Contao-Audit-Team?

[PaddySD]

Hallo!

Ich hab den Titel mal bewusst kurz und etwas ungenau gewählt, in der Hoffnung, mehr Leute zum reinschauen zu bewegen. Vorweg gleich mal vielen Dank für Euren Input, er ist in jeder Form gerne genommen.

So, nun aber zum Anliegen: Ich bin bei uns im Haus die einzige "Contao-Tante", was mich dann doch manchmal an meine Grenzen bzgl. Code in eigenen Erweiterungen bringt und zweifeln lässt. Ich bin mir nämlich an mancher Stelle nicht wirklich sicher, ob das überhaupt so "richtig" ist, oder das den allgemeinen Guidelines für Contao entspricht. Hab ich auch an alles in Punkto Sicherheit gedacht? Ist die Idee das so zu machen überhaupt clever? Oder hat man vor lauter Wald die Bäume nicht gesehen und rennt in eine 1000-Zeilen-Code-Richtung, die man auch mittels zwei Zeilen Zugriff auf eine Contao-Funktion hätte lösen können?

Ich denke, Ihr wisst, was ich meine. Und da kommt dann der Threadtitel ins Spiel. Gibt es sowas wie eine Audit-Gruppe im Bereich von Contao? Mir schwebt da eine Lösung vor, in der man seine Erweiterung quasi zu einem Audit einreichen kann. Das sollte auch nicht umsonst sein, natürlich aber auch keine Tausende verschlingen. Mir geht es dabei in erster Linie um generelle Dinge, die man eben als bislang Unbeteiligter sehr viel eher sieht. Das soll kein Security-Audit werden, mit Protokoll und entsprechenden Sicherheiten usw. sondern so eine Art Überblick, ob das so auch passt.

Ich will dabei auch nicht auf Unit-Tests raus, eher so eine Art "ich hab mal für Dich drüber geschaut, auf den ersten Blick sieht's gut aus..." oder "bei so einem umfangreichen DCA solltest Du evtl. mal an haste denken..."

Besteht an sowas von Eurer Seite aus überhaupt Interesse? Wie macht Ihr sowas, ich hab da manchmal schon ein doofes Gefühl, insbesondere wenn man mit schützenswerten Daten arbeitet... Macht Ihr sowas intern, und wenn ja, wie?

Würdet Ihr für solche Dienste überhaupt Geld ausgeben wollen, und würde dieses Geld ausgeben leichter fallen, wenn man das über die Contao-Association macht? Also nochmal ganz klar, ich will damit kein Geld verdienen, ich wäre da gerne bereit mitzumachen, aber würde das selber auch brauchen.

Lasst mal hören, wie Eure Meinungen zu diesem Thema so sind! Vielleicht bin ich ja auch der Einzigste, den manchmal Selbstzweifel quälen...

[PaddySD]

Hmmm, das überrascht mich jetzt doch ein wenig.... schon fast 100 Aufrufe aber gar keine Meinung? Sagt doch mal, was Ihr von sowas haltet...

Das sich hier nicht gleich alle überschlagen vor Freude war mir klar, aber ein "dagegen" oder "dafür" mit ein paar kurzen Ideen wäre shon schön gewesen....

Also los, traut Euch, wenn mir keiner sagt, die Idee ist nicht gut, dann nehme ich das als Zustimmung!

[fiedsch]

Ich glaube (Bauchgefühl), daß eine Gruppe oder ein formaler Prozess nicht funktionieren werden. Das Thema ist m.E. zu aufwändig. Bsp.: Du zeigst mir Deinen Code, ich antworte mit "das ist aber nicht der Contao-Weg". Das hilft dir aber dann wenig, denn wenn Du wüsstest, was der "Contao-Weg" ist, hättest Du es ja von vorne herein anders gelöst. Und in ein, zwei Sätzen ist das Thema dann auch nicht erledigt/erklärt.

Ich denke, für so etwas sind Stammtische recht gut geeignet. Da kann man den Kollegen seine Ideen, seinen Code vorstellen und um Anregungen oder Hilfe fragen. Das bringt dann allen Anwesenden etwas.

Mit Verweis auf meine Signatur: Andechs ist ja nicht so weit weg von München ;-)

[BugBuster]

Die Idee ist nicht neu. Als damals das ER2 kam für Contao 3 und einige "seltsame" Erweiterungen auftauchten kam die Idee schon mal auf.
Aber die Personen die das Wissen haben das tun zu können, sind auch die, die stark ausgelastet sind und dafür keine Zeit haben. (in Ihrer eh schon wenigen Freizeit)
Übrig blieb dann das Bewertungssystem, was aber auch wenig genutzt wurde. (auch weil man die Gründe einer Bewertung nicht hinterfragen konnte)

Hier ist die Sache zwar etwas anders, du möchtest ja während der Entwicklung schon Wissen ob du richtig liegst, aber der Hinderungsgrund bleibt der selbe.

Es gibt einige wenige Nutzer von fremden Erweiterungen die vor dessen Einsatz einen Blick auf den Quellcode werfen und ggf. einen Bug/Hinweis melden auf GitHub.

Ich hoffe in meinem Fall auch nur das ich das alles richtig "abgeschaut" habe von anderen Erweiterungen von denen ich glaube die Macher Wissen was sie tun.


Ansonsten frag ich einfach hier bei "Entwickler-Fragen" einfach nach wenn ich unsicher bin.

[PaddySD]

Erst einmal vielen Dank für Eure Antworten!

Mir ist natürlich bewusst, dass so etwas immer einen gewissen Aufwand bedeutet, der ja aber auch abgegolten werden soll. Wir sind ja meistens eher im Firmenumfeld unterwegs, will heissen, ich kann so etwas von vorneherein in eine Kalkulation mit aufnehmen. Ganz konkret gefragt, welche Stundensätze rechnest Du denn für Programmieraufgaben bei Dir in Angeboten (keine Geheimnisse preis geben, nur so eine Hausnummer)? Ich würde das pauschal mal mit 80.-€ bis 100.-€ ansetzen. Korrigiert mich bitte, wenn ich da falsch liege!

Ich skizziere mal einen Ablauf und wie ich mir das so denke (alles rein hypothetisch!):
* Es gibt irgendwo die Möglichkeit, eine Erweiterung komplett upzuloaden.
* Eine, wie auch immer geartete, Gruppe von Entwicklern / Prüfern / whatever, hat Zugriff auf diesen Sammelpool an zu prüfenden Erweiterungen.
* Wer gerade Zeit hat, nimmt sich eine Erweiterung vor, prüft anhand bestimmter Kriterien und macht dazu eine Art Abschlussbericht (idealerweise multiple-choice zum druchklicken)
* Zeitaufwand der veranschlagt wird, maximal 2 Std. Alles was drüber raus gehen würde, weil Erweiterung zu umfangreich, oder zu viele Fehler, gibt es nur gegen entsprechenden Stundensatz.
* Dafür verlangt die Gruppe einen Festpreis von z.B. 200.-€, die wie folgt geteilt werden: 50.-€ an die Association, 150.-€ an den oder die Prüfer.
* Die gelieferten Hinweise sind natürlich nicht ein umschreiben des Codes, sondern eben Hinweise zu bestimmten Themenblöcken, die man dann auf bestehende Dokus verlinken kann. Eigeninitiative setze ich schon voraus beim Einreichenden.
* Wenn jemand weiter gehende Hilfe benötigt, um das für seine Erweiterung zu klären, dann kann man das ja an das Kleinauftragsforum weiter reichen (oder selbst ein Angebot machen)

Ich würde darin einige Vorteile sehen, zumal es jetzt auch nicht zu schlecht bezahlt wäre. Bei zwei Stunden festgeschriebenem Aufwand entspricht das (Steuer lassen wir jetzt mal weg) 75.-€ Stundenlohn. Das finde ich durchaus tragbar für beide Seiten.

Ich gehe jetzt nicht davon aus, dass da jede Erweiterung eingereicht werden würde, insofern sollte sich der Aufwand in Grenzen halten.

Mir liegt das ganze am Herzen, weil ich immer wieder mit persönlichen Daten zu tun habe, und dabei gerne ein zweites Paar Contao-Augen rein schauen lassen wollen würde... Ich lasse unsere Programmierer schon drauf schauen, aber das ist eben nicht deren täglich Brot (SAP Abap), die sehen halt nur grobe Schnitzer, aber ob ich jetzt die Contao-Input-Klasse verwende, oder mir dass selbst (unsicher) hole, fällt da natürlich nicht auf. Das wären aber genau solche Punkte...

@fiedsch
Der Stammtisch steht ganz weit oben auf meiner Liste, zumal ich auf Eurer Anmeldeliste schon ein, zwei bekannte Namen gefunden habe. Ich habe im November und im Dezember noch drüber nachgedacht, ich hoffe wirklich, ich schaffe es im Januar. Zumal Aubing nicht wirklich weit weg ist, und sogar per MVV gut erreichbar...
Ich betrachte das als persönliche Einladung, da fällt es mir schwerer nein zu sagen

[fiedsch]

Den angedachten Stundensatz finde ich einigermaßen realistisch, möchte aber zu bedenken geben, daß die Leute, die dafür in Frage kommen wahrscheinlich schon genug zu tun haben und es daher schwer wird, jemanden zu finden.

Bis Januar, dann können wir weiter drüber reden und vielleicht hast Du schon etwas Code dabei.

[webstar]

Besteht an sowas von Eurer Seite aus überhaupt Interesse? Wie macht Ihr sowas, ich hab da manchmal schon ein doofes Gefühl, insbesondere wenn man mit schützenswerten Daten arbeitet... Macht Ihr sowas intern, und wenn ja, wie?

Dir schwebt also eine Art Code-Review-Plattform für Contao vor, wobei ich hier vermute, dass die Nutzerbasis von Contao zu klein ist.

Je nach Projekt, gibt es unterschiedliche Arten, wie ein Review stattfindet:

• Auftraggeber macht einen Test/Review bevor er es abnimmt
• Jemand aus dem Projekt-Team überprüft die Feature/Bugfix Request bevor es übernommen wird (bei größeren Projekten)
• Ggf. bei Fragen mit Kollegen absprechen

Wenn es dir vor allem darum geht, die Qualität sicherzustellen und im Team niemanden hast / begrenzte finanzielle Resourcen für externe Expertise da ist, empfehle ich vor allem sich mit Sachen zu beschäftigen, die weniger mit Contao zu tun haben:

• Schreibe Unit Tests, Specs. PHPUnit, PHPSpec und Behat sind super Tools
• Nutze Tools wie PHPStan, PHP Code Sniffer, PHPCQ oder ähnliches, die schon im Vorfeld Fehler erkennen
• Nutze strikte Typisierungen wo nur möglich. Wenn möglich ValueObjects
• Beschäftige dich mit Ansätzen die Clean Code, Defensive Programmierung, Design Patterns

Wenn du die Sachen berücksichtigst, werden deine Contao-Fähigkeiten automatisch besser. Und du lernst zu erkennen, wo es gut ist mal nicht den Contao Weg / Symfony Best Practises zu gehen. Dies wandelt sich alles mit der Zeit.