jueves, 2 de mayo de 2013

¿Cómo hay que regular la Ingeniería Informática?

Estos días estamos viviendo otra vuelta más de tuerca a la Ingeniería Informática. Así que creo que ha llegado la hora de exponer mi punto de vista.

Espero que no contente totalmente a nadie. Ni a los partidarios. Ni a los detractores. Si no, es que algo habré hecho mal.

Por supuesto, esta es mi personal visión de las cosas.

NOTA: Es este texto el término "Ingeniero Informático" incluye a las profesiones de Ingeniero en Informática e Ingeniero Técnico en Informática así como a todos los títulos universitarios vinculados a ellos.


Pedir la regulación de la Ingeniería Informática ¿no es corporativismo?

Si yo pensase que se debe pedir la regulación de la Ingeniería Informática para defender los derechos de los profesionales de la Ingeniería Informática no me atrevería a decir nada. Nunca he sido partidario de los privilegios y no voy a empezar ahora.


Pero entoces ¿Qué razones hay para regular una profesión?

Claramente solamente veo una razón la defensa del interés general. Yo quiero que exista una regulación de la profesión de Ingeniero de Caminos porque no quiero que los puentes se caigan. Así mismo, yo quiero que exista una regulación de la profesión de médico porque mi salud y la de mis conciudadanos depende de ello.


¿y cómo identificamos el interés general?

Pues a falta de otras referencia a mi se me ocurre que una buena fuente es la Constitución Española. El Título I define los derechos y deberes fundamentales. Y ese creo que debe ser el marco de referencia. Volveré a ello más tarde.


Entonces ¿No debería requerirse la firma de un Ingeniero Informático en todos los proyectos Informáticos?

Pues de ninguna manera. Yo creo que solamente debe regularse la realización de actividades que afecten al interés general.


¿Y no debemos exigir un título concreto para programar?

Pues eso está en la libertad de cada empleador. Pero no se me ocurre por qué habría que pedir tal cosa.


¿Qué modelo de regulación deberíamos tener?

Básicamente, según yo lo veo hay dos modelos de regulación de acceso a una profesión: el acceso basado en titulación y el acceso basado en acreditación.

El modelo basado en titulación es el que tenemos en España. Estar en posesión de un título da acceso directo a una profesión regulada. Uno va con su título universitario de Arquitecto y se inscribe en el Colegio de Arquitectos.

El modelo basado en acreditación se usa en algunos países anglosajones. Este modelo separa totalmente la titulación universitaria de la profesión. En este modelo son las sociedades profesionales las que evalúan que un profesional tiene la capacidad para ejercer una profesión regulada, independientemente de la titulación. Típicamente uno va a la universidad, ejerce bajo la supervisión de un profesional acreditado durante un periodo (uno o dos años en muchos casos) y luego realiza el examen en la sociedad profesional para obtener la acreditación. Como anécdota os diré que una vez conocí a una persona que era "Geólogo de formación e Ingeniero de Minas de profesión".

Un efecto adicional que tiene el modelo basado en acreditación es que la sociedad profesional se convierte de forma automática en un control de calidad externo de la formación que las universidades dan a sus titulados.

A estas alturas el lector habrá adivinado que modelo me gusta más.


Pero entonces volviendo a la Ingeniería Informática ¿Qué hay que regular?

Dije antes que únicamente aquello que afecte al interés general. Bien empecemos por la constitución como marco de referencia e intentmos ver algunso casos concretos:


Artículo 15: Derecho a la vida

Dice este artículo que "Todos tienen derecho a la vida y a la integridad física y moral". Bien, interpreto que esta es la razón que aconseja la regulación de las profesiones que pueden poner en riesgo la vida de las personas.

Bien revisemos algunos ejemplos de sistemas informáticos, para ver si afectan a esto:

Caso 1: Sistemas de control de tráfico. Hace años participé en el diseño y construcción del sistema de control del carril BUS-VAO en la entrada a Madrid por la A-6. Un error en este sistema puede provocar que dos vehículos se encuentren de frente sin posibilidad de maniobra. En el pero de los casos esto puede dar lugar a accidentes de tráfico.

Caso 2: Equipamiento hospitalario. Hace menos años diseñé y desarrollé una parte de un equipo de tomografía por rayos X (comunmente conocidos como TAC). Bien un error en el software de este tipo de máquinas puede provocar una dosis excesiva de rayos X a una persona. Y todos sabemos el efecto que tiene sobre la salud.

Caso 3: Tráfico aéreo. Recientemente se ha sabido que fallos de seguridad informática podrían permitir que una aplicación informática podría permitir desviar la ruta de un avión. Sin comentarios.


Artículo 18: Informática y derecho a la intimidad

Dice el artículo 18.1 que "Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen". Y el artículo 18.4 insiste en que "La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos".

En la época en las que nuestros datos son almacenados y tratados por múltiples sistemas informáticos uno se hace múltiples preguntas.
  • ¿Quién garantiza que los datos que almacena la agencia tributaria se almacenan y tratan con las debidas garantías?
  • ¿Quién garantiza que los datos que de nosotros tiene la seguridad social (como nuestro historial médico) se custodia con las debidas garantías? ¿Y los de los hospitales privados?
  • ¿Quién garantiza que los datos que tiene la administración de trabajo no se revelarán a nadie?
  • ¿Y los datos que tienen nuestros empleadores?
  • ¿Y los bancos?
  • ¿Y las compañías de seguros?
En definitiva ¿Se está garantizando adecuadamente nuestro derecho a la intimidad?


Artículo 30: Derecho de propiedad

Dice aquí que "Se reconoce el derecho a la propiedad privada y a la herencia."

Este es un derecho tremendamente complejo y con muchas derivaciones. Pero me gustaría hacer alguna consideración.

He perticipado en la puesta en marcha de servicios de alguna entidad bancaria. En este caso, un error en el desarrollo o en la operación y mantenimiento del sistema informático, puede dar lugar a graves pérdidas para la entidado así como perjuicios para los clientes.


Y ¿qué pasa cuando la un problema llega a los tribunales?


Un caso de litigio laboral

Supongamos un caso concreto y muy parecido a uno real que conozco de primera mano. Una empresa despide a un empleado aduciendo que su baja productividad se debe a que hace uso de los medios informáticos de la empresa para fines personales. Como prueba, presenta un listado del registro de actividad del router de acceso a internet en formato PDF (cuando queráis generáis uno así con el Word). Así mismo presenta un informe pericial realizado por un Ingeniero Técnico Industrial Mecánico (disciplina, a la que por otra parte respeto profundamente).

Mi pregunta es ¿debe el juez aceptar esto como prueba? Seguro que al lector se le ocurren más preguntas al respecto de este caso.


Otro caso distinto

Supongamos ahora que los empleados del departamento de informática de una empresa se marchan de la misma. Supongamos que se llevan una copia del código fuente de la aplicación estrella de la empresa al que realizan modificaciones y lo comercializan bajo otro nombre.

Y yo me pregunto ¿quién está cualificado para determinar si se ha producido copia del producto?


En conclusión

Visto lo visto, si como parece el Gobierno decido no regular la profesión de Ingeniero en Informática estará cometiendo un grave error, no porque decida dejar en una situación irregular a los Ingenieros en Informática de este país. No será por eso. Será porque no está defendiendo el interés general.

Y hasta donde yo se, es obligación del Gobierno de la Nación defender el interés general de sus ciudadanos.

domingo, 11 de noviembre de 2012

Standards and Patents (Educating colleagues)

Usually, I do not write twice about the same thing. And usually I am not very disciplined about blogging.

However, after my last blog entry, I have had multiple twitter interaction with a twitter user (@DrPantera). And finally I have decided that I have to post something that should serve as general standards education.

I want reproduce every interaction (which, by the way are in Spanish) but just give some general ideas. During our twitter discussion this user said:

  • Only Microsoft can implement ISO/IEC 29500.
  • It is nonsense standardizing a tool that only one company can implement.
I think both assertions are false. Firstly, I will explain why.

ISO/IEC 29500 defines a set of standard files format. So, it is not appropriate to speak about implementing the ISO/IEC 29500. What somebody can implement is a tool to produce, read, process, render (or whatever) files in such a format.

Anyway, the real argument was that as some parts of the format are protected by patents, only the patent holder (Microsoft in this case) can implement it. I argued, that another company could license the patent. The counterargument is that only licensed companies would implement. That's right, that is how business work.

As the discussion was going on. I thought that instead of speculating the right thing was to go the right source: ISO.

Reading this page about Standards and Patents in the ISO Website was crystal clear:

First: ISO, IEC and ITU have a common patent policy. I am not a lawyer, read it yourself to be sure. However what I interpret in short is that if a deliverable contains provisions depending on a patent there are 3 options: either the patent holder agrees to negotiate licenses free of charge or the patent holder agrees to negotiate licenses with charge or the provisions are removed from the deliverable. In all cases license negotiations need to be on a nondiscriminatory basis on reasonable terms and conditions.

Second: What model applies to ISO/IEC 29500? Well in the same page there is en Excel file with all the current standards and associated patent holders. OK. What doest it says about 29500? There are patent notes at the name of Microsoft and the entry is marked with an "F".

What does the "F" means. Literally: <"F" = Prepared to grant a license free of charge>.

By the way, according to the same sources:
  • ISO/IEC 14496-14 (MP4) is related to a patent from Apple (US Patent numbers 6,134,243,6,453,355).
  • ISO/IEC 15444-3 (JPEG) is related to a patent from Apple (6,134,243).
  • ISO/IEC 32000-1 (PDF) is related to a patent from Adobe Sytems Incorporated 
  • ISO/IEC 11172 series (MP3) is related to patents from very long list of companies.
  • ISO/IEC 14496-10 (MP4) is related to patents from another long lsit of companies.
Most of those patentes do not have the "F", so you need to negotiate a patent licensing and eventually pay for it.

There is an important point on all this. There are some things that we have been forgetting for a long time in Higher Education of Computer Professionals.

FIRST: An engineer must always be as agonostic as possible. This means that if possible he/she must go to the right sources to get the right information. Moreover, making claims only based on available date is included both in IEEE and ACM code of Ethics.

SECOND: Understanding of standards is essential to any Computer or Software Engineer these days. It is important to understand the technical issues in the standards. But as I have shown this is not enough. It is important also to understand which is are the rules of standards bodies, how different stakeholders are represented (or sometimes underrepresented) in standardization, which are the standardization procedures.

THIRD: A basic knowledge of law is also very important. I have shown here that sometimes national laws may enforce the use of a standard. It is also very important that we as engineers are able to understand the implications of intellectual property and the role of patents (where applicable).

And coming back to our code of ethics, I feel that this post is writteng according to item 10 of IEEE Code of Ethics (to assist colleagues and co-workers in their professional development and to support them in following this code of ethics), and similar provisions in the ACM code of ethics and in the ACM Software Engineering Code of Ethics.

IMPORTANTE NOTICE: If you find that anythin of this post is not true or has any inacurracy, please, contact me and I will correct it inmediately.


domingo, 4 de noviembre de 2012

Standards and Open Standards

When I write something about standards, usually is about C++. This post is not the case, so if you were reading this looking for C++ info, stop now.

A few hours ago, a good friend of mine (@jmdodero) wrote this tweet:

El MAP dice que docx es abierto! Standards for ES Public Administrations http://www.boe.es/boe/dias/2012/10/31/pdfs/BOE-A-2012-13501.pdf …

In English: "The Spanish Public Administration ministry says that docx is open! Standards for ES (Spanish) Public Adminstrations". The link points to an official document from the Spanish Government approving the Technical Standard of Standards Catalogue Interoperability. In essence this document establishes a list of standards to be used for the Spanish Public Administration.

I'll save you the legal details. However one of the items in the list is:


  • Category: File formats - Image and/or Text.
  • Common Name: Strict Open XML
  • Formal Name: ISO/IEC 29500-1:2012 Information technology -- Document description and Processing languages -- Office Open XML File Formats -- Part 1: Fundamentals and Markup Language Reference - Strict
  • Type: Open
  • Version (minimum accepted): 2012
  • Extension: docx, xlsx, pptx
A few minutes later. I answered:

ISO/IEC 29500-1:2012 y ECMA-376. Las dos públicamente disponibles = estándar abierto. ¿Cuál es el problema?

In English:

IOS/IEC 29500-1:2012 and ECMA-376. Both publicly available = open standards ¿What is the problem?

I should not be a typical suspect. I mean, I run a Linux laptop and 2 android devices. Many know that I think that the best editor is vi (vim is ok, too) and a really like LaTeX. However in a few minutes I got the following answers:

  • @jdgarciauc3m when you save a document in MS Office 2010 […] you are not saving them in the advertised OpenXML format This document will hence NOT be properly readable by other software http://t.co/AeohSarn
  • @jdgarciauc3m que no existe ninguna implementación del standard, ni siquiera MS Office lo soporta
    • There exists no implementation of the standard, even MS Office does not support it.
Well, I thought that it was time to clarify what a I think. I'll try to do so:

Question 1: Is ISO/IEC 29500-1:2012 an open standard?

Well, this is the easiest question. By definition any ISO/IEC standard is an International Standard. I could explain this in more detail, but for now let's agree on this.

The definition of "Open Standard" is "a standard that is publicly available". As any other ISO standard, ISO/IEC 29500-1:2012 is available from www.iso.org.

Question 2: Does MS Office 2010 fulfill the ISO/IEC 29500-1:2012?

I hope not.

Surprised?

It is almost impossible that a product shipped in 2010 fulfills a standard that has been approved in 2012. The only possibility I see is that people at Microsoft had a time machine. And, I do not think they have (otherwise sometimes they would have made different business decissions), but, paraphrasing Michael Ende, that is a different story and must be told in a different time.

Question 3: If there is no existing implementation of the standadrd does it make sens to put it in the catalogue?

Yes. Let me explain why.

First. No one implements a file format. What one can implement is a tool for processing files (generate them, render them, ...) in such a format. However it may be true (I do not know and I do not mind), that no existing tool correctly processes the format.

What the Spanish official document is saying is that if a public agency wants to receive text documents from another public agency or a citizen, it must say which formats is willing to accept. By the way, ODT (ISO/IEC 26300:2006) , PDF (ISO/IEC 32000-1:2008) and PDF/A(ISO/IEC 19005-1:2005 and ISO/IEC 19005-2:2011) are also in the same list.

So, the point is. We have a format in the list and when some tools are available it is possible that an agency includes in the list that format.

I still do not see the problem.



martes, 30 de octubre de 2012

Important news for the C++ Community

C++11 has been a major step for the C++ community. However, we need to do much more in the forthcoming years to help developers prodece better and faster software.

I recommend all of you interested in C++ to see Herb Sutter's talk this Friday:


The Future of C++ 
Friday, November 2, 2012
12:45pm (U.S. Pacific Time)

Probably, for those of you in Europe the time is not the best. In any case, it will be available for download a couple of days later. 


Let me tell you, that there will be at least one important announcement for C++ community.

miércoles, 21 de marzo de 2012

To throw or not to throw: That is the question


While having dinner with some colleagues. We had an interesting discussion on the usefulness of throwing exceptions from libraries.

The discussion lead to comments on two books:

  • C++ Coding Standards: 101 Rules, Guidelines, and best practices. By Sutter and Alexandrescu.
  • API Design for C++. By Martin Reddy.

As I remember the conversation the statement was more or less "A (well designed) API should not throw". My first thougt was that some time had passed since I read both books and that I did not remember the rule to be so severe. So I decided to go back and read again the books. First of all let me say that I enjoyed a lot reading both of them. C++ Coding Standards is an excellent book and I am really willing to see when Sutter and Alexandrescu release a C++11 update of the book. C++ API Design is a good book. Although I may have some concerns on specific parts of it, I like it. And I have used some chapters in an invited course I gave on software design and patterns in C++.

Now, let's go to the topic.

A lot has been said about exceptions in general as an error reporting mechanism. One of my colleagues found conflicting the following advices/rules:


  • Prefer exceptions to report errors. This is guideline 72 from Sutter and Alexandrescu.
  • Don't allow exceptions to propagate accross module boundaries. This is guideline 62 from Sutter and Alexandrescu.


At first sight, it seems that both rules are conflicting. Are they? As some imprecise reference on API design for C++ was also done. I decided to go first to this one. I did not really find anything in Reddy's book against the usage of exceptions in general. What Reddy does is to provide good suggestions if you provide error reporting through exceptions in your library. To be fair, it also states that "Google forbids the use of exceptions in their C++ coding conventios because most of their existing code is not tolerant of exceptions". However that does not seem an argument against the usage of exceptions.

Now, let's go back to rules 62 and 72 from the C++ Coding Standards book. I will start with rule 72. I usually prefer this rule and I usually report errors through exception. The key rationale is that it easily allows to make a separation between the point were the error condition is detected and the point where the error condition is handled. This is generally what happens when a library does not know what to do when it detects the error.

Exceptions exhibit advantages over returning error codes:

  •  Exceptions can't be silently ignored.
  •  Exceptions propagate automatically.
  •  Exceptions handling removes error handling and recovery from the main line of control flow.
  •  Exception handling is a very good alternative for reporting errors from constructors and operators.


Some general disadvantages may be identified:

  • Writing exception safe code is not easy for beginners and special care must be taken in destructors.
  • Having exception compiler flags activated may lead to larger executable sizes. And in some platforms to minor performance penalties. However as even the standard library may throw exceptions it does not seem practical to deactivate those compiler options. And if the flags are activated the performance penalty is very low or even zero.


And finally let's got to the conflictive rule 62. If I read it as an absolute rule I am told that I should not propagate exceptions outside a module. My first answer was: "Well it depends on what you call a module". So I decided to read again rule 62.

I found out that Sutter and Alexandrescu name several things as a module. Their general definition is any cohesive unit of release maintained by the same person/team and consistently compiled with the same compiler and settings. Several grain size apply:

  • A single object file delivering a single class.
  • A single shared/dynamic library


As I read rule 62 and go through the summary I find an "unless". So the rule really says:

"Don't allow exceptions to propagate accross module boundaries unless you control the compiler and compiler flags used to build both sides". 

Now I got it. The reasoning behind the rule is that there is no standard for ABI. That is Application Binary Interface is dependent on compiler vendors and platforms.

So we have the following cases:

  1. Applications using static linking. In that case you do not need to bother you can throw exceptions as they are needed.
  2. Applications using dynamic linking in which the dynamic library and the client code are compiled by the same team, or tat least use the same compiler and the same compiler flags. I do not see a problem here either.
  3. Applications using dynamic linking in which the dynamic library are distributed in binary format and/or are compiled with different settings. That is the case where we cannot have the luxury of propagating exceptions.


Is there any other reason to avoid the usage of exceptions? Well. Yes. There are.

Some specific guidelines for high integrity safety critical software may exclude using exceptions for different reasons. But that's a diffeent story.

A partir de ahora, también en inglés

En el pasado he recibido peticiones de poner en inglés alguna entrada de mi blog. Me sorprendió la verdad.

Mi primer impulso fue poner un plugin de google-translate. Sin embargo algunas cosas no acabaron de funcionar. Especialmente cuando empecé a poner código C++ en las entradas.

Conclusión. A partir de ahora algunas entradas las pondré en inglés.

martes, 20 de septiembre de 2011

Noticias desde la normalización de lenguajes de programación

Hoy ha terminado la asamblea plenaria anual del subcomité ISO/IEC JTC1/SC22. Los se. En el mundo de la normalización se utilizan acrónimos insoportables. Probablemente resultará más inteligible si lo reformulo: Hoy a terminado la asamblea plenaria anual de subcomité de normalización de lenguajes de programación, sus entornos e interfaces de sistema.

Hay una larga lista de resoluciones tomadas por el subcomité. Algunas son meramente burocráticas y me las saltaré. Vayamos a la que pueden tener cierrto interés.

  • Se va a iniciar el estudio de una posible propuesta para normalizar la firma digital de código fuente.
  • Se ha disuelto el grupo de trabajo WG11 (binding techniques). Este grupo ha sido responsable de trabajos en especificación de aritmética independiente del lenguaje. No obstante, el interés directo de la industria en las actividades del grupo parece bajo y no se consigue tener una masa crítica en el grupo de trabajo. Este grupo de trabajo no desaparecerá realmente, sino que sus actividades se transfieren a otro subcomité (gestión e intercambio de datos / metadatos).
  • Se ha disuelto el grupo de trabajo WG16 (lenguaje Lisp). Este grupo ha dejado de tener actividad y no parece que haya sufiente interés industrial en el lenguaje.
  • Se ha aprobado la posibilidad de que la especificación del lenguaje ECMAScript (norma ISO/IEC 16262:2011) se pueda obtener gratuitamente a través de ISO. Esta norma ya se puede obtener de forma gratuita a través de ECMA.
  • Se ha confirmado la confirmación de las siguientes normas:
    • ISO/IEC/IEEE 9945:2009 Portable Operating Systems Interface (POSIX) Issue 7.
    • ISO/IEC/IEEE 11404:2007 General Purpose Datatypes.
    • ISO/IEC TR 19768:2007 Technical Report on C++ Library Extensions.
    • ISO/IEC 24716:2007 Native COBOL Syntax for XML support.
    • ISO/IEC 24731:2007 Extensions to the C Library - Part 1: Bounds checking interfaces.
  • Se ha decidido pasar a estado estabilizado (lo que hace hace que las normas dejen de estar activas) las siguientes normas:
    • ISO/IEC 13568:2002 Z formal specification notation - Syntax, type system and semantics.
    • ISO/IEC 15145:1997 Programming Languages - FORTH.
    • ISO/IEC 20970:2002 JEFF File Format.
Además, se ha revisado el estado en el que se encuentra la normalización del lenguaje Ruby que ya es una norma nacional en Japón y que previsiblemente se convertirá pronto en una norma internacional.

Tras esto, merece la pena fijarse en cual es el panorama en la normalización de lenguajes de programación en los distintos foros internacionales.

La estructura de grupos de trabajo de normalización dentro del ISO/IEC JTC1/SC22 queda de la siguiente forma:
  • WG4: COBOL.
  • WG5: Fortran.
  • WG9: Ada.
  • WG14: C.
  • WG17: Prolog.
  • WG19: Lenguajes de especificación formal.
  • WG23: Vulnerabilidades de los lenguajes de programación.
Otra organización internacional que trabaja en la normalización de lenguajes de programación es ECMA que mantiene los siguientes grupos de trabajo:
  • TC49-TG2: C#.
  • TC49-TG3: CLI.
  • TC49-TG4: Eiffel.
  • TC49-TG5: C++ para CLI.
  • TC39: ECMAScript.
Por último, en Japón, IPA mantiene la normalización del estándar sobre el lenguaje Ruby.

Tanto Ruby, como las normas desarrolladas por ECMA pueden pasar por un proceso especial para convertirse en normas ISO. De hecho esto constituye una práctica habitual de la que Ruby y ECMAScript son dos ejemplos actuales.

Y ¿adonde nos lleva esto? Pues a una lista bastante pequeña de lenguajes. Es lo que yo llamaría los lenguajes portables de interés. ¿Qué quiero decir con esto?

Veamos para estar en mi lista un lenguaje de programación debe tener una especificación mediante una norma internacional, porque esto garantiza que:
  1. Existe un interés por parte de varios actores de la industria del software en que exista una norma internacional sobre el lenguaje.
  2. Existe una norma internacional que especifica claramente el lenguaje y su entorno de forma que distintos fabricantes compitan ofreciendo productos que cumplen con la norma.
  3. El software desarrollado usando un lenguaje normalizado puede portarse con cierta facilidad de una plataforma a otra.
Como veréis mi lista no es muy larga. Por orden alfabético: Ada, C, C++, C#, COBOL, ECMAScript, Eiffel, Fortran, Prolog. A esta lista podremos añadir en breve Ruby.

De todas formas, debemos tener cuidado con las interpretaciones de mi lista. Esto no quiere decir que estos lenguajes sean los mejores, ni los más usados, ni nada por el estilo. No trato de generar una versión n+1 de la gran batalla de los lenguajes de programación.

Si un lenguaje está fuera de mi lista es porque:
a) No hay suficiente interés en la industria en el uso del lenguaje o en la existencia de una norma independiente.
b) El lenguaje está sujeto a algún tipo de propiedad intelectual que impide la competición entre distintos fabricantes o la existencia del mismo en determinado tipo de plataformas.
Sin embargo no me gustaría que este post empiece a generar comentarios masivos de fanáticos de ningún lenguaje.