Feedback på communityt angående användare

Vore bra om ni kunde se till så att detta forum starkare uppmanar till att användarna som tillhör myndighetssverige(åtminstone) tydligare i sina användarprofiler skriver vad de tillhör för myndighet och roll så att det går att bättre förstå vem som är avsändaren för inläggen. Vissa gör det utmärkt genom att i användarnamnet ha förnamn, initial och myndighetsförkortning. Men i profilen vore det ännu bättre!

Kanske genom att införa begränsning såsom max 5 startade trådar eller 5 svar innan profilen är ifylld eller något annat smart

Jag vill tipsa lite saker man kan tänka på när man har öppen-källkodsprojekt som kanske inte riktigt fångades i DIGGs policys runt öppen källkod.

Licenser:
Det är välkommet att i varje givet system där källkoden tillgängliggörs märka upp vilken licens som är den som gäller enligt det systemets praxis. Exvis på Github är det kutym med en LICENSE.txt samt att fylla i det i metadata-fältet för repositoriet. På paketsystem som NPM, RubyGems et.c. Så har även de ett metadatafält som ska fyllas i. Detta gör att projekt går att filtrera fram baserat på licenser

Förväntningar och känslor av ”entitlement”

• En bra podd på ämnet: https://kodsnack.se/488/
• Contributor guidelines, ett bra sätt att visa hur vi beter oss, även bra att referera till när man vill stänga issues som är irrelevanta eller otrevliga.
• I Readme’n högst upp skriva förväntningarna som kan has på repot. Hur underhålls det, hur snabbt svaras det i regel. Vilka system testas koden på.
• använda issue templates och där införa visdomen:

”Try to be nice, remember when writing that the maintainers are also human and they do this to best of their abilities”

@kristine_ ni säger att ni vill ta emot synpunkter på ett strukturerat sätt. Men ändå vill ni ha en enkät med fritext. Varför publicerar ni inte API-profilen som ett gäng markdown-filer i ett publikt repo på exvis github eller gitlab så att kommentarer kan göras i kontext?

”Tala till de lärde på de lärdes vis och till apor på apors vis”.

Jag vill passa på att berömma att ni öppnar upp för feedback i en såpass tidig fas ändå!🤩

@jenniferskoglund poängen är väl inte att man kan få notiser om man vill utan att det bör ändras så att standardinställningen uppmanar till att besöka oftare. Kanske när nya trådar skapas eller veckosammandrag, då skulle det bli fler än en intim grupp av cirka 20 personer som skriver här regelbundet

@Maria_Dalhage sa i Kunna visa vilka datamängder som använder en viss specifikation:

@Jonas Nordkvist har påtalat att det vore bra att se vilka datamängder som finns publicerade utifrån en specifik dataspecifikation. Detta tycker vi också så vi har skapat en ticket kring detta. Tack för ett bra förslag. Vi återrapporterar i denna kategori.

Jag hittar inte detta ärende på https://github.com/DIGGSweden/dataportal-web/issues, tittar jag på fel ställe?

@johantjader varför väljer ni att publicera som ni gör och inte i ett diffbart format som exvis github/gitlab/gerrit(🤮)/bitbucket? Tänker att det skulle vara enklare att se de faktiska ändringarna då.

@jenniferskoglund att det inte är versionshanterat från början innebär att ni själva inte har koll på vilka ändringar ni gör eller kan granska varandras arbete. Det känns ärligt talat inte bra!

Att det inte finns något syfte med att se skillnaden mellan versioner är ju trångsynt i bästa fall och huvudlöst i andra. NI har bett allmänheten om input. Allmänheten har spenderat massor med tid på att läsa, förstå och komma med inspel. Tror ni att de som redan är insatta kommer läsa igenom samma dokument igen pärm till pärm för att det är kul? För dessa personer hade naturligtvis en förändringslogg varit fördelaktig i tid sparad.

Jag kan inte förstå hur myndigheter i sverige som har så stark arkivarie-tradition inte automatiskt sätter versionsnummer och utgåvenummer och dokumentid på allting. Versionshantering bör inte vara nishat till digitaliseringen, men däremot har vi som kan digitalisering coolare verktyg för dokumenthanteringen. (ShareLatex, Github/Gitlab m.fl.). Hade jag varit jurist hade jag infört versionshanterad LaTeX på alla juridiska dokument!

1. Fanns ingen egen kategori för communityfeedback utan bara för dataportal.se

2. Det verkar finnas hårda gränser i forumet som är satta alldeles för låga, jag har gillat 6 inlägg sedan jag sist var inne, nu får jag inte gilla fler, trots att fler inlägg postats sedan senast.

3. felmeddelanden är inte översatta(se bild)
   https://imgur.com/a/iT9pwzU

@jonor sa i Hjälp folk att bada i sommar med Öppna Data! (Tips och hjälp behövs):

@stefan-wallin [...] Jag förstår att Riksantikvarieämbetet håller reda på sina egna id-nummer, som refereras från Wikidata-objektet i ditt exempel, men jag förstår inte betydelsen av "lokala" i sammanhanget, innebär det att de inte är publicerade som URI:er, men kopplas till ett Q-nummer på Wikidata?

Med lokala så syftar jag helt enkelt på system-lokala unika persistenta identifierare. I kontrast till en global unik persistent identifierare. Med lokaliteten så syftar jag till att många olika organisationer kan ha sina egna identifierare utan att börja med någon slags sammanslagningar eller liknande då vi riskerar duplikat när andra organisationer identifierar samma objekt.

En global identifierare är en identifierare som många aktörer knyter sig till och riskerar skapa dubletter av i ett på något sätt publikt redigerbart system (inte nödvändigtvis wiki, kanske git-repo med PR eller annat system för kors-organisations-förändring). För att en global identifierare ska blir relevant krävs det att datan där håller hög kvalitet och accepteras av många organisationer inom samma bransch för kunna skaffa sig en sådan status.

Exempel på system som håller sådana globala identifierare skulle kunna vara OSM eller Wikidata.

Vi skulle även kunna resonera som så att vi i sverige vill ha ägande över en nationell persistent identifierare. En sådan skulle vi kunna kalla en regional eller nationell persistent identifierare. Där skulle t.ex. DIGG eller RAÄ sätta upp en egen wikibase-instans dit alla kommunala och regionala system knyter sina persistenta identifierare till. Denna wikibase-instans skulle sedan kunna vara en instans dit externa system som OSM eller wikidata knyter an till. Detta skulle också kunna möjliggöra korskoppling av datapunkter mellan olika myndigheter. T.ex. kanske lantmäteriet, en kommun och havochvatten vara intresserade av samma badplats. Då skulle kunna vara intressant att knyta ihop dessa system utifrån den nationella persistenta identifieraren.

Södertälje har blivit med en ut-gör-något-app av en student i Kalmar!
https://www.youtube.com/watch?v=rTV3_AIaolo

Vore kul att höra mer från Tony McCarrick eller från Erik, vart källkoden till repot finns och vilka datakällor som används, så kanske fler kan ge ut sina data i samma format och etablera en nationell standard för dessa saker. Även om det kanske finns bättre standarder. Erik är beredd att skala upp appen till flera kommuner bara datan finns säger han.

@Maria_Dalhage

En enkel approach skulle kunna vara att låta publicera två API-endpoints för just API:er:

• /healthcheck är ju en vanlig som brukar returnera 200 när tjänsten mår bra. Denna skulle DIGG kunna pinga en gång i minuten för att se statusen.
• /changes skulle kunna vara en JSON-array med de senaste nyheterna som DIGG kan konsumera och publicera som RSS.

För fasta datamängder så borde digg vid varje skördning eller nyuppladdning automatiskt kräva fritext på engelska och svenska för vilka ändringar som gjorts alternativt en diff mellan version n och n+1 vid automatisk skördning.

@jonass

Behovet av API-nycklar
Jag har lite svårt att förstå syftet med varför API-nyckeln ska behövas. Min magkänsla är snarare att detta är någon slags säkerhetsteater. Dessa är de potentiella syften jag kan utläsa:

1. Möjlighet att ur ett driftsäkerhetsmässigt sätt begränsa trafiken mot användare
Om vi inte kan kräva en registrering med identifiering före uthämtning av API-nyckel så finns inte heller en realistisk teknisk möjlighet att med hjälp av API-nyckeln effektivt strypa påverkan på driftsäkerheten. Med min erfarenhet av bl.a. DDOS-attacker på några av sveriges största nyhetssajter så kan jag säga att det bästa sättet är utan tvivel att samarbeta med stora DDOS-skydd eller helt enkelt göra tjänsten så snabb och uppskalad att driften ändå inte blir problemet man behöver lösa med API-nyckeln.

Exempelvis med den föreslagna lösningen så ska nycklar inte krävas för tillgång. Då kan man tänka sig att en försvarsmekanism är att när man utsätts för problematisk trafik tillfälligt blockera all trafik som inte har API-nyckel och bara servera till de med API-nycklar. Problemet är att en attackerare kan göra så att det ser ut komma från nästan vilket IP-nummer som helst och dessutom slumpa vilket IP-nummer som används för varje förfrågan. För varje förfrågan så kan även en attackerare generera upp en ny slumpad nyckel eftersom nyckelrymden är stor.

I övrigt anser jag att rate-limiting i kombination med en uppskalad tjänst är hygiennivån för ett öppet konsumerat API precis som @salgo60 föreslår.

2. Möjlighet att debitera för högre servicenivå
I din lösning har du angett alla parametrar som en användare behöver för att med relativt hög grad kunna tillförlitligt gissa sig till en användares API-nyckel(hashas url till användarkonto), det räcker med att jag skapar ett eget konto med en API-nyckel och testa mig fram till vilket krypto som används eftersom jag har all kunskap som behövs eller kan tillämpa statistiska metoder för att gissa salt med mera motmetoder.

En alternativ lösning (eftersom centraliserad öppen-data-api-nyckel är en bra idé om API-nyckel krävs för tillgång) skulle kunna vara genererade 2stycken uuid (client_id och client_token) som är helt slumpade men lagrad på ditt community-konto.
Isåfall måste en lista med priviligerade tjänster och deras token etableras som får verifiera client_id och client_token mot en api-nyckels-verifierande tjänst etableras som övriga myndigheter(de priviligerade tjänsterna) kan använda.

En vidareutveckling på en sådan lösning skulle kunna vara att den centrala tjänsten tillhandahåller samtliga API-nycklar som en data-källa och en webhook-baserad lösning(förmodligen med en AMQP eller liknande lösning i botten som data-garant) för att kontinuerligt informera de priviligerade tjänsterna om nya och borttagna API-nycklar. Detta skulle lösa ett problem med driftsäkerheten för att vi inte har en single point of failure(SPOF) i API-nyckel-verifierings-tjänsten utan varje myndighet kan ha sin egen instans av den gemensamt ägda öppen-källkods-tjänsten.

Om vi inte skulle se denna API-nyckelslösning som en autentiseringslösning öppnas nämligen en potentiell attackyta där en elak 3:e part kan överanvända api-användarens nyckel vilket beroende på debiteringsmodell kostar den godartade användaren pengar utan att så menades.

3. Möjlighet att för registrerade betalande kunder hålla en separat instans
Detta är en solid anledning att använda någon form av teknisk autentisering eller identifiering. Så att inte en attackerande part påverkar de betalande 3:e parternas prestanda likt det klassiska noisy-neighbour-problemet som är vanligt inom moln-infrastruktur.

Angående val av headers

FROM-headern
Jag tycker detta verkar vara ett missbruk av en existerande header. Att använda en header på ett sätt som det inte är avsett är generellt inte att rekommendera. Om ni väljer att skapa upp e-post-adresser som client-id så kan det vara en god idé. T.ex:
<user-uuid>@api-users.dataportal.se. Jag skulle rekommendera att använda from-fältet i kombination med Authorizationfältet som kan innehålla en token, exempelvis en JWT-token om ni vill på något vis scope:a token till vissa öppna API:er då ni kan skicka med scopes i JWT-tokenen och dela den nyckeln till den kryptokrafiska hashen av JWTn's innehåll med priviligerade tjänster.

Det står utryckligen i MDN:

You shouldn't use the From header for access control or authentication.

I HTTP-standarden är det ganska tydligt att det borde vara en e-post-adress.

The "From" header field contains an Internet email address for a
human user who controls the requesting user agent. The address ought
to be machine-usable, as defined by "mailbox" in Section 3.4 of
[RFC5322].

@johantjader Vad är ni rädda för? Att skapa en organisation på Github som heter Ena, bjuda in alla i byggblocken och börja publicera kan göras på 5 minuter. Skapa ett Repo för varje byggblock och kör. Blev det inte optimalt, ändra och förbättra, länka vidare från gamla repon, byter ni till gitlab/bitbucket eller vad helst annat, länka vidare i readmen.

Att ta större grepp är en enkel undanflykt för att inget göra istället för att successivt bygga upp processer.

I mina ögon har ni genom detta enda beslut brutit mot 3 av 4 ställningstagande i det agila manifestot.

• Individuals and interactions over processes and tools (ni verkar vara rädda för att privata utvecklare ska synas på github och få ett renommé )
• Working software over comprehensive documentation (Få ut dokumentationen och ändringarna tydligt läsbart)
• Customer collaboration over contract negotiation (Ta emot feedback på ett lämpligt sätt genom ex.vis PR, diskussioner i issues)
• Responding to change over following a plan

@eric vart rapporterar jag brister? Har ni publicerat källan till specen på github eller gitlab eller så där vi kan anmäla issues, för diskussion eller komma med förbättringsförslag?

@Jonas-Nordqvist jag tror du missförstår mig och Magnus. Visst har vi åsikter om datakällorna som publiceras på dataportalen, men ämnet här är ju att diskutera ett förslag till communityskapande funktioner i dataportalen. Våra invändningar i stort är att istället för att bygga kommentarer frikopplat från datamängden bör man fundera på hur livscykeln runt de publicerade datamängderna fungerar och hur man jackar in communityt där om man faktiskt är seriös på att uppnå en fungerande engagerade community.

Jag(och förmodligen även Magnus) menar att dataportalen borde vara en datamängd i sig som kan dra nytta av att visa vägen för hur OpenSourcekulturen kan anammas i datapublikation.

Tänker direkt tillbaka på en annan funktion man bad om återkoppling på (filtrering och gruppering av data-källor där det från DIGG's önskan vara att begränsa till något smalt och unikt istället för brett och sammanlänkat)

I det fallet man är seriös på målet fungerande community snarare än på målet bygga en kommentarsfunktion, så kanske man ska fråga sig vad det är för interaktioner communityt är intresserad av att bidra med.

För mig är det viktiga i publicerad grunddata:

• att den håller hög kvalitet.
• att varje enskilt dataobjekt går att länka till och från som "samma-som"
• att existerande fel pekas ut tydligt
• att processen runt datan går att lita på
• att datamängderna går att hitta

För att uppnå detta behövs:

• att varje objekt i datan går att referera till otvetydigt med korrekta persistenta identifierare
• att felrättningar kan skötas transparent så att datan går att lita på & processen för att skicka in rättningar blir tydlig
• att det går att berika datamängderna med metadata från communityt så att fler kan hitta dem.

Vart det tydligt eller oklart?

@jamespether jo det förstår jag. Har du frågat/de svarat om varför datamängden togs bort? Du kan väl begära ut den igen? Och då begära den som API.

@jonass Jag håller med dig om att gitlab/github är en rätt uppenbart farbar väg fram. Jag undrar vad det är som gör att @Nina_ och @josefinlassi uttalar sig som de gör. Jag förstår inte vad som skulle vara hindret med en .com-domän specifikt. Att hantera en backlog med Gitlab issues vore väl perfekt? Att snurra iväg på en wiki separat från där koden är placerad vore spretigt imho. Förstår nog inte riktigt vad en wiki tillför i detta? Man vill ju gärna kunna prioritera och hantera entiteter.

Det viktiga är väl att det finns en tydlig väg för andra att bidra till datamängden? Förslagsvis med en steg-för-steg-guide eller en programmatiskt mallad PR/MR som du kan länka till från sajten. Om du dessutom har CI/CD på plats så behöver du bara godkänna MR så är det ute. (Se ex.vis denna hur man kan malla PR/MR: https://sparkbox.com/foundry/better_pull_requests_merge_requests_with_templates)

@mistral absolut! Och gärna hosta en egen OSM med all sin egna data på också och sätta upp en replikering eller federering imellan officiella internationella och den egna så man har koll på datan även om OSM försvinner.

1. @Maria_Dalhage Då kanske vi ska uppdatera denna beskrivning(https://imgur.com/xWiBgEQ), så det blir tydligare för alla som funderar på vart de ska posta sin tråd?

@jonass sa i Hur vill Ni som använder datamängder kunna bidra med Wikidata Q-koden?:

http://www.wikidata.org/entity/Q889

Bra @jonass!!

Det som är så vackert med detta är att man då enkelt kan plocka ut vad exempelvis Afganistan heter på alla olika språk och inte behöver anlita lika många översättare som det finns språk

Här ett utdrag från några språk för ovanstående sida: