100% Coverage is Possible

It doesn’t tell us anything about what the programmers intended, what the user desired, or what the tester observed. It says nothing about the tester’s engagement with the testing; whether the tester was asleep or awake.

Quelle: 100% Coverage is Possible | Developsense Blog

Ich bin ja auch ein Gegner dieser Code-Coverage-Diskussion, schon immer, denn ein Programm läuft auf etwas (OS, Hardware) und mit etwas (Framework, Webserver, …) und niemals alleine. Was nützt es 100% Code abzudecken, wenn der im Kontext wieder mal nur 10% des Universums ausmacht? Genau – nichts! Michael Bolton beschreibt das m.E. sehr gut:

Here’s just one example: code coverage is usually described in terms of the code that we’ve written, or that we have available to evaluate. Yet every program we write interacts with some platform that might include third-party libraries, browsers, plug-ins, operating systems, file systems, firmware. Our code might interact with our own libraries that we haven’t instrumented this time. So “code coverage” refers to some code in the system, but not all the code in the system.

Codeabdeckung ist ein Indikator um zu schauen, ob die Entwicklung versucht hat selbst festzustellen, ob sie das richtige Stück Software entwickelt hat – so verklausuliere ich das für mich. Man kann das unterschiedlich versuchen, bspw. sagt man in einem Projekt das einem die Geschäftsprozesse wichtig sind und man schreibt für diese aufwendige Tests, damit die bei jeder Codeänderung nach wie vor wie gewünsccht funktionieren. Selbst wenn die Codeabdeckung dort 100% erreichen würde, so sind die Außeneinflüsse unberücksichtigt, aber man hat sich mal für einen Weg entschieden (<schmerzliche> Erfahrungen tragen oft auch dazu bei), da man so den Kunden immer glücklich machen konnte und wenig bis gar keine Rückläufer (Fehler) bekam. Darauf kommt es letztendlich an.

Es wird mir wohl immer ein Rätsel bleiben, warum Projektlenker sehr oft auf diese Metrik schauen, ohne zu sehen was dahinter steckt, denn kluge Köpfe haben es auch nicht geschafft und warten darauf, das es ihnen jemand sagt, wie es geht:

James Bach doesn’t know how to do it. Jerry Weinberg doesn’t know how to do it. Cem Kaner doesn’t know how to do it. Other than what I’ve said above, to my knowledge, no one knows how to do it. So, it would be up to the client to explain how they think I could do it.

Der Arktis droht ein Meereisverlust wie im Negativrekordjahr 2012 – AWI

Meereisphysiker des Alfred-Wegener-Institutes, Helmholtz-Zentrum für Polar- und Meeresforschung (AWI), erwarten für den Sommer 2016 ähnlich wenig Meereis im Arktischen Ozean wie im Negativrekordjahr 2012. Zu dieser Prognose kommen die Wissenschaftler, nachdem sie aktuelle Satellitendaten zur Dicke der Eisdecke ausgewertet haben. Diese zeigen zum einen, dass das arktische Meereis bereits im Sommer 2015 ausgesprochen dünn war. Zum anderen hat sich im zurückliegenden Winter besonders wenig neues Eis gebildet.

Quelle: Der Arktis droht ein Meereisverlust wie im Negativrekordjahr 2012 – AWI

Ich beobachte die Arbeit der „Mädels und Jungs aus Fischtown“ vom AWI schon sehr lange, da ich deren Arbeit für sehr wichtig halte, wenn uns die Natur etwas wert ist. Es wird einem leider sehr bewusst, das eben nicht alles gut ist.

Programmiersprache: Rust 1.8 steht bereit

Kampf gegen Cyberattacken und Terrorismus: Dänischer Geheimdienst will Hacker in Akademie ausbilden | shz.de

Das dänische Außenministerium zum Beispiel war einer sieben Monate andauernden Phishing-Attacke ausgesetzt. Die Webseite des Parlaments wurde im Dezember von sogenannten DDoS-Attacken (massenhafte Anfragen an eine Webseite) in die Knie gezwungen. Gründe genug für den dänischen Geheimdienst DDIS (Danish Defense Intelligence Service), eine Akademie für Hacker ins Leben zu rufen. Wie das Nachrichtenportal „qz.com“ berichtet, ist der Bedarf an Experten für Cybersicherheit im Königreich nebenan groß.

Quelle: Kampf gegen Cyberattacken und Terrorismus: Dänischer Geheimdienst will Hacker in Akademie ausbilden | shz.de

Liebe Dänen, lieber sh:z,

mit Hackern Phising- oder DDoS-Attacken zu verhindern ist irgendwie komisch, denn das sollten auch Sicherheits-Testerinnen und -Tester hinbekommen und professionelle IT-Leute, die es mit der Qualität und den nicht-funktionalen Anforderungen genau nehmen.

Phishing-Attacken verhindert man durch Erziehung der Menschen, die mit den Einganstoren (Web-Seiten, E-Mails) umgehen. DDoS-Attacken zu verhindern geht nicht, aber man kann Szenarien bauen, die diese erkennen, um auf einen robusteren Modus umzustellen.

Dafür braucht es ein gutes Handbuch.

53 Mio. SmartMeter – 1 Schlüssel – GCHQ verhindert Auslieferung

Meine Güte, manchmal freut man sich ja, das auch staatliche Unternehmen aufpassen. In England bspw. verhinderte das GCHQ das die Stromnetzbetreiber EINEN Schlüssel für 53 Millionen SmartMeter einsetzen…. ein Hacker, der den in die Finger bekäme, hätte ein Land schnell in Dunkelheit vesetzen können.

In Deutschland zumindest achten ein paar Menschen darauf, das solche Dinge auch in Gesetze gegossen werden:

Zudem sollte es ohne einen bewährten Nutzen sowohl mit Blick auf Verbraucherschutzinteressen als auch die Mechanismen der Energiewende zu keiner gesetzlichen Fixierung spezifischer Technologien des Smart Metering kommen.

Quelle: Newsletter 1/2016 Dr. Nina Scheer

Es besteht also noch Hoffnung, das wir nicht zwangsweise diese Dinger benutzen müssen, die im Roman Blackout ein ganz besondere Bedeutung hatten.

Ich bin ja dafür, das der Verbraucher selbst den Schlüssel in der Hand behalten sollte, wie auch heute schon jemand einen Schlüssel braucht um an unsere Ableser oder die Anlage selbst zu kommen.

HPE Cyber Risk Report 2016

Report reveals cybercriminals are smarter, more organized than everThe 96-page Hewlett Packard Enterprise Cyber Risk Report 2016 offers a broad view of the current threat landscape, ranging from industry-wide data to a focused look at different technologies, including open source, mobile, and the Internet of Things. The goal: Provide security information that leads to a better understanding of the threat landscape, and deliver resources you can use to minimize security risk.

Quelle: HPE Cyber Risk Report 2016