Connect with us

Разработка

12 кейсов, которые помогут разобраться с требованиями GDPR

Общий регламент по защите данных вступит в силу уже совсем скоро, и создателям приложений стоит к этому подготовиться. В этом могут помочь разные кейсы по использованию персональных данных, описанные в этой статье.

Анна Гуляева

Опубликовано

/

     
     

В этой статье вы найдете 12 связанных с GDPR полезных кейсов для владельцев приложений, product owner-ов и всех, кто желает разработать приложение. Вы также узнаете об основах GDPR и о том, что этот закон означает для владельцев приложений?

Основы GDPR

GDPR (Общий регламент по защите данных) — это европейский закон о защите данных и приватности. Его цель — дать людям полный контроль над своими персональными данными. Закон был принят 27 апреля 2016 года, и он вступит в силу 25 мая 2018. Этот день станет важным для многих компаний, так как означает значительные изменения по поводу приватности.

На кого распространится GDPR?

Граждане Евросоюза, а также Норвегии, Исландии и Лихтенштейна, станут субъектами GDPR, но закон значительно повлияет на все организации. Если вы владелец компании, которая обрабатывает данные граждан стран, которые попадают под действие закона, GDPR распространяется и на вас. Даже если ваша компания зарегистрирована в другом месте.

Как подготовиться к GDPR: 15 ключевых шагов

Определения

Давайте разберем несколько определений мира GDPR.

Контролер (или администратор) — физическое или юридическое лицо, которое использует данные для достижения бизнес-целей. В нашем случае это владелец приложения.

Обработчик данных — физическое или юридическое лицо, которое обрабатывает данные от имени контролера. Например, сторонние сервисы вроде Google, Amazon, Fabric, HockeyApp и другие. Иногда компании разработки на аутсорсе могут также считаться обработчиками данных.

Субъект данных — физическое лицо, данные которого обрабатываются. В нашем случае это пользователь приложения.

Офицер по защите данных — физическое лицо, которое помогает контролеру или обработчику с соответствием GDPR. Такой сотрудник требуется, если количество данных достаточно большое или эти данные чувствительные.

Административные штрафы

Контролер и обработчик могут подвергнуться административным штрафам, если они нарушают положения GDPR, даже непреднамеренно. Существует два вида штрафов.

  1. До 10 миллионов евро или 2% оборота предыдущего года (смотря что будет больше) — для контролера, обработчика, организации по контролю или сертификации, которые нарушают свои обязательства.
  2. До 20 миллионов евро или 4% оборота предыдущего года — для контролера, который нарушает принципы обработки персональных данных. Например, обрабатывает персональные данные без согласия пользователя, нарушает права субъектов данных или передает персональные данные не соответствующему GDPR получателю в другую страну.

Больше деталей о штрафах можно найти в статье 83 Регламента.

Что GDPR означает для владельцев приложений

Ещё никогда права пользователей приложений не защищались настолько полно. Поэтому мы должны по-новому взглянуть на планирование и разработку приложения, чтобы полностью соответствовать требованиям Регламента.

В законе нет точных и пошаговых правил. Он дает нам только список общих правил, о которых нужно помнить при создании программ. Поэтому мы можем ожидать, что правовой подход будет базироваться на прецедентах, которые произойдут в будущем и которые мы не можем предсказать сейчас. До первых судебных решений по этому вопросу мы можем только предполагать, какое направление примут финальные интерпретации закона судьями Евросоюза.

Вы должны помнить, что недостаточная безопасность персональных данных может привести к оттоку пользователей из приложения, а защита прав пользователей может стать дополнительным магнитом для клиентов. Поэтому подготовка к стандартам GDPR становится важной вещью для вашего бизнеса, которая может отразиться на будущих доходах.

Мы проанализировали несколько распространенных кейсов, связанных с обработкой персональных данных в разработке мобильных приложений и подготовили для вас несколько правил.

Примеры работы с GDPR

1. У меня есть доступ только к анонимным данным из приложения, например, ID установки или другим метрикам в аналитике Google или похожих инструментах. Что мне надо сделать, чтобы соответствовать GDPR?

Персональные данные — это любая информация о физическом лице или информация об этом человеке, которая дает вам способность идентифицировать его или её. Вы должны помнить об этом при планировании разработки приложения. Информация может вести к человеку напрямую или нет, важно то, есть ли у вас возможность при их помощи идентифицировать конкретного человека.

Если деанонимизация требует сил и ресурсов, непропорционально соотносящихся с полученной информаций, ваше решение соответствует GDPR.

2. У меня есть приложение, где люди могут создавать контент, то есть писать комментарии или переписываться. Они могут размещать там персональные данные. Имеет ли это значение в рамках GDPR?

Да, и это стоит принимать во внимание при разработке приложения, так как, согласно GDPR, у каждого пользователя есть право запросить удаление персональных данных, которые могут привести к его или её идентификации.

У вас нет влияния на то, что пользователи будут размещать персональные данные другого человека в приложении. Субъекты, чьи персональные данные были опубликованы без разрешения, должны иметь возможность связаться с вашим офицером по защите данных (или контролером). В таком случае они могут отправить запрос на удаление этих данных из вашей системы, и вы обязаны будете удалить их.

3. Я использую аналитику Google, Firebase, Crashlytics или HockeyApp в качестве стороннего решения для поддержки моей разработки. Они соответствуют GDPR?

Вам нужно будет убедиться, что ваши сторонние сервисы соответствуют GDPR. Вы можете посмотреть это в их условиях использования. На время написания этой статьи (9 апреля 2018) Fabric утверждает, что будет готова к требованиям GDPR к 25 мая.

Требования GDPR утверждают, что мы должны проверять, имеют ли используемые нами сервисы сертификаты безопасности в соответствии с Регламентом. Мы ответственны за утечки персональных данных через сторонние организации.

4. Нужно ли мне иметь письменный контракт с любой сторонней организацией, которая будет обрабатывать данные?

Письменный контракт не обязателен. Закон предполагает определенное количество свободы, а также представляет более широкую концепцию “другого правового акта”.

Что нужно сделать, чтобы убедиться, что контракт или другой правовой акт соответствует требованиям GDPR? Все просто. Проверьте, что у провайдера услуг есть сертификат соответствия GDPR. Сертификация — это добровольно, но если вы хотите точно знать, что провайдер услуг подготовлен к GDPR, проверьте, есть ли у него сертификат.

5. Нужен ли мне офицер по защите данных?

Это необязательно. GDPR предоставляет вам определенную свободу в этом вопросе. Офицер по защите данных может быть сотрудником контролера или обработчика, а также человеком извне. Это дает нам определенную свободу выбора и возможность сократить расходы.

Модель аутсорсинга на основе контракта можно адаптировать под потребности и масштаб компании. Количество часов работы при этом может быть значительно ограничено.

6. Мое приложение использует только адреса электронной почты и логины (без имен и фамилий). Это считается персональными данными?

Да, считается. Не существует простого метода массовой верификации отсутствия персональных данных в адресе почты. Мы можем использовать псевдонимы на других порталах, которые можно будет связать с другими данными. Если мы не уверены, что элементы приложения могут помочь идентифицировать пользователя, то мы должны предполагать, что это может произойти.

7. В приложении мы используем логин через Facebook, Google и так далее. Приложение отправляет токен в бэкенд, которые автоматически читает ID пользователя (или его почту), но не имя и фамилию. Во время периода валидации токена (30 минут) я теоретически могу использовать его для ручного извлечения персональных данных. Нарушает ли это GDPR?

Ответить на этот вопрос очень сложно. Однозначного ответа не будет. Мы должны принять, что любая информация о пользователе, которая дает вам возможность идентифицировать физическое лицо, может нарушать правила GDPR. С другой стороны, мы можем также предполагать, что эти данные можно получить со значительными расходами, что несколько смягчает тон предыдущего правила. Пока мы не можем определить, как с этим будут работать регулирующие органы.

8. У меня онлайн-магазин, где персональные данные нужны для доставки. Что нужно включить в условия сервиса?

Условия сервиса должны включать условие о том, что вся информация в приложении будет защищена. Более того, условия сервиса должны включать полный список прав пользователя: право доступа, редактирование и удаление персональных данных и так далее.

Более того, вам нужно будет согласие пользователя на обработку персональных данных в целях функциональности приложения. В каждом приложении должен быть простой способ подтвердить свое согласие с этими требованиями. Вы должны четко и понятно рассказать о правилах, которые принимают пользователи.

9. У меня есть аналитика сбоев (Crashlytics или HockeyApp), в которой можно найти персональную информацию. Это важно?

Во-первых, вы должны быть уверены, что ваш провайдер системы соответствуют требованиям Регламента. Более того, важно, какие данные будут включены в отчеты и у кого будет к ним доступ. Давайте рассмотрим три кейса:

  • Люди, которые видят отчеты, уже имеют законный доступ ко всем данным (то есть у компании есть своя команда разработки) — отчеты о багах нормально подходят GDPR.
  • Данные отчетов анонимны и требуют много усилий на расшифровку. Этот способ отправки отчетов — лучший путь предоставить все данные команде тестировщиков, который соответствует требованиям GDPR.
  • Отчеты содержат персональные данные, которые идут на аутсорс команде разработки. В этом случае внешняя компания должна стать организацией, которая обрабатывает персональные данные по требованиям GDPR, или отчеты должны отправляться в анонимной форме.

10. Должны ли моя команда разработки и команда тестировщиков иметь сертификаты об обучении защите персональных данных?

Нет. Единственный человек, который должен иметь специальные знания по этому вопросу, — это офицер по защите данных, который необязательно должен быть сотрудником компании. Но для вашего бизнеса будет хорошо, если ваши сотрудники в отделе разработки и тестирования будут знать о требованиях Регламента, потому что они смогут создавать соответствующие требованиям продукты быстрее.

11. Мое приложение обрабатывает персональные данные (не конкретные данные, указанные в статье 9), но на основе аналитики можно определить, что у пользователя есть физические особенности, например, он или она использует большой размер текста, а значит, имеет плохое зрение. Можно ли ко мне применить статью 9?

Нет. Мы не имеем дела с такими данными, а только предполагаем, что это так. Чтобы получить эту информацию, вам придется использовать большое количество ресурсов, и поэтому вы не нарушаете правила GDPR.

12. В моей системе возникла утечка персональных данных. Что мне делать?

Вы должны сообщить об утечке регулирующим органам в течение 72 часов после обнаружения утечки, если вы не можете доказать, что утечка не нарушает прав и свобод физических лиц. Если уведомление в соответствующие органы не было отправлено в течение 72 часов, оно должно сопровождаться причиной задержки.

Это одно из самых важных изменений, которое вносит Регламент. Вы можете прочитать об этом больше в статье 33.

Заключение

GDPR значительно повлияет на создателей мобильных приложений. С одной стороны, он представляет новые строгие правила и вносит изменения в процесс планирования и разработки. С другой стороны, защита персональных данных может привлечь пользователей в приложение и дать им ощущение безопасности.

Принятие стандартов GDPR может быть полезным для вашего бизнеса. Мы надеемся, что наши кейсы помогут вам извлечь пользу из изменения закона.

 

Комментарии
Если вы нашли опечатку - выделите ее и нажмите Ctrl + Enter! Для связи с нами вы можете использовать info@apptractor.ru.
Advertisement
Click to comment

You must be logged in to post a comment Login

Leave a Reply

Программирование

Все инженеры умеют программировать, но не все программисты могут быть инженерами: в чем отличие?

Никто не может стать инженером за два месяца, за шесть месяцев или за год. Почему не все программисты могут называться инженерами и какими навыками обладают настоящие инженеры-разработчики?

Анна Гуляева

Опубликовано

/

Многим людям не нравится термин “инженер по разработке программного обеспечения” из-за относительного сравнения с инженерным делом. Но эта статья посвящена не термину. Если вам не нравится название, вы можете заменить его на “автор ПО”, “мастер ПО” или даже “художник по ПО”.

Под инженером по разработке я подразумеваю человека, который считает создание качественных программ своей профессией. Человек, который применяет науку и статистику в своей профессии и не смотрит на это как на работу, которая просто приносит деньги.

Знание программирования не делает вас инженером. Любой может научиться программировать. Любой может создать простые программы, которые будут работать для него на собственном компьютере, но это не гарантирует, что те же программы будут работать для остальных.

Моя любимая аналогия — любой человек может петь для себя в душе, но на вечеринке вы не будете ставить свои записи. Вы полагаетесь на профессионалов.

Хотите еще бльше аналогий? Конечно:

  • Мы изучаем математику и правописание в школе, но это не делает нас математиками и авторами.
  • Многие могут научиться готовить, но, чтобы накормить много людей, мы зовем повара.
  • Вы не будете звать соседа с инструментами, чтобы построить дом с нуля.

Я хочу донести мысль о том, что простые программы отличаются от тех, что создали инженеры. Программирование — это создание инструкций для компьютеров, чтобы они приняли входные данные и превратили их в определенный результат.

Процесс проектирования программ — это планирование, написание, тестирование и поддержка компьютерных программ с целью решения проблемы для многих пользователей. Это создание надежных решений, которые выдержат проверку временем и будут работать не только с очевидными проблемами, но и с неизвестными.

Инженеры понимают все о проблемах, которые они решают, о своих решениях, об ограничениях этих решений, последствиях этих решений для приватности и безопасности.

Если человек не понимает проблему, он или она не может создать решение для нее.

Склонность к поиску решений

Инженеры не считают свою деятельность просто написанием программ. Они думают о потребностях и решениях проблем. Это важно, потому что не каждая проблем нуждается в новой программе. Некоторые проблемы можно решить уже существующими программами. Некоторые проблемы можно вообще предотвратить, если действовать заранее. Создание хороших программ часто включает предотвращение будущих проблем.

Сложные проблемы требуют создания нескольких программ. Некоторые проблемы требуют параллельной работы программ, а другие — последовательной. Некоторые проблемы можно решить обучением пользователей.

Перед созданием программы инженер задает вопросы:

  • Какие проблемы я пытаюсь решить?
  • Можно ли сделать для их решения что-то, кроме написания кода?
  • Что я могу сделать, чтобы эти проблемы было проще решить при помощи кода?

Качество кода

Отличные программы понятны, и их можно легко расширить, они отлично работают с другими программами, а поддерживать их не так сложно. Качеством кода нельзя жертвовать, а использовать временные решения из-за дедлайна или эмоций — неприемлемо.

Один из самых важных аспектов разработки ПО — создавать с самого начала системы, которые можно будет расширять. Изменение программ неизбежно. Пользователи начнут требовать новых функций и новых способов применения программ.

Каждый программист (не)счастлив по своему

Сама по себе программа не так полезна. Ценность их функций проявляется, когда разные программы коммуницируют друг с другом, обмениваются данными и совместно работают над представлением данных и интерфейсов пользователям. Об этом нужно помнить при создании программ. Какие сообщения они будут принимать? Какие события будут отслеживаться? Какие сообщения они будут отправлять? Как мы будем проводить аутентификацию и авторизацию коммуникаций?

Другой важный аспект отличных программ — это ясность кода, а не количество тестов или число в отчете по тестовому покрытию. Этот код может прочитать кто-то ещё? Смогу ли я понять этот код через несколько недель?

В программировании существует только две по-настоящему сложных вещи: инвалидация кэша и наименование вещей, — Фил Карлтон

Удобство чтения кода важнее, чем вы думаете. К сожалению, для ясности кода нет хороших метрик. Знание хороших методов может помочь, но часто этого недостаточно. Хорошие инженеры просто учатся этому с опытом. Здесь подходит метафора с писательством: знание большого количества слов не поможет вам писать понятные тексты.

“У меня не было времени на короткое письмо, поэтому я написал длинное”, — Марк Твен

В программах случаются ошибки. Возможность без проблем исправить их — это ключевой атрибут хорошей программы. Ошибки должны сопровождаться понятными сообщениями и храниться в одном месте. Когда появляется отчет о новой ошибке, ответственный за исправление человек должен иметь возможность устранить в ней баги. Он или она должны иметь возможность зайти в систему и прочитать информацию об ошибке в любое время. У них должна быть возможность подтвердить ожидания о любой части системы.

Правильный разработчик

Среда и тестирование

Когда инженеры пишут программы, они должны убедиться, что эти программы будут работать в разных средах, на разных устройствах, в разных часовых поясах. Программы должны работать на экранах разного размера и ориентации. Они должны справляться с ограниченностью памяти или вычислительной мощности.

Программное обеспечение для браузера должно работать во всех популярных браузерах. Программы для компьютеров должны работать для пользователей Mac и Windows. Приложения для работы с данными должны работать, когда подключение слишком медленное или его совсем нет.

Чтобы написать программу, инженеры должны продумать любой возможный сценарий и спланировать тестирование всех этих сценариев. Это начинается со “счастливого пути”, когда ничего неожиданного не происходит, но затем инженеры должны прописать каждую проблему, которая может случиться, и написать для них тесты. Некоторые инженеры начинают с написания тест-кейсов, которые симулируют эти сценарии. Затем они пишут код, который проходит все эти тесты.

Инженеры понимают расплывчатые требования программ. Уникальный навык инженера — это не просто знать, как написать решение, но понять, что должно быть в этом решении.

Стоимость и эффективность

Во многих случаях инженеры могут решить проблемы быстро. Если вы думаете, что найм опытных программистов повысит расходы, подумайте еще раз. Чем больше у программиста опыта, тем быстрее он или она сможет создать надежное решение, которое можно будет поддерживать без особых трудностей. Это означает сокращение расходов в долгосрочной перспективе.

Как найти лучших разработчиков для работы над проектом

Вам также нужно принять во внимание стоимость запуска программы. Каждая программа будет использовать компьютерные ресурсы, которые не бесплатны. Инженеры будут писать эффективные программы, которые не будут тратить компьютерные ресурсы впустую. Например, это кэширование часто используемых данных, но это только одно из тысяч решений, которые могут сделать программу быстрее и эффективнее.

Начинающий программист может сделать для вас дешевое решение, но оно в итоге потребует у вас и у вашего клиента больших затрат, чем изначально эффективное решение.

Удобство использования

Хорошие программы создаются с учетом пользовательского опыта. Взаимодействие человека и компьютера — это большая тема с многочисленными исследованиями и выводами. Чем чаще будут учитываться эти выводы, тем лучше будут программы.

Вот несколько примеров:

  • При создании форм для ввода данных хорошая программа будет игнорировать прописные или строчные буквы? которые используются для ввода email-адреса. Она также уберет ненужные пробелы. Не нужно мучать пользователя из-за включенного Caps Lock, адрес почты уникален. Если программа принимает новые адреса, она должна сообщать пользователю о проблемах с вводом, например, об отсутствии знака @ или опечатке в gmail.ocm.
  • При перенаправлении пользователя хорошая программа запомнит первоначальное местоположение и перенаправит пользователя туда после завершения задачи. Хорошая программа также запомнит уже введенные данные и взаимодействия, которые нужны будут в следующих шагах. Например, вы ищете авиабилеты на Expedia в качестве гостя. Затем вы решили создать аккаунт. Вся ваша история поиска будет сохранена в новый аккаунт, и вы сможете получить к ней доступ с разных устройств.
  • Хорошая программа создается с учетом пользовательских сценариев. Поставьте себя на место пользователя. Однажды я забронировал билет United и забыл ввести свой номер постоянного пассажира. После получения подтверждения я отправился на сайт United, чтобы добавить номер, и эта задача заняла у меня десять минут. К этой функции не было очевидных путей, поэтому мне пришлось проверить все ссылки, которые могли бы вести к ней. Я уже был на странице с этой функцией, но я не увидел её в первый раз, потому что она была спрятана в большой форме. Мне пришлось найти информацию о пассажире, пролистать около 20 строк в этой форме, ввести номер пассажира и номер телефона, чтобы отправить эту форму. Это пример программы, которая создавалась без учета точки зрения пользователя.

Читабельность и безопасность

Это наиболее важные моменты, которые отличают профессионалов от любителей. Они знают, что ответственны за создание надежных и безопасных решений.

Программа должна быть устойчивой к плохим входным данным, состояниям и взаимодействиям. Этого очень сложно достичь, и поэтому мы слышим о том, что люди погибают из-за ошибок в ПО.

Пользователи будут вводить неверные данные в программу. Некоторые будут делать это специально, чтобы взломать её. Ответственного за недавний скандал с Equifax обвинили в том, что этот человек не сделал свою работу, то есть не создал устойчивую к зловредным входным данным программу.

Безопасность касается не только зловредных данных, но и обычных. Если пользователь забывает пароль, то сколько раз он или она сможет его ввести? Заблокируете ли вы после этого аккаунт? Что если кто-то этого и добивается? Позволите ли вы вводить пароль через незащищенное соединение? Что если попытка логина состоялась из необычного места? Что если логин кажется сгенерированным автоматически?

Что вы сделаете, чтобы защитить пользователей от межсайтового скриптинга и подделки запросов, атаки посредника и простого социального фишинга? Есть ли у вас стратегия на случай DDoS-атаки? Эти вопросы — это только несколько из проблем, к которым вы должны готовиться.

Безопасные программы не хранят чувствительную информацию в форме простого текста, а в виде зашифрованных данных, которые сложно взломать. Это запасная стратегия на случай взлома. В программах будут случаться ошибки, и если вы об этом не знаете или вы не подготовлены, то вас нельзя считать профессионалом.

Дефекты программ невидимы. Наша способность предсказывать и предотвращать известные дефекты ограничена. Поэтому инженеры понимать ценность хороших инструментов, которые могут помочь им писать корректные и безопасные программы.

Инструменты

Несомненно, нам нужны хорошие инструменты. Они многое меняют и часто недооцениваются. Представьте, если бы нам все ещё нужны были FTP для ффайлов! Представьте проблемы с производительностью и устранением багов без Chrome DevTools! Представьте, как неэффективно бы было писать на JavaScript без ESLint и Prettier!

Любой инструмент, который сокращает цикл обратной связи, должен быть ценным дополнением. Аргумент Брета Виктора об изобретении мгновенной визуальной репрезентации того, что мы создаем, открыл мне глаза. Принятие и улучшение инструментов — это единственный способ попасть в это светлое будущее.

Когда я нахожу отличный инструмент, я жалею лишь о том, что не нашел его раньше. Хорошие инструменты помогут вам стать хорошим программистом. Ищите их, используйте их, цените их и улучшайте их.

Выбор языка имеет значение. Типобезопасность имеет значение. Лучшее, что случилось с JavaScript — это TypeScript и Flow. Статический анализ кода важнее, чем вы думаете. Если вы этого не делаете, то ставите себя под удар неизвестных будущих проблем. Не программируйте без системы статической проверки типов. Если в вашем языке этого нет, поменяйте язык или используйте компилятор. Сегодняшние компиляторы могут работать, просто читая комментарии в коде, и это будущее проверки типов для языков, которые не поддерживают её.

Эволюция разработки

Никто не может стать инженером за два месяца, за шесть месяцев или за год. Вы не научитесь этому в буткемпе. Я учусь на протяжении последних двадцати лет. Я стал достаточно уверенным, чтобы назвать себя опытным программистом только после десяти лет обучения и создания и поддержки приложений, которые используют тысячи пользователей.

Разработка не для каждого, но все должны учиться решать свои проблемы с компьютерами. Если вы можете научиться писать простые программы, то стоит это сделать. Если вы можете научиться использовать сервисы, то стоит это сделать. Знание программ с открытым исходным кодом даст вам много возможностей.

Проблемы эволюционируют, и разработка должна развиваться аналогично. Будущее этой профессии — позволить обычным пользователям использовать свои компьютеры без необходимости учиться пять лет. Дайте пользователям возможность решать простые проблемы простыми инструментами. Инженеры должны создавать хорошие инструменты, решать большие проблемы и пытаться предотвращать неизвестные.

 

Комментарии
Продолжить чтение

Новости

Apple выложила FoundationDB в open source

Apple опубликовала исходные коды FoundationDB – распределённой noSQL базы данных.

Леонид Боголюбов

Опубликовано

/

FoundationDB – это многомодельная база данных NoSQL с shared-nothing архитектурой . Продукт был разработан вокруг «ядра» базы данных, с дополнительными функциями, предоставляемыми в «слоях». Ядро базы данных предоставляет упорядоченное хранилище ключей и транзакций. Транзакции способны читать или записывать несколько ключей, хранящихся на любом компьютере в кластере, при полной поддержке свойств ACID .  Транзакции используются для реализации множества моделей данных через слои.

FoundationDB Alpha появилась в январе 2012 года и прекратила свое существование 4 марта 2013 года публичным бета-релизом. Эта версия 1.0 была выпущена для в качестве общедоступной 20 августа 2013 года. Последняя стабильная версия 3.0.2 и была выпущена 10 декабря 2014 года.

25 марта 2015 года сообщалось, что Apple приобрела компанию. Уведомление на веб-сайте FoundationDB показало, что компания «выработала» свою миссию и больше не будет предлагать загрузку программного обеспечения.

Теперь FoundationDB вы можете найти тут: https://github.com/apple/foundationdb.

 

 

Комментарии
Продолжить чтение

Новости

Интересные материалы: 19.04

Сегодня в новом дайджесте Firebase Authentication, космический роадмап Unity и 9 альтернатив Google Play.

Леонид Боголюбов

Опубликовано

/

Весь день мы собираем лучшие материалы о разработке и маркетинге технологий, стартапов, мобильных приложений и игр для iOS и Android из самых разных источников:

Комментарии
Продолжить чтение

Разработка

Что нужно и чего не нужно делать во время Code Review

Сандия Санкаррам из компании SurveyMonkey рассказала о том , как распознать токсичную коммуникацию среди программистов и как с ней бороться.

Анна Гуляева

Опубликовано

/

Code Review могут быть спорными. Недавно я впервые выступала на конференции с темой токсичного поведения в культуре просмотра кода. Я готовилась получить большое количество критики, но в итоге тему приняли добротой и поддержкой.

Меня попросили поделиться слайдами, но мне кажется, что сами по себе они не очень полезны, так как им не хватает контекста. Так как они распространились по интернету без этой нужной информации, я решила написать статью, чтобы более полно донести свое выступление.

Я перечислила несколько распространенных шаблонов поведения, которые случаются во время Code Review, а также несколько рекомендаций о том, как команды разработчиков могут создать более благоприятную атмосферу, если не будут делать токсичность нормой. Все описанное происходило со мной или я была этому свидетельницей. Я и сама вела так себя в прошлом.

1. Представление мнения в качестве факта

Не делайте заявлений, пока не сможете процитировать документацию, формальные требования или примеры кода, чтобы подтвердить их. Людям нужно знать, почему их просят внести изменение, и личные предпочтения — это недостаточно хороший аргумент.

Вместо того, чтобы говорить “В этом компоненте не должно быть состояний” предоставьте контекст этих рекомендаций:

“Так как в этом компоненте нет методов или состояний жизненного цикла, его можно сделать функциональным компонентом без состояний. Это улучшит производительность и читабельность. *Вот* документация.”

Это поведение распространено, когда разработчики обсуждают предпочтения в стиле и синтаксисе. Это важные обсуждения, но они не должны происходить во время просмотра кода, так как стиль и синтаксис не относятся к проблеме, которую разработчик изначально планировал решить.

Выделите эти дискуссии и решите, каких правил и стиля будет придерживаться группа. Используйте линтеры и автоматические фиксеры. Так вы сможете придерживаться правил по стилю, а не своих персональных предпочтений, во время обзора кода.

Это особенно важно, когда у вас более высокая должность или авторитет в команде. Если вы будете так себя вести, у разработчиков не останется другого выбора, и им придется подстраиваться под ваши требования.

2. Лавина комментариев

Когда человек совершает ошибку, вероятно, он или она сделали ту же ошибку в других местах. Я заметила, что часто те, кто просматривает код, указывают на каждый случай ошибки вместо того, чтобы оставить один детальный комментарий со ссылками на полезные ресурсы.

Объединение комментариев позволит вам донести свое сообщение и не ошеломить человека. Бесполезно и угнетает:

Более полезно:

Я могу понять, что это может быть полезно, так как комментарий исчезает, когда разработчик исправляет ошибку. Но если эта ошибка повторяется, значит, разработчик не знает об определенном правиле, и ему или ей нужно указать на корректные ресурсы.

3. Просить инженеров решить проблемы, которые возникли не из-за них

Не просите разработчиков решать проблемы, которые не относятся к их изменениям или к проблеме, которую они пытаются решить. Даже если разработчик работает с беспорядочной частью кода, не просите его или её исправлять код просто потому, что они работают с ним в данный момент.

Я не говорю, что разработчики не должны чувствовать ответственность за код, который начали писать не они. Я говорю, что более правильным решением будет создать отдельный тикет и решение для беспорядочного кода. Так вы не добавите кому-то работы, и плохой код будет исправлен.

Правила, которые я выработал по результатам тысяч code review

4. Задавать осуждающие вопросы

Не задавайте вопросов вроде: “Почему ты просто не сделаешь это здесь?”. Такие вопросы предполагают, что это очевидное решение. Это также заставляет разработчиков оправдываться.

Эти осуждающие вопросы часто являются замаскированными просьбами. Вместо этого напишите рекомендацию (с цитированием документации) и не используйте грубые слова.

“Ты можешь сделать это, и это будет полезно поэтому.”

5. Сарказм

Сарказм — это неправильное поведение, когда вы даете обратную связь. Саркастические комментарии ничего не объясняют. Вместо этого детально опишите проблему и напишите рекомендации, но оставьте шутки в стороне.

Бесполезно: “Ты вообще тестировал(а) этот код?”

Полезно: “Происходит сбой при вводе отрицательного числа. Можешь, пожалуйста, разобраться с проблемой?”

Вот ещё один пример комментария, который несмешной и бесполезный:

Я не говорю, что мы подлые. Мы просто беспощадные. Ты заметишь, что я оставил комментарий “Бип!” на импорте каждого файла, к которому ты притронулся. Я имел в виду, что твои импорты нарушают нашу стандартную процедуру, но это было слишком долго писать в каждом файле.

Комментарий “Бип!” бесполезен. Это просто педантичный юмор, который не помогает человеку, который писал код.

6. Использование эмодзи, чтобы указать на проблемы

Не нужно использовать эмодзи с пальцами вниз или человеком, которого тошнит. Это так же бесполезно, как и сарказм. Эмодзи можно понять неправильно. Эмодзи тратят время людей, которые пытаются понять, что вы имели в виду.

Вряд ли вас действительно будет тошнить от ошибок в коде. Вы можете использовать радостные эмодзи, чтобы показать, что код выглядит хорошо, но не используйте их, чтобы указать на проблему.

7. Ответ не на все комментарии

Люди, которые писали код, могут тоже вести себя некорректно. Если вы отправляете код без ответа на все комментарии, люди могут задуматься, зачем они вообще тратили время на помощь вам, а вы покажете, что некоторые мнения важнее других.

Если комментарий относится не к вашей работе или вы не будете действовать в соответствии с обратной связью, просто кратко объясните причины. Не занимайтесь гостингом.

8. Игнорирование токсичного поведения производительных людей

Токсичное поведение не нужно игнорировать только потому, что разработчик отлично работает. Хотя он или она может делать фантастическую работу, важно помнить, что их поведение делает работу других людей сложнее.

О работе с людьми, ведущими себя токсично:

Всем остальным работать с этим человеком будет сложно и неинтересно. Они будут избегать взаимодействия с ними, даже если это негативно повлияет на их способность выполнять задания. Коммуникация в вашей организации нарушится. Если все станет плохо, ваша команда начнет искать возможности в другом месте. Пока вы будете сталкиваться с утечкой людей и неудачными проектами, эти разработчики продолжат работать так, как будто все в порядке. — Джозеф Гефрох.

Бездействие может оказать серьезное влияние на команду, так как разработчики будут чувствовать себя демотивированными. Они начнут бояться процессов фидбэка, которые должны были помогать им расти. Лично я нервничаю каждый раз, когда получаю письмо о том, что бывший коллега (который оставлял токсичную и бесполезную обратную связь), прокомментировал мой запрос. Хотя такое поведение влияет на всех по-разному, мы все можем согласиться, что никто не получает от этого пользы.

Примечание: хочу отметить, что случайное проявление одной из описанных вещей не делает человека токсичным. А вот повторяющиеся оскорбления и язвительная обратная связь говорят о многом.

Как писать чистый и красивый код

Полезные вещи в обзоре кода

Это рекомендации, которые можно применить к любому человеку в дружелюбной среде, даже если здесь они даны в контексте просмотра кода.

1. Используйте вопросы или рекомендации, чтобы вести диалог

Никогда не требуйте от людей внести изменения и не задавайте осуждающих вопросов, потому что это не открывает диалог между вами. Резкие вопросы заставляют их оправдываться. Вместо этого спросите, что человек думает о предложенном решении:

“Можно поместить эти трансляции в файл констант, как думаешь? Их слишком много, имеет смысл создать для них отдельный файл.”

или предоставьте рекомендацию:

“У тебя в этом файле много запросов на трансляцию функции X. Имеет смысл создать отдельный файл под константы функции X.”

2. Не указывайте, а работайте вместе

Когда вы занимаетесь парным программированием, вы должны задавать вопросы, обсуждать и давать ссылки на ресурсы.

“Когда вы хотите работать с другим человеком, вы должны быть полностью вовлечены, а не просто появляться периодически”, — указания для пользователей Recurse Center.

3. Отвечайте на каждый комментарий

Если вы не планируете применять советы человека, оставьте заметку об этом. Не игнорируйте тех, кто уделил время на помощь вам.

Например:

“ — Что ты думаешь о создании хелпера для этого вызова API?

— Эта строка не входит в мой набор изменений. Я пока отправлю этот код, но я создам отдельную issue на GitHub для вызова API и отправлю это в бэклог группы.”

4. Иногда обсуждение нужно перенести в оффлайн

После десятков противоречивых комментариев и предложенных решений должно быть понятно, что онлайн-коммуникация стала непродуктивной для решения проблемы. Устройте встречу, чтобы обсудить вопрос вживую, так вы сможете прийти к решению быстрее.

5. Используйте возможности, чтобы научить чему-то, и не хвастайтесь

Перед тем, как участвовать в просмотре кода, спросите себя — ваш комментарий помогает другому разработчику учиться или вы просто любите придираться?

Подумайте, почему вы принимаете в этом участие. Помните, что цель просмотров кода — помочь другим разработчикам расти.

6. Не выказывайте удивление

Не нужно удивляться, если у кого-то нет тех же знаний, что есть у вас. Если люди могут понять нехватку опыта в какой-то теме и попросить о помощи —  это отлично. Не заставляйте их переживать из-за того, что они “уже должны были знать” эту информацию.

Григорий Петров: Код проекта: что хотел сказать разработчик

7. Автоматизируйте все возможное

Просмотр проблем, которые могут уловить линтеры, перехватчики в git или автоматизированные тесты, бесполезен. Люди не всегда видят эти проблемы, и поэтому существуют эти инструменты автоматизации.

Существуют инструменты, которые запускают тесты после проверки кода, и они показывают предупреждения, когда набор изменений нарушает какие-либо тесты. Эти функции есть у TeamCity и Jenkins CI. Используйте перехватчики в git. Они запускают тесты и линтеры, когда кто-то пытается отправить код, и перехватывают этот запрос, если в нем содержится код с ошибками.

8. Отказывайтесь от нормализации токсичного поведения

Не нужно поддерживать токсичные комментарии из-за их статуса кво. Ищите коллег, которые вас поддержат в этом. Если вы заметите, что кто-то оставляет бесполезные комментарии, дайте им знать об этом (если вы можете сделать это на вашей должности и в вашей компании) и будьте прямолинейны.

Григорий Петров: Как и зачем читать чужой код

9. Менеджеры, нанимайте внимательно, слушайте свою команду и применяйте меры

Менеджеры могут создать позитивную и дружелюбную культуру в своей команде.

  • Не нанимайте в команду токсичных разработчиков. Смотрите не только на технические навыки, оценивайте способности кандидатов к коллаборации и коммуникации. Критически анализируйте их работу и смотрите на их реакцию. Убедитесь, что каждый человек привносит что-то положительное в культуру компании.
  • Если у вас в команде есть токсичные разработчики, спросите у всех в отчетах о том, как им работается наедине с другими сотрудниками. Отчеты покажут, если у вас действительно есть токсичный разработчик.
  • Поговорите с этим человеком. Покажите ему примеры и правильную обратную связь.
  • Не изолируйте токсичного разработчика. Нужно побудить этого человека на здоровую коммуникацию с командой. Изоляция не поможет человеку исправиться.
  • Повторяйте, что ожидаете от команды коллаборации в дружелюбной обстановке.

10. Установите стандарт с самого начала существования команды

Если ваша команда небольшая, она может принять идеи и начать воплощать их сразу. Даже если вам это пока не нужно, помните, что вы хотите, чтобы ваша команда оставалась отличной с появлением новых сотрудников.

11. Поймите, что вы можете быть частью проблемы

Чтобы сделать обстановку лучше, важно быть честными с собой и подумать о том, не вели ли вы себя таким образом. Когда я была джуниор-разработчиком, у меня было несколько случаев, когда я видела баг в чьем-то коде и радовалась, потому что так я могла стать частью просмотра. Я теперь понимаю, что использовала эту возможность, чтобы похвастаться, а не помочь. Я пытаюсь помнить об этом и я думаю, что у каждого должен быть такой момент саморефлексии.

Одна последняя вещь…

Я не хочу регулировать содержимое фидбэка, я просто прошу людей следить за своим тоном.

Я знаю, что обратная связь важна, и я не объявляю ей войну. Я не прошу команды жертвовать качеством своего кода. Здоровая культура Code Review и высокое качество кода не исключают друг друга. Я надеюсь, что люди предпримут шаги, чтобы предоставлять конструктивную обратную связь и создать более благоприятную среду, где разработчики смогут учиться, расти и совершать ошибки.

Краткое содержание:

Комментарии
Продолжить чтение

Реклама

Наша рассылка

Каждому подписавшемуся - "1 час на UI аудит": бесплатный ускоренный курс для разработчиков!

Нажимая на кнопку "Подписаться" вы даете согласие на обработку персональных данных.

Вакансии

Популярное

X
X

Спасибо!

Теперь редакторы в курсе.