О техдолге - еще одна доходчивая метафора. Хорошо показано состояние среднего проекта на рынке. Опытный архитектор осуществляет decoupling of Big Ball of Mud.

Как обычно, основная причина заключается в недальновидности последствий принимаемых решений и в конфликте краткосрочных бизнес-интересов с долгосрочными техническими интересами.

Интервью(аудио) от Александра Лучкова на тему Поворот к продуктовой разработке - влияние на пространство выборов и стратегию разработки.

Интервью рассматривает особенности архитектурной работы, целеполагание и особенности принятия архитектурных решений в продуктовом и проектном/программном подходах к разработке.

Тезисы и таймкоды доступны в блоге Александра Турханова.

Продолжается прием заявок на выступления на ArchDays.ru. Если вам есть чем поделиться, оставляйте заявку. Если сомневаетесь, можете написать мне напрямую и задать интересующие вопросы (@sergey486)

Формирование программы в самом разгаре!

SAGA - подборка ссылок из обсуждений чата канала:

🔷 Первоисточник по SAGA: "SAGAS" by Hector Garcia-Molina, Kenneth Salem

🔷 Перевод первоисточника по SAGA: "Гектор Гарсия-Молина и Кеннет Салем — «Саги»" / Михаил Ланкин

🔷 Applying the Saga Pattern • Caitie McCaffrey • GOTO 2015

🔷 Saga distributed transactions pattern

🔷 Process Manager Pattern

🔷 Compensating Transaction pattern

🔷 Пример реализации SAGA на Enterprise Integration Patterns (source code)

🔷 Пример реализации Process Manager от сообщества Microsoft (комментарий Greg Young). Альтернативы и обоснование.

🔷 Patterns and implementations for a banking cloud transformation

🔷 Несколько реализаций саг:
- https://axoniq.io
- https://eventuate.io/abouteventuatetram.html
- https://github.com/eclipse/microprofile-lra
- https://github.com/jbosstm/narayana/tree/master/rts/lra

🔷 Awesome workflow engines

🔷 "A long-running transaction model of workflow" by Quanzhou Hu; Jia Liu; Yi Zhuang; Yi Liu

🔷 "The CORBA Activity Service Framework for supporting extended transactions" by Iain Houston, M. C. Little, Ian Robinson, Santosh K. Shrivastava, Stuart M. Wheater

🔷 "What are long running processes?" by Bernd Rücker

🔷 Чем отличается SAGA от Process Manager:
- https://event-driven.io/en/saga_process_manager_distributed_transactions/

- https://stackoverflow.com/a/33652837

- https://blog.devarchive.net/2015/11/saga-vs-process-manager.html?m=1

🔷 "Eventually consistent" by Werner Vogels

🔷 "ACID properties of transactions"

🔷 "Atomicity :: Chapter 12. Berkeley DB Transactional Data Store Applications"

🔷 "Atomic - indivisible, not capable of being cut/divided into smaller pieces"

🔷 "Consistency Models"

🔷 интервью "Modeling Uncertainty with Reactive DDD" by Vaughn Vernon reviewed by Thomas Betts, в котором V.Vernon предлагает использовать Process Manager Pattern для обработки процессов, охватывающих несколько агрегатов в условиях Eventual Consistency.

Посмотреть реализацию в исполнении V. Vernon, включая ProcessTimedOut (о чем часто спрашивают), можно здесь:
- Java
- .Net

🔷 "Camunda Platform 8 Docs :: BPMN coverage"

🔷 Eclipse Microprofile стандарт имеет понятие LRA - Long Running Application. это есть их интерпретация саг

🔷 Microprofile-compatible фреймворки а-ля micronaut.io

🔷 RedHat развивает референс имплементацию Microprofile в виде своего фреймворка quarkus.io

🔷 Red Hut Summit "Saga: The new era of transactions in a
microservices architecture" by Giovanni Marigi, Mauro Vocale. BOSTON, MA | MAY 7-9, 2019

🔷 Вот пример Camunda. их интерпретация и имплементация саг )). Там всё очень упрощено и декларативно.

🔷 Architecture standard определяет сагу в пункте 21.2.7. Ensuring Global Consistency with Saga Patterns

Спасибо, что развиваете отрасль с помощью нашего чата!

#DistributedSystems #Многоликий

Коллеги, напоминаю, если у кого есть желание пополнить состав авторов канала @ru_arc , не стесняйтесь обращаться к @sergey486 или к @emacsway .

Не обязательно эксперты - для деятельных новичков дело тоже найдется. Не так давно к нам вернулся @GKruglov , а вместе с ним и сложные, напряженные, но чрезвычайно продуктивные обсуждения. Информационная нагрузка чата возросла кратно, а значит, она стала нуждаться в систематизации и обобщении в виде дайджестов, компиляций, и полноценных структурированных статей.

Предполагается деятельность не только в tg-канале, но и в очных мероприятиях.

Всем привет!

В прошлом году на ArchDays @varkulevich рассказал о своем проекте, «Онто». Сейчас позиционируется как «Облачная платформа для совместной работы, позволяющая объединить команды и данные в реальном времени».

Когда мы начали ассоциацию, Артем предложил попробовать Онто для наших нужд. И я благополучно отложил это предложение в долгий ящик, пока недавно @GKruglov не упомянул, что расчехлил protege для построения онтологий.

Ну и мы предложили Артему показать, что умеет Онто, как его можно использовать для нужд ассоциации и для личных целей.
Сошлись на том, что это может быть интересным и еще кому-то, поэтому приходите все желающие, посмотрим на проект.

Пройдет в следующую пятницу, 2-го сентября в 19:00
Ссылка на регистрацию: https://us02web.zoom.us/meeting/register/tZIsfuCupzsuGNK77B7qpBLC2AbDDJGswQN8

Кучка ссылок
Питч о проекте на ФРИИ https://sprint.iidf.ru/startups/onto/
Сайт проекта: https://ontonet.ru/
Инструкция пользователя https://ontonet.ru/startingtour
Пользовательские ситуации: https://ontonet.ru/case
Техническая документация по проекту: https://ontonet.ru/info
Платформа: https://ontonet.online/
Бэклог идей пользователей https://idmsykl.ducalis.io/rice-feature-priorities/summary

⚒️Интересный обзор решений на российском рынке для коллективной работы на онлайн-досках. Весьма актуально может быть ввиду того, что с полюбившейся многим Miro могут быть проблемы.

За наводку спасибо @kwiscakh.

#Инструменты #Tools

Строим ИБ в софтверном проекте.

Сделал небольшую памятку с чего можно начать погружение в ИБ в софтверном проекте. Скомпилировал сообщения в этом посте.

Проект OWASP и TOP-10 самых популярных уязвимостей:

👓OWASP TOP-10

В наше киберпреступное время к сожалению не все разработчики знают что это такое. Если кратко - это рейтинг самых популярных уязвимостей в веб-приложениях. Обновляется раз в несколько лет и содержит общие рекомендации по их устранению.

Вообще, сам проект OWASP (Open Web Application Security Project) - это некоммерческая организация, нацеленная на повышение защищенности веб-приложений.

Помимо рейтинга уязвимостей, там есть еще немало интересного, например:
- Инструмент для поиска уязвимых зависимостей в Java
- Популярный сканер веб-приложений OWASP ZAP
- Руководство по тестированию веб-приложений
И многое другое. Полный список на этой странице

CIS Controls - фреймворк безопасности для организации

Если уже ознакомились с OWASP'ом, то вот вам следующий материал, который касается более общей темы по безопасности.
Это CIS Сontrols (на данный момент версии 8 ) от некоммерческой организации CIS (Центр Интернет Безопасности).
Здесь собраны рекомендации для организаций, которые хотят повысить свою защищенность. То есть не для конкретного ПО, а для организации в комплексе (хотя про ПО там тоже есть). Можно сказать это некий ИБ-фреймворк.

И если сам Controls может быть не очень интересен нам, как разработчикам, то на сайте имеются так же так называемые бенчмарки, которые могут быть более позными на прикладном уровне. Например, тут есть рекомендации по куберу, докеру и т.д.

Выглядит как отличная отправная точка для тех кто хочет поправить ИБ-здоровье в своей компании.

Изучаем на практике

Следующим шагом в изучении ИБ может стать что называется "набитие руки". Думаю, разработчикам может быть интересно посмотреть как ведут себя узявимости в дикой природе. Для этого можно пойти и посканить собсвенное изделие есть специальные сервисы и приложения, которые содержат определенные уязвимости.

- Один из самых популярных ресурсов HackTheBox Распространяется как SaaS, много бесплатных лаб.
- Vulnhub. Много виртуалок с уязвимостями (которые нужно скачать и запустить), но почему-то последняя активность в ноябре прошлого года.
- OWASP Juice Shop - уязвиомое веб-приложение от OWASP, содержит весь TOP-10 и много чего еще
- Список узязвимых приложений от OWASP
Думаю вы без труда найдете похожие проекты.

Ну а дальше, когда получен какой-то практический опыт и примерное понимание предмета, можно приступать к моделированию угроз, внедрению SSDLC путем использования технических и организационых средств

-

Мы сами пользуемся этими ресурами, но это конечно далеко не весь список того, что нужно сделать. И если у вас нет своих ИБ-специалистов, то лучше всего обращаться в специализированные фирмы или искать их в штат, но хотя бы у вас будет точка отправления.

via @stringconcat

#Безопасность #Security #SSDLC

Если с умным я в адский огонь попаду,
То сумею, пожалуй, прожить и в аду.
Но не дай Бог в раю с дураком оказаться!
Отведи, о Всевышний, такую беду!
—  Омар Хайям

Тысячу лет назад Омар Хайям достаточно остро описал те причины, которые двигали нами при создании объединения архитекторов - места, где есть ребята, с которыми не страшен никакой ад.

#Goal

📏 Стандартизация и единообразие.

В нашем чате как-то поднималась тема стандартизации и унификации.
Это одна из моих любимых тем, поэтому я записал небольшое видео.
Для кого-то покажется очевидностью, а кто-то cможет почерпнуть идеи для своих проектов.

Всем привет! На прошлой неделе у нас не было постов, потому что мы готовили документы для формального учереждения организации и таки учередили ее.
Теперь мы не просто канал, а целая региональная общественная организация "Объединение ИТ-Архитекторов".
Учередители:

- Баранов Сергей @sergey486
- Круглов Геннадий @GKruglov
- Лукьянов Евгений @elukianov
- Закревский Иван @emacsway

Почитать устав и ознакомиться с целями можно тут. По вопросам вступления обращаться в Joining Bot: @ru_arc_bot

После вчерашней новости поступило много сообщений в @ru_arc_bot. Мы всех видели, никого не потеряли, всем обязательно ответим, но чуть-чуть позже (нас завалило оргмоментами и работой). В скором времени свяжемся. Спасибо за оказаное нам доверие!)

С Днем Программиста!

Про членские взносы. Вчера часто спрашивали. Поясняю.

1. Членские взносы технически возможны только с момента государственной регистрации Организации и обретении ею прав юридического лица. В обозримой перспективе такая потребность пока не просматривается.

2. Размеры членских взносов устанавливают сами члены Организации на Общем собрании - это их исключительная компетенция, закрепленная ФЗ 7 и ГК. Сколько они сами решат, столько и будут платить.

Зачем мы внесли информацию о членских взносах в Устав, если их по факту нет? Изменение Устава - штука достаточно хлопотная, т.к. ГК допускает изменение Устава исключительно очной формой Общего собрания членов Организации. А это значит, что в одно время и в одном месте нужно физически собрать как минимум кворум в половину состава организации. Поэтому, ряд положений Устава был просто скопирован из типового Устава "на вырост", с целью минимизации изменений Устава.

Зачем мы формализовались?

Чтобы иметь законное право называться организацией в исполнение ФЗ 82. А для этого необходимо, чтобы организация имела Устав и Протокол учредительного собрания. С момента учреждения все учредители автоматически становятся членами организации наравне со всеми остальными членами.

Вчера прозвучало утверждение о коммерциализации нами сообщества.

Во-первых, как я уже говорил, с момента учреждения Организации все её учредители автоматически становятся её членами наравне с остальными. Именно поэтому общественная организация является рискованной организационно-правовой формой для инвестиций, т.к. руководящие её органы являются выборными, они подотчетны общему собранию и могут быть переизбраны в любой момент.

Во-вторых, по закону общественная организация может тратить прибыль только на достижение её уставных целей. Прибыль не может распределяться между членами/участниками/учредителями организации. Комитет организации даже зарплату не может в ней получать.

В-третьих, члены Комитета и Председатель Организации находятся даже в менее выгодном положении, нежели рядовой её член или вообще случайный прохожий, потому что существует ст.27 ФЗ 7
https://www.consultant.ru/document/cons_doc_LAW_8824/1b0c2d3c7cca721994c4211fe5940aea1e16fd6d/

В-четвертых, как я уже говорил, хозяйственная деятельность возможна только с момента государственной регистрации, которая, как я говорил, в обозримой перспективе пока не предусматривается.

В-пятых, если привести те ресурсы времени, которые мы вложили в создание этой организации, к средней архитекторской зарплате, то уже набралось бы на трешку в районе МКАД. Раза три я доходил до грани, и хотел уже все бросить, но парни не дали - в этот момент я понял, для чего нужно объединение.

Зачем тогда мы сделали организацию?

Мы сделали её потому, что:

1. Нам нравится развиваться вместе. Мы знаем друг друга уже давно и взаимовыручка стала для нас привычной.

Да, организация не дает нам прямых материальных выгод, но она укрепляет наше положение на рынке и открывает новые возможности.

2. Нам нравится объединять крутых спецов и вместе достигать вершин квалификации.

За короткое время существования объединения я обрел невероятно качественный и чрезвычайно востребованный инкремент знаний. В одиночку я этого не сделал бы никогда. Никакие платные курсы с этим не могут сравниться.

3. Мы видим ряд проблем в отрасли, устранить которые в одиночку невозможно. Но если консолидировать усилия, то расстановка действующих сил изменится.

Нам нравится качественно изменять условия своей работы. Мне объединение уже изменило условия моей работы информационно, методически и имиджево. Мы провели совместную конференцию, сделали workshop для программистов по EventStorming, получили ряд первоклассных консультаций известных узкопрофильных специалистов по трудным вопросам, приняли участие в подготовке к печати книги "Learning DDD" - фамилии наших сотрудников отражены на странице Acknowledgments.

4. Нам нравится быть организованной силой, которая стоит на защите наших общих интересов.

5. См. #Goal и уставные цели, которые были сформированы на основе коллегиального анализа проблематики отрасли.

Если вы разделяете нашу позицию, то Закон предусматривает два вида участия в организации:

1. членство и почетное членство;
2. участие и почетное участие.

Членство подразумевает под собой признание уставных целей и принятие на себя прав и обязанностей. Только члены Организации могут определять способы её существования.

Участие подразумевает просто признание уставных целей и способствование их достижению. Никак не оформляется, ни к чему не обязывает, но и прав никаких не дает.

Почетное членство/участие не накладывает прав и обязанностей, и предусмотрено для иностранных граждан, либо для тех, кто не может принять на себя всю полноту участия в деятельности организации, но может содействовать целям организации в ином виде.

Членство в организации возможно только по рекомендации действующего её члена со стажем не менее полугода или с момента учреждения организации. Если рекомендовать некому, то можно обратиться в бот @ru_arc_bot, и в процессе участия в деятельности организации появится возможность заручиться рекомендацией.

Для подписчиков канала скидка 20% на конференцию ArchDays по промокоду ru_arc

https://archconf.ru/welcome_from_sergey

Уже принято 20 выступлений, в этом году усилилась сходимость к миссии, которую я ставил перед конференцией:
«распространение имеющихся и создание новых знаний об архитектуре программных решений».

О системе квалификационной классификации. Зачем и почему она была создана.

1. Мы не первые, кто осознал в ней необходимость и предпринял попытку реализовать её. Похожая система существует во многих объединениях, например, в проектной ассоциации:
- https://projects.management/infopage.html?Page=vision
- https://projects.management/infopage.html?Page=statuses

Большую популярность набирают социальные токены.

Даже в LinkedIn есть система Endorsement.

Но мы предприняли попытку сделать систему максимально объективной, независимой, равноправной, прозрачной, распределенной и простой. И одновременно с этим - максимально защищенной от фальсификаций, субъективизма и когнитивных искажений.

Насколько нам это удалось - будем смотреть на практике и адаптировать по результату.

Исходный код разрабатываемой системы открыт:
- https://github.com/emacsway/grade

2. Часто приходилось слышать о том, что засилье коммерциализированных сертификатов не отражает реальный уровень экспертности. Мы считаем, что экспертному сообществу виднее, и решили предоставить именно ему право определять уровень экспертности своих участников. Никто не может вмешиваться в этот процесс. И председатель организации, и новичок имеют равные права рекомендовать и быть рекомендованным.

3. Еще Gregor Hohpe подсветил ключевую проблему экспертных сообществ - Эффект Даннинга-Крюгера, по причине которого генерируется большое количество информационных помех в сообществе, что повышает когнитивную нагрузку на участников сообщества и демотивирует грамотных экспертов. Система призвана восстановить качество информационного пространства.

Другая проблема заключается в том, что тот, кто больше всех занят делом, как правило, наиболее скромен в общении в силу дефицита времени. Зачастую это приводит к гегемонии бескомпетентности в информационном пространстве сообщества - от этого страдает большинство технических пабликов.

Разрабатываемое нами ПО предусматривает возможность подключения в любую техническую телеграм-группу в качестве более продвинутой версии карма-движка.

4. Закон не позволяет принимать решения по самоуправлению дифференцировано, но предусматривает возможность создания добровольных совещательных органов. Разные люди обладают разным уровнем экспертности, игнорирование которого не позволило бы максимально полно отразить экспертность в рекомендациях совещательного органа.

5. Система banofbot сообщества очень примитивна и рискованна. Её можно усовершенствовать, если учитывать ценность вклада и экспертность того, кто банит, и того, кого банят. Таким образом можно существенно облегчить бан спамеров и защититься от атак против весомых участников чата.

6. К нам уже сейчас обращаются с запросами на консалтинг. Если компании доверяют организации, то организация должна стремиться, к тому, чтобы оправдать доверие, и предпринять конкретные шаги к тому, чтобы эти запросы были адресованы в первую очередь к тем, кто обладает наивысшим уровнем экспертности, выраженной конкретным опытом, ценность которого подтверждена другими членами организации.

Причиной загнивания кодовой базы являются когнитивные искажения - в очередной раз подтвердил Kent Beck, подчеркнув актуальность и обширность проблемы. Отсюда следует вывод о том, что рациональная аргументация перед лицом, находящимся под их воздействием, работать не будет - требуется организация таких процессов разработки, которая взаимно компенсировала бы когнитивные искажения.

💬 "I’ve always been puzzled why the balance between structure & behavior investment seems so hard to maintain. I’m also puzzled why the balance we see in the wild is so heavily tilted towards behavior changes when as I geek I think it should be more balanced.

If "behavior change = revenue" & "structure change = option", then the struggle for balance makes more sense. It’s not about the personalities of Product versus Engineering. It’s not about short-sighted versus visionary thinking. The struggle is economic—do we make some money now or more money later? The answer is always “both”. We have to make some money now to survive. We want to make more money later. Fear versus greed. No wonder it’s so hard to get time to refactor."

— "Behavior Change = Revenue Versus Structure Change = Option" by Kent Beck