestehende Lösung und die Unwilligkeit, die Arbeit anderer anzuerkennen oder zu schätzen. Leslie Hannah führt dieses soziale Phänomen sogar auf eine Form des Tribalismus zurück.

Entscheidung

Am Ende des Tages steht eine Entscheidung. Entscheidungen müssen uns in die Lage versetzen, schnell und gut handeln zu können. Natürlich können wir alles mögliche entscheiden, aber wenn wir das Entschiedene nicht umsetzen können, ist die Entscheidung hinderlich und lähmend. Die Entscheidung “Kaufen” oder “Selber bauen” kann also nicht sinnvoll von oben entschieden werden. Deswegen müssen diejenigen, die viel mit dem Ergebnis arbeiten werden, auch aktiv mitentscheiden. Diejenigen, die wenig oder gar nicht mit dem Ergebnis arbeiten, dürfen auch nur wenig mitentscheiden. Was aber sehr wohl vorgegeben werden kann, sind Anforderungen und Budget. In diesem Kontext ist es dann die Verantwortung der Entwickler, die Ressourcen nicht zu verschwenden und die beste technische Lösung zu finden.

STP LabsDay 2018

Innovation wird heutzutage sehr groß geschrieben und deswegen veranstaltet STP regelmäßg den STP LabsDay. Am vergangenen Donnerstag und Freitag (26. und 27. April 2018) habe ich wieder an diesem internen 24h-Hackathon teilgenommen. Während der Arbeitszeit haben wir an diesen zwei Tagen die Gelegenheit, eine neue Idee auszuprobieren. STP übernimmt an beiden Tagen komplett die Verpflegung und Marketing hat uns wieder mit einem stylischen Geschenk überrascht. Beste Voraussetzungen für zwei Tage Innovationsarbeit.

Aktuell beschäftigt mich das Thema “Intelligent Cloud & Intelligent Edge”, sodass ich in diesem Jahr unbedingt etwas mit Cloud und Web machen wollte. Aber nicht einfach nur das nächste Angular oder Aurelia Projekt. Ich wollte Bleeding Edge Web Technologien ausprobieren. Es musste also unbedingt eine Progressive Web App sein, am besten in Verbindung mit Push Notifications. Ein Use Case ist mir auch sofort eingefallen: Kundenbenachrichtigung, egal ob der Kunde ein Gläubiger oder ein anderer Mandant ist. Das Projekt Mandate Updates hatte begonnen. Glücklicherweise konnte ich einen meiner Kollegen für dieses Szenario und die erwähnten Technologien begeistern und somit einen Partner für mein LabsDay-Projekt gewinnen. Es gibt nämlich nur eine einzige LabsDay-Regel: man muss mindestens zu zweit sein.

Am Donnerstag um 11 Uhr ging es endlich los. Nachdem wir uns über den Umfang des Projekts im Klaren waren, haben wir uns aufgeteilt. Mein Kollege hat sich auf das mit Azure Active Directory gesicherte Backend in Form einer ASP.NET Core 2 Web API gestürtzt, während ich versuchte, den PushManager mit dem ServerWorker zu verbinden. Der Anfang fiel uns beiden leicht und wir kamen gut voran. Nachmittags konnte unsere PWA sich bereits auf Datenänderungen im Backend registrieren und wurde asychron benachrichtigt, wenn eine solche Datenänderung stattgefunden hatte. Die erste angezeigte Toast Push Notification war etwas ganz besonderes für mich. Wir brauchten nichts installieren und die Seite musste noch nicht einmal offen sein und wir wurden trotzdem asynchron informiert. Super. Jetzt hatten wir allerdings die ersten Schwierigkeiten. Solange die Seite offen ist, wollten wir keine Toast Notification sehen, sondern die Seite soll sich einfach aktualisieren. Ungefähr drei Stunden und 20 Zeilen ServiceWorker-JavaScript-Code später hatten wir das Problem gelöst. Danach wollten wir das bis jetzt noch unabhängige System in unser ERP-System LEXolution.KMS integrieren. Glücklicherweise hatte ich vor ein paar Monaten LEXolution.KMS bereits in die Cloud portiert und als KMSX mit Azure Active Directory Authentication gehostet. Mit Azure Active Directory konnten wir uns also an KMSX anmelden und ebenfalls ein JWT Access Token für unsere Mandate Updates API erhalten. Bis spät in die Nacht haben wir KMSX um die Mandate Updates Funktion erweitert. Sobald der Sachbearbeiter jetzt in LEXolution.KMS bei der Akte einen Text hinterlegt, wird dieser automatisch in alle Browser gepusht, die sich im Vorfeld für Benachrichtigungen bei dieser Akte registriert hatten. Dafür kann der Sachbearbeiter zu jeder Akte eine eindeutige URL ermitteln, die der Mandant im Browser besuchen und dort sämtliche Benachrichtigungen zu dieser Akte einsehen kann. Kommen neue Benachrichtigungen hinzu, wird die Seite automatisch aktualisiert oder es wird eine Toast Notification gezeigt. Nach einem Klick auf diese Notification kann der Mandant wieder direkt alle Akten-Benachrichtigungen sehen. Wir hatten es geschafft, unser Szenario war implementiert.

Am nächsten Morgen habe ich meinen Kollegen bereits in der Bahn getroffen. Dort konnten wir uns im Rahmen eines Daily Scrums direkt abstimmen, ohne wertvolle Präsentationsvorbereitungszeit zu verlieren. Wieder im Büro angekommen hatten wir noch vier Stunden Zeit, bis wir unser Projekt präsentieren würden. Zuallererst haben wir nochmal unsere Push Notifications getestet und zwar mit dem Handy meines Kollegen. Es funktionierte alles hervorragend. Obwohl alle Anwendungen auf seinem Smartphone geschlossen waren, wurde meine KMSX-Aktenänderung direkt in Form einer Push Notification auf seinem Handy anzeigt. Anschließend widmete sich mein Kollege der Integration von Mandate Updates in ein weiteres Software System der STP. Ich fing an die Präsentation vorzubereiten und die Demo zu planen. Plötzlich funktionierten meine Push Notifications nicht mehr. Sie wurden einfach nicht mehr angezeigt, sobald ich den Browser geschlossen hatte. Nach einiger Zeit habe ich dann bei einer Internet Recherche herausgefunden, dass Push Notifications nicht mehr dispatched werden können, wenn alle Browser-Fenster geschlossen sind. Wahrscheinlich hatte ich bei allen vorherigen Versuchen irgendwo noch ein Chrome-Fenster im Hintergrund offen, sodass die Notifications verarbeitet werden konnten. Dieser Unterschied zwischen Desktop und Mobile ist wirklich bemerkenswert. Irgendwie haben wir es dann noch geschafft unsere Präsentation vorzubereiten und auch noch etwas Essen zu gehen.

Anschließend haben alle Teams ihre Ergebnisse präsentiert. STP hatte zu dieser Präsentation wieder einen Kunden und alle Vorstände eingeladen. Während der Präsentation gingen unsere Push Notifications anfänglich wieder nicht, wurden dann aber mit etwas Verspätung doch noch angezeigt. Mandate Updates war ein voller Erfolg und wurde sogar mit dem Kundenpreis ausgezeichnet. Natürlich wird Mandate Updates mit asynchronen Push Notifications die Kommunikation mit Telefon und E-Mail nicht ablösen, aber es erweitert diese. Mit Mandate Updates bekommen Sie einen neuen Kanal zu Ihren Mandanten.

Mein Kollege und ich hatten viel Spaß bei der Umsetzung und wir haben beide eine Menge gelernt. Ich bin mir sicher, dass alle Teams eine Menge gelernt haben. Herzlichen Glückwunsch auch an 1nicerUploader und Time Rocket, die den “leider geil”- und den Vorstands-Preis gewonnen haben. Sieben Teams sind insgesamt gestartet und auch wenn nur drei Teams mit einem Preis ausgezeichnet werden konnten, alle STP-LabsDay-2018-Projekte haben die gesamte Firma deutlich motiviert und inspiriert. Ein großartiges Event!

Pair Programming Compatibility

Vor einiger Zeit habe ich über einige nachteilige Effekte beim Pair Programming geschrieben. Dabei habe ich verschiedene Symptome, Personas und Verbesserungsmöglichkeiten vorgestellt.
Trotzdem hat mich Pair Programming weiterhin beschäftigt. Ich bin das Gefühl nicht losgeworden, noch nicht genug über diese Form der Zusammenarbeit gelernt zu haben. Also habe ich wieder viele Pairs beobachtet und meine Beobachtungen mit Kollegen und Freunden diskutiert. Ich habe versucht echte Indikatoren für erfolgreiche oder problematische Pair Programming Konstellationen zu finden. Im Laufe des Jahres sind mir einige zusammenhängende Faktoren und Muster immer wieder aufgefallen, die ich im folgenden beschreiben möchte. Das hier ist das Pair Programming Compatibility-Modell.

Manchmal läuft Pair Programming richtig gut und manchmal klappt es überhaupt nicht. Das eine Mal ist es sehr hilfreich zu zweit zu arbeiten und man ist richtig produktiv. Ein anderes Mal ist es ganz anders und sehr anstrengend. Jeder, der öfters im Pair arbeitet, kennt das. Doch warum kommt uns Pair Programming in manchen Situationen effektiver vor als in anderen?
Meines Erachtens kann das auf drei Aspekte reduziert werden, die ich im folgenden Schaubild als Dimensionen dargestellt habe: Leicht-Schwer, Homogen-Heterogen, Monoton-Kreativ. Nach meiner Erfahrung ist Pair Programming sehr effektiv, wenn sich Aufgabe, Team und Vorgehen jeweils in der Mitte dieser Spektren, also in Balance, befinden (grüne Zonen). Sobald sich eine Dimension einem Extrempunkt annähert, merken die Beteiligten recht schnell, dass etwas nicht ganz stimmig ist und Pair Programming irgendwie nicht funktioniert (rote Zonen). Natürlich kann man dann auch Pair Programming machen, aber meiner Meinung nach überwiegen dann die negativen Effekte, die dem Unternehmen schaden.

Die erste Dimension bezieht sich auf die Aufgabe oder Anforderung. Ist diese sehr leicht, könnte ein einzelner Entwickler die Aufgabe wegen geringer Fehleranfälligkeit genauso gut aber wesentlich schneller lösen. Ist die Aufgabe auf der anderen Seite sehr schwer, ist erhöhte Konzentration und Ruhe nötig, die Entwickler meistens nur alleine finden.

Die zweite Dimension bezieht sich auf das Team, also die zwei Entwickler, die zusammen Pair Programming machen. In einem sehr homogenen Team bleiben hilfreiche Ideen und Impulse eines Andersdenkenden aus und soziales Faulenzen entsteht. In einem sehr heterogenen Team besteht viel Erklärungsbedarf und es entstehen viele Diskussionen, die Zeit und Energie kosten.

Die dritte Dimension bezieht sich auf die Umsetzung der Aufgabe durch das Team. Wenn es sich dabei um eine sehr monotone Tätigkeit handelt, gibt es wenig Potential für Verbesserung. Die Tätigkeit kann dann schneller alleine realisiert werden. Wird auf der anderen Seite sehr kreativ gearbeitet, müssen oft viele verschiedene Dinge überlegt, recherchiert und ausprobiert werden, was zu zweit eher hinderlich ist.

Wenn Aufgabe, Team und Vorgehen sich um die Mittelpunkte der erwähnten Aspekte bewegen, ist Pair Programming meiner Meinung nach optimal geeignet. Im oberen Schaubild wäre das die Überlagerung der grünen Zonen, die im dreidimensionalen Raum eine Kugel bilden. In diesem Bereich wollen wir arbeiten. Wenn die Aufgabe aber sehr einfach, das Team sehr homogen und das Vorgehen sehr monoton ist, ist Pair Programming meines Erachtens Verschwendung von Entwicklungsenergie. Willkommen in der Zone der Verschwendung.
Wenn die Aufgabe sehr schwer, das Team sehr heterogen und das Vorgehen sehr kreativ ist, dann ist Pair Programming nach meiner Erfahrung hinderlich, störend und bremst Lösungsfindungen zu stark aus. Willkommen in der Zone der gegenseitigen Behinderung.

Man rechnet ja gerne mit der doppelten Bearbeitungszeit im Worst Case, wenn man eine Aufgabe zu zweit bearbeitet. In der Zone der Verschwendung ist das auch so. In der Zone der gegenseitigen Behinderung kommt zu der doppelten Zeit durch zwei Bearbeiter noch der Effekt dazu, dass die Arbeit durch gegenseitige Behinderung ja auch noch langsamer erfolgt. Und wenn die Bearbeitung dann nur noch halb so schnell erfolgt, dann dauert sie doppelt so lange. Es wird also im Durchschnitt die vierfache Zeit gebraucht. Die Implementierung wird aber nur marginal besser. Das danach eine vergleichbare Aufgabe bearbeitet werden muss, die auch parallel hätte bearbeitet werden können, verdoppelt die Durchlaufzeit nochmal.

Nachteile vs. Vorteile

Es gibt natürlich viele Gründe, warum man Pair Programming macht. Mehr Qualität, man lernt dazu, man fühlt sich nicht so einsam bei der Arbeit oder weiß nicht an was man arbeiten soll. Alle diese Gründe sind gut und wichtig, aber nicht alle sind in einem professionellen Umfeld auch angemessen. Um das Ziel, das hinter diesen Gründen steht, zu erreichen, müssen bestimmte Voraussetzungen erfüllt sein. Qualität ist wichtig, aber nach meiner Erfahrung arbeitet nicht jedes Pair qualitativer. Nur Pairs, die sich gegenseitig ergänzen und ersetzen können, also nicht zu homogen und nicht zu heterogen sind, erreichen gemeinsam mehr. Zu ungleiche oder zu gleiche Pairs erreichen sogar eher das Gegenteil. Genau wie die Leistungsfähigkeit nimmt auch die Konzentrationsbereitschaft im Team durch Social Loafing ab, sodass komplizierte Aufgaben nicht geeignet umgesetzt werden können. Lernen ist auch sehr wichtig und wenn es nur um Know-How-Transfer gehen würde, wäre das auch kein Problem. Aber es geht ja noch um viel mehr: Guten Code, Inhalte, Funktionen und Termine einhalten. Know-How-Transfer durch Pair Programming ist möglich aber nach meiner Erfahrung ineffizient und uneffektiv. Es gibt didaktisch sinnvollere Methoden um zu lernen, wie beispielsweise Coding Dojos und Supervised Learning. Wenn man dennoch mit Pair Programming lernen will, müsste man konsequenterweise Themen-spezifisch pairen: Für Domänen-Know-How mit Domänen-Experten, für Architektur-Know-How Pairing mit den Architekten und für Coding-Know-How mit den Entwicklern. Je ungleicher die Wissensstände der Personen sind, desto mehr lernt die Person beim Pair Programming auf Kosten der anderen Vorteile von Pair Programming, was die Umsetzung hindert und in der Regel zu schlechteren Lösungen und längerer Bearbeitung führt.

Die negativen Effekte von Pair Programming in den roten Zonen, wie beispielsweise wenig Konzentration, anstrengende Diskussionen, soziales Faulenzen und vierfache Bearbeitungszeiten, sind nicht zu unterschätzen. Deswegen müssen wir lernen zu erkennen, ob wir uns gerade in der Zone der Verschwendung oder in der Zone der gegenseitigen Behinderung befinden. Wenn wir uns in einer dieser roten Zonen wiederfinden, ist es unsere Verantwortung als professionelle Entwickler gegenzusteuern und Pair Programming vielleicht sogar abzubrechen. Weiterhin ist es eine große Gefahr, sich an Pair Programming zu gewöhnen, da uns die beschriebenen Zonen nicht mehr auffallen oder, noch schlimmer, egal werden. Abhängig von Aufgabe, Team und Vorgehen macht manchmal Pair Programming und manchmal alleine arbeiten Sinn. Wenn wir dann zu zweit arbeiten hilft uns das Wissen über die Zonen des Pair Programming Compatibility-Modells um Effizienz- und Effektivitätsverluste rechtzeitig zu erkennen und auszugleichen.

 

Better Code Comprehension

It has been over two years, since I explained, why underscores in method names increase developer productivity. Many coding guidelines didn’t improve in this regard but what did improve are the tools that help us to overcome those corporate decision making shortcomings.

Why should we care? We all know how important methods are. Along namespaces and classes they give code high level structure. For me the name of a method is the most important part. The name communicates to me what the method does, and why it is there. Based on that information I decide whether I want to read the method body or not. If I can read method names faster, I can decide faster and become faster overall when working with code.

A few years ago I started my research on how IDEs can support us when it comes to reading code faster. Today I want to share with you two tools that I have been developing that do exactly that: allow me to comprehend code twice as fast.

The first tool is MethodsBigger and it increases the font size of a method definition a little so that the method name stands out like a heading.

The second tool is MethodsReadable and it inserts a little whitespace into a CamelCase method name so that our eyes find more fix points to jump to in order to scan the words.

Both tools combined provide a powerful support mechanism for reading code faster. Methods are more easily recognizable and their names are read almost automatically. Especially when coding on a high speed level.

The source code of these Visual Studio Extensions can be downloaded at my GitHub repository. Feel free to provide feedback and let me know if you find yourself getting more efficient.

STP LabsDay 2017

Am vergangenen Donnerstag und Freitag (6. und 7. April 2017) habe ich wieder am STP LabsDay teilgenommen. STP veranstaltet diesen firmeninternen 24h-Hackathon jährlich und es ist jedesmal eine perfekte Gelegenheit während der Arbeitszeit eine neue Idee auszuprobieren. Dieses Jahr hat unsere Marketing-Abteilung alle Teilnehmer mit einem schicken Polo-Shirt und einem coolen Bluetooth-Kopfhörer ausgestattet. Außerdem übernimmt STP die komplette Verpflegung an beiden Tagen. Beste Voraussetzungen für zwei Tage Innovationsarbeit.

Schon im Herbst letzten Jahres hatte ich RethinkDB auf meine ToDo-Liste gesetzt aber seit dem nicht die Zeit gefunden, mich mit dieser Datenbank zu beschäftigen. Das Interessante an RethinkDB ist, dass diese Datenbank nicht nach Änderungen gefragt werden muss, sondern diese direkt in die Clients pushen kann. Ein ziemlich coole Sache, die die Entwicklung von echtzeitfähigen Anwendungen unterstützt. Also habe ich mit einem Kollegen aus meinem Team am STP LabsDay teilgenommen. Im Rahmen unseres Projekts wollten wir Daten, die in LEXolution.KMS entstehen, also der Software, die wir täglich entwickeln, in Echtzeit im Browser anzeigen. “Echtzeit KMS-Logs im Browser” war unser Arbeitstitel.

Am Donnerstag um 11 Uhr ging es los. Nachdem wir uns über den Umfang des Projekts im Klaren waren, hat mein Teamkollege sich der Erweiterung von KMS angenommen, während ich mich in RethinkDB-Tutorials gestürzt habe. Dank Docker hatte ich ohne Aufwand eine RethinkDB-Testumgebung zur Verfügung. Da wir noch nicht wussten wie und welche Daten wir aus KMS in die RethinkDB schreiben müssen, hat mein Kollege KMS so erweitert, dass beliebige Datenquellen und Datensenken angebunden werde können, ohne dass KMS selbst angepasst werden muss. Dadurch hatten wir eine perfekte Entkopplung auf fachlicher, technischer und zeitlicher Ebene. Er war um ca 16 Uhr fertig. Bei mir lief es nicht so gut. Zwar hatte ich ein gutes Verständnis von RethinkDB aufgebaut aber schnell gemerkt, dass es die Änderungen nicht ohne Weiteres in Browser-Clients pushen kann. Für die asynchrone Kommunikation über das Web müsste entweder eine Menge Websocket-Code programmiert oder die RethinkDB-Erweiterung Horizon eingesetzt werden. Also habe ich noch Horizon lernen müssen. Horizon ermöglicht die Entwicklung von echtzeitfähigen Web-Apps auf eine Art und Weise, die mich sehr an Meteor erinnert. Mit Horizon habe ich dann einen Webserver entwickelt, der meine RethinkDB mit einem Browser-Frontend verknüpft. In der Vergangenheit habe ich viel mit Aurelia gearbeitet, sodass ich auch hier gerne Aurelia eingesetzt hätte um eine hübsche Oberflächliche im Browser zu gestalten. Leider waren alle Horizon-Beispiele entweder in Angular oder React. Von Angular halte ich nicht viel, also habe ich auch noch React gelernt. Der ReactComponent.render-Ansatz hat mich sehr an Control.OnPaint erinnert. Schließlich hatte ich eine echtzeitfähige React-App, die über Horizon mit der RethinkDB kommunizieren konnte. Neue Einträge in der Datenbank erschienen automatisch im Browser. Endlich. Mittlerweile war es 20 Uhr und alle LabsDay-Teams haben sich zum gemeinsamen Abendessen im Besprechungsraum getroffen.

Nach dem Essen habe ich mir das Speichern der Events, die in KMS passieren, in der RethinkDB vorgenommen. Mein Teamkollege hatte nach seinem Erfolgserlebnis seinen KMS-Agenten mittlerweile sogar dokumentiert. Für die Kommunikation zwischen seinem Endpunkt und meiner RethinkDB habe ich einen Message Bus als Infrastruktur-Komponente mit EasyNetQ auf RabbitMQ installiert, den Labs Service Bus. Jetzt brauchte ich nur noch eine Komponente, die auf die Events wartet, die der KMS-Agent im Auftrag von KMS auf dem Bus veröffentlicht und diese dann in die RethinkDB einfügt. Dazu habe ich in der Solution des KMS-Agenten pro Event eine Assembly mit dem .NET Standard 1.4 und jeweils einer Klasse “Message” angelegt. Diese Messages, Akte angelegt und Zeiteintrag erfasst, gehören logisch dem KMS-Agenten, der KMS am Labs Service Bus vertritt. In meiner Komponente, die auf diese Events hören soll, habe ich diese .NET Standard-Assemblies referenziert und entsprechende Event Handler implementiert. Zum ersten Mal konnte ich jetzt in KMS einen Zeiteintrag erfassen und augenblicklich erschien in meiner React-App die Zeile “5 Stunden Aktendurchsicht erfasst”. In diesem Moment hatte ich eine Idee für einen Namen für meine App. Meine Vision war es alle Vorgänge und Aktivitäten innerhalb einer Kanzlei im Echtzeit hier anzuzeigen. In einer aktiven Kanzlei würden dann ganz viele verschiedene Ereignisse durch den Browser scrollen. Ich würde den Herzschlag der Kanzlei visualisieren: LEXolution.Pulse war geboren.

Mittlerweile war es kurz vor 23 Uhr und ich war ziemlich müde. Nachdem ich noch Icons und ein Logo eingebaut hatte, fuhr ich nach Hause. Auf dem Heimweg sind mir dann noch viele andere KMS-Aktionen eingefallen, die ich auch noch anzeigen wollte. In dieser Nacht habe ich schlecht geschlafen, wahrscheinlich vor Aufregung.

Am nächsten Morgen bin ich wie gewohnt ins Fitnessstudio gefahren und habe den Tag in Gedanken durchgeplant. Ich würde noch genug Zeit haben, weitere KMS-Vorgänge zu visualisieren. Als ich dann im Büro angekommen war, war mein Teamkollege bereits da. Wir hatten bis um 11 Uhr Zeit, da ab diesem Zeitpunkt der Hackathon endet und die Präsentationsvorbereitung beginnt. Nachdem ich unser verteiltes System wieder in Betrieb genommen hatte, habe ich es geschafft noch zwei weitere KMS-Aktionen in LEXolution.Pulse zu visualisieren: Rechnung abgeschloßen und Zahlungseingang gebucht. Just in time.

Anschließend haben wir unsere Präsentation vorbereitet und um 13 Uhr mit allen LabsDay Teams zur Ergebnispräsentation getroffen. Bei der Präsentation waren Interessenten aus allen Abteilungen, unsere Vorstände und sogar ein Kunde anwesend. Unsere Präsentation verlief sehr gut. Die der anderen Teams auch. Es ist immer wieder erstaunlich zu sehen, was innerhalb von 24 Stunden umgesetzt werden kann. Nachdem alle Teams präsentiert hatten, wurden wieder die drei Preise verliehen. Eigentlich geht es ja nicht um Preise, sondern um unsere Idee und das Ausprobieren von neuen Technologien. Obwohl alle Teams beeindruckende Ergebnisse präsentiert haben, würden zwei ohne Preis nachhause gehen. Leider wurde unser Projekt dieses Jahr nicht mit einem Preis ausgezeichnet. LEXolution.Pulse wurde zwar sehr gelobt, aber die Preise gingen an LEXolution.RenoJane, Abonnieren mit PayPal und DMS-Importer-Android-App. Herzlichen Glückwunsch an meine Kollegen aus diesen Teams. Eure tollen Projekte haben die Preise wirklich verdient.

Mein Teamkollege und ich sind trotzdem sehr stolz auf LEXolution.Pulse. Wir hatten viel Spaß und konnten während der Arbeitszeit an einer eigenen Idee arbeiten. Ich habe gehört, Google Mail wäre auch so entstanden. Für mich war der LabsDay ein voller Erfolg. Ich konnte Erfahrung mit RethinkDB, Horizon, React und .NET Standard sammeln und habe viel gelernt. Wie auch immer es jetzt mit LEXolution.Pulse weitergeht, ich bin mir sicher, dass der STP LabsDay 2017 und seine großartigen Projekte unsere gesamte Firma motiviert und inspiriert haben.

 

Abends zuhause war ich ziemlich erschöpft. Endlich konnte ich RethinkDB von meiner ToDo-Liste streichen. Der nächste Punkt ist…

Die größte Herausforderung unserer Zeit

Wenn ich Sie jetzt fragen würde “Was ist die größte Herausforderung unserer Zeit?”, was würden Sie antworten? Wahrscheinlich beschäftigen wir uns alle mit den unterschiedlichsten Dingen. Wir setzen wahrscheinlich auch alle unterschiedliche Schwerpunkte und Prioritäten in unserem Leben. Aber ich glaube ein Thema ist dabei besonders wichtig. Je nachdem wie erfolgreich wir uns mit diesem Thema auseinandersetzen bestimmt, wie viel Erfolg, Freude und Erfüllung wir erleben. Ich habe mir die eingangs gestellte Frage auch gestellt und beantwortet: Ich bin der Meinung, die größte Herausforderung unserer Zeit ist,

wie wir unsere Zeit einteilen, um eine gute Balance zwischen
Arbeit, Hobbies, Familie & Freunde und Gesundheit zu finden.

Vielleicht erinnern diese Punkte uns an die fünf Grundbedürfnisse, insbesondere an physiologische, soziale und individuelle Bedürfnisse. Aber während da der Fokus auf was uns wichtig ist und was wir brauchen liegt, geht es bei den vier genannten Kategorien um wo wir Zeit investieren müssen. Unsere Bedürfnisse bestimmen diese Punkte und priorisieren sie. Wenn wir uns dann mit den genannten Aspekten beschäftigen, tragen wir zu der Befriedigung unserer Bedürfnisse bei.

Es gibt Dinge, die nicht eindeutig einer Kategorie zugeordnet werden können, oder die alle Kategorien betreffen. Hier soll es aber eher um die Punkte gehen, die gegenseitig um unsere Zeit konkurieren. Um zwischen diesen eine Balance zu finden, müssen wir die uns zur Verfügung stehende Zeit einteilen. Unsere Tage haben 24 Stunden. In einer Woche arbeiten wir in der Regel 5 Tage und haben dann 2 Tage Wochenende. Was machen wir damit? Ein einfaches Rechenbeispiel könnte so aussehen:

168 Stunden pro Woche
– 56 Stunden schlafen (7 * 8 Stunden)
– 3 Stunden Sport (3 * 1 Stunden)
– 7 Stunden Körperhygiene (7 * 2 * 0.5 Stunden)
– 3.5 Stunden Frühstück (7 * 0.5 Stunden)
– 3.5 Stunden Abendessen (7 * 0.5 Stunden)
– 2 Stunden Mittagessen am Wochenende (2 * 1 Stunden)
– 40 Stunden im Büro (5 * 8 Stunden)
– 5 Stunden Mittagspause (5 * 1 Stunden)
– 5 Stunden Büro An- und Abfahrt (5 * 2 * 0.5 Stunden)
= 43 restliche Stunden für Mitmenschen und Hobbies

Ich könnte hier jetzt weiter rechnen und die bestehende Zeit noch auf Familie, Freunde und Hobbies aufteilen. Aber es geht mir hier nicht um ein Rezept für ein ausgeglichenes Leben. Ich glaube es gibt dafür kein allgemeines Rezept, zumindest kenne ich keins. Wenn wir eine Balance zwischen Arbeit, Hobbies, Familie & Freunde und Gesundheit erreichen wollen, müssen wir eine persönliche Zeitplanung für unser Leben vornehmen. Wenn wir es nicht tun und nicht versuchen unsere Zeit einzuteilen, dann werden eine oder mehrere Kategorien zu kurz kommen. Die darunter liegenden Bedürfnisse werden dann nicht befriedigt und wir werden zunehmend unglücklicher. Zeit ist unser bestes Werkzeug, deswegen lasst es uns weise nutzen.

Das ist die größte Herausforderung unserer Zeit.

 

Zeit ist das Element, in dem wir existieren. Wir werden entweder von ihr dahin getragen oder ertrinken in ihr.
~Joyce Carol Oates

 

 

The Dark Side of Pair Programming

Pair Programming bezeichnet das Entwickeln von Software zu zweit. Das hat laut [1] viele Vorteile: Die Qualität der Software wird verbessert, Fehler werden früh erkannt, man hat mehr Spaß an der Arbeit, Wissen verbreitet sich im gesamten Team und die Kommunikation im Team verbessert sich. Doch all das funktioniert nicht automatisch. Man bekommt diese Vorteile nicht automatisch wenn man zu zweit vor dem Computer sitzt. In [2] werden beispielsweise häufige Schwierigkeiten beim Pairing beschrieben.

Probleme

In diesem Blogpost möchte ich von meinen negativen Erfahrungen und Beobachtungen mit Pair Programming berichten. Zu jedem Punkt möchte ich auch Maßnahmen vorschlagen, die zu einer Verbesserung führen können.

  Zeit-intensiv

Pair Programming kostet Zeit. Das ist besonders bei heterogenen Pairs der Fall. Man bremst sich aus indem man erklärt und diskutiert. Viele Diskussionen neigen dazu abzudriften und zu längeren Grundsatzdiskussionen zu werden. Das ist sehr frustrierend, weil man beschäftigt sich viel mit sich selbst und mit Meinungen, statt mit den Problemen, die man eigentlich lösen will.
Mitigation: Man sollte größere Diskussionen verschieben und besser in der Retrospektive diskutieren. Außerdem könnte man versuchen homogenere Pairs zu bilden. Man könnte hier auch einen dritten Programmierer dazu nehmen (Mob Programming [3]), nicht um mitzudiskutieren, sondern um schonmal weiter arbeiten zu können, während zwei sich zum diskutieren ausklinken.

  Kontext-Switches

Wenn beide Pairing Partner kreativ sind, haben auch beide viele Ideen, die sie ausprobieren wollen. Besonders wenn einer von der Idee des anderen nicht überzeugt ist, aber keine Gegenargumente hat und auch keine Diskussion anfangen möchte, wird er die Idee ausprobieren lassen. Oder wenn einer googeln und der andere dekompilieren will. Das Ausprobieren einer eigenen Idee muss in beiden Fällen dann erstmal warten. Man bremst sich auch hier wieder gegenseitig aus. Unterschiedliche Lösungsansätze können nicht gleichzeitig verfolgt werden sondern müssen synchronisiert werden. Das führt in kreativen Phasen zu viel teurem Hin und Her, weil man muss ja wieder reverten oder den Branch wechseln.
Mitigation: Man sollte in diesen Fällen einen zweiten Computer am selben Schreibtisch benutzen. Dann könnte das Ausprobieren von Ideen besser parallelisiert werden.

  Anstrengend

Durch Erklärungen, Diskussionen und Vorschläge steigt die Lautstärke im Büro. Das kann in Großraumbüros das Arbeiten anderer, auch Pairs, stören. Außerdem neigen Pairs dazu, sich gegenseitig unter Druck zu setzen, sodass sich beispielsweise keiner mehr traut kurz aufzustehen oder eine kreative Pause einzulegen. Ich finde es gut, das Pair Programming in vielen Fällen Prokrastination verhindert, aber schlecht, wenn man keine Zeit oder Ruhe mehr zum Nachdenken hat. Wenn einer sich tief reindenken will, wird das massiv erschwert, wenn der andere ihn durch den Code hetzt, erklärt und diskutiert.
Mitigation: Man sollte regelmäßige Pausen fest einplanen, zum Beispiel mit dem Pomodoro-Timer [4]. Zum Nachdenken könnte man sich auch kurzzeitig in ein anderes Büro zurückziehen.

  SOZIALE REIBUNG

Unterschiedliche Ansichten und Vorlieben führen häufig dazu, dass man sich gegenseitig kritisiert und verletzt. Das führt zu persönlichen Spannungen und häufig auch zu Kompromissen, mit denen keiner richtig zufrieden ist. Man hat dann den Eindruck, beide Pairing Partner würden in unterschiedliche Richtungen ziehen. Und wenn man erstmal unglücklich ist, wird alles noch viel schlimmer.
Mitigation: Wir sollten uns neu bewusst machen, worum es eigentlich geht. Es geht um die Bedürfnisse und Interessen des Kunden und nicht um unsere eigenen. Das ist Kundenorientierung. Oft fehlt uns die richtige Perspektive, wenn wir über Code diskutieren und beleidigt sind, wenn er zu Recht oder zu Unrecht kritisiert wird. Wir sollten uns etwas weniger wichtig nehmen [5]. Dan North empfiehlt die emotionale Verbindung, die wir oft zu unserem Code haben, auf die Bedeutung der Software für die Nutzer zu verlagern [6].

Let’s care less about the beauty of the code and more on the impact on success and happiness of the users. Software is the means to the end. As little software as needed to get there.
~ Dan North

  Soziales Faulenzen

Laut Agile Alliance [2] ist das größte und häufigste Problem, dass Entwickler während der Pairing Sitzung nicht gleichermaßen engagiert arbeiten. Das kann dazu führen, das sich einer zurücklehnt, passiv wird und mit den Gedanken zunehmend woanders ist. Spätestens wenn er das Handy zückt hat er sich abgemeldet. Aber selbst wenn beide aktiv bleiben, gibt es einen Leistungsabfall der beteiligten Personen [7]. Sobald die Leistung des Einzelnen nicht mehr sichtbar ist, sondern nur noch die der Gruppe, sinkt die Leistung des Einzelnen in einer Zweiergruppe auf 93%. Je mehr Personen beteiligt sind, desto weniger investieren diese in die Erreichung des gemeinsamen Ziels und verlassen sich zunehmend auf die Gruppe. Verantwortung wird weniger übernommen, sodass man sich hinter Beschlüssen der Gruppe versteckt. Außerdem trifft die Gruppe risikoreichere Entscheidungen weil niemand die ganze Schuld trägt. Beim Pair Programming führt das dazu, dass beide Entwickler oberflächlicher arbeiten. Man fühlt eine trügersiche Sicherheit, da der andere die Lösung auch gut findet und keine Probleme sieht.
Mitigation: Um die Pairing Partner an gleichmäßiges Engagement zu erinnern, kann ein Tool wie der Pair Activity Monitor unterstützen. Das Tool stellt Tastatur- und Mausaktivität beider Pairing Partner gegenüber. Dadurch wird ein großer Teil der Leistung wieder sichtbar. Metriken wie Tastaturanschläge oder Lines Of Code sind zwar keine aussagekräftigen Indikatoren für Software-Qualität, aber sie eignen sich hervorragend um Leistungdifferenzen innerhalb eines Pairs zu visualisieren. Gute Ideen und gedankliche Leistung werden davon natürlich nicht berücksichtigt. Diese sollten explizit einer Person zugeschrieben und entsprechend erwähnt werden.

Personas

Neben den oben beschriebenen negativen Erfahrungen mit Pair Programming sind mir im Laufe der Zeit verschiedene immer wiederkehrende Verhaltensweisen aufgefallen. Auch bei mir selber. Diese Verhaltensweisen, die ich alle als störend empfinde, möchte ich hier in Form von Personas einmal zusammenfassen. Damit sind keine bestimmten Personen, sondern archetypische Charaktere gemeint.

  • Der Abgelenkte
    spielt mit dem Handy, ist gedanklich woanders und lenkt andere mit Fragen oder Geschichten ab.
    Mitigation: Driver-Navigator-Balance, stehend am Whiteboard denken/lösen
  • Der Zuschauer
    schaut einfach nur zu und sagt nichts. Hat auch keine Ideen und kein Interesse.
    Mitigation: Driver-Navigator-Balance, nach Meinung fragen, abholen wenn abgehängt
  • Der Neue
    kennt sich noch nicht gut aus, traut sich noch nicht zu sagen was er denkt. Er fragt lieber viel.
    Mitigation: Ego Suspension
  • Der Bedachte
    lässt sich viel Zeit, denkt mehr und schreibt weniger.
    Mitigation: am Whiteboard denken/lösen (Versuchung abzuhängen ist geringer)
  • Der Eigensinnige
    macht alles selbst und lässt niemanden an die Tastatur. Er entscheidet alleine oder hat schon entschieden.
    Mitigation: Driver-Navigator-Balance, zweiter PC, Ego Suspension, Vorhaben klar kommunizieren und erst dann coden
  • Der Lehrer
    redet viel und erklärt alles über-ausführlich.
    Mitigation: Verständnis äußern, weiter arbeiten, Ego Suspension
  • Der Wichtige
    wird andauernd von irgendjemand gefragt oder geholt. Er weiß viel und hat viel Erfahrung.
    Mitigation: geheimes Büro/Besprechungszimmer
  • Der Überzeugte
    beharrt auf seinem Standpunkt und seiner Sicht der Dinge. Es ist extrem schwer ihn zu überzeugen.
    Mitigation: Ego Suspension
  • Der Hetzer
    braucht keine Ruhe und scheucht den Partner durch den Code (“scroll nochmal nach oben”, “nochmal zurück”), obwohl der gerade etwas anderes nachsehen will. Besonders beim Debuggen.
    Mitigation: Driver-Navigator-Balance, Vorhaben klar kommunizieren und erst dann loslegen
  • Der Alternative
    raucht viel und duscht selten. Sein Tisch und seine Tastatur sind versifft. Er will immer an seinem PC pairen.
    Mitigation: zweiter PC, mehr Abstand

Auch ich erkenne mich von Zeit zu Zeit in einer der beschriebenen Personas wieder. Dabei ist es mir doch wichtig zu einem effizienten und produktiven Arbeitsumfeld beizutragen. Wir müssen uns immer wieder neu daran erinnern und versuchen, möglichst wenig soziale Reibung zu erzeugen und stattdessen gute und engagierte Pairing Partner sein.

Fazit

Gute und konstruktive Pairs sind nicht selbstverständlich. Ich habe einige Probleme und nachteilige Verhaltensweisen beschrieben, die die eingangs erwähnten Vorteile sehr schnell zunichtemachen. Wir müssen uns fragen: Bekommen wir die Vorteile wirklich? Wenn nicht, ist Pair Programming teure Zeit- und Energieverschwendung.

Wenn Pairs sich viel mit sich selbst beschäftigen, nicht gleichermaßen engagiert arbeiten oder die Effekte des sozialen Faulenzens deutlich werden, sollte sich etwas ändern. Und wenn es nicht möglich ist gute Pairs zu bilden, dann ist es sinnvoller nicht zu pairen. Da man die Vorteile nicht hat, gibt es auch keinen Grund mit angezogener Handbremse zu fahren. So ist man wenigstens schneller fertig. Wenn wir aber pairen, dann wollen wir gute Pairing Partner sein um gemeinsam mehr zu erreichen, als wir alleine erreicht hätten.

Don’t try to be right. Try to be helpful. Try to be useful.
~ James Wells

 

 

 

Links

[1] https://www.it-agile.de/wissen/agiles-engineering/pair-programming/
[2] https://www.agilealliance.org/glossary/pairing/
[3] http://mobprogramming.org/
[4] https://en.wikipedia.org/wiki/Pomodoro_Technique
[5] http://www.johnniland.com/suspension-of-ego/
[6] http://dotnetrocks.com/?show=1118
[7] https://en.wikipedia.org/wiki/Social_loafing