# Python para el análisis de datos -  UNAV 2022-2023
---
 
# Testing & Calidad (II)

## Índice  <a name="indice"></a>

- [Testing](#testing)
    - [¿Porque necesitamos testear nuestro codigo?](#porque_necesitamos_testear_codigo)
    - [¿Que deberiamos testear?](#que_testear)
    - [Tipos de tests](#tipos_de_test)
    - [Cobertura](#cobertura)
    - [Mocking](#mocking)
    - [Frameworks para tests](#framework_test)
    - [Proyecto real](#proyecto_real)
- [Calidad del codigo](#calidad_codigo)
    - [Linting](#linting)
    - [Formatting](#formateo)
    - [Documentación](#docstring)
    - [Escaneadores vulnerabilidades](#escaneadores_vulnerabilidades)


# Testing<a name="testing"></a> 
[Volver al índice](#indice)

## ¿Porque necesitamos testear nuestro codigo?<a name="porque_necesitamos_testear_codigo"></a> 
[Volver al índice](#indice)

Testear codigo es uno de los debates mas "calientes" en el mundo del desarrollo de Software. Lo es desde que existe el concepto como tal, pero ultimamente con toda la temática de Integración Continua y Despliegue Continuo, lo es aún mas.

En general, testing ha sido siempre visto con malos ojos por una gran parte de desarrolladores. Los motivos son muy variopintos:

* Requiere trabajo adicional (para esto se ha propuesto metodologias como TDD (Test Driven Development) / BDD (Behavior Driven Development) pero no es facil de adoptar)
* Hay que mantener el codigo de testing a la vez que se incrementa el codigo que no es de testing
* Pensar en que testear no es facil, requiere un ejercio de abstraccion
* El resultado del testing es un indicador de como de bueno / malo es el codigo
* Cuanto mas complejo es nuestro codigo, más dificil es de testear

**¿Cómo funciona BDD o Behavior Driven Development?**
* En primer lugar, se procede a analizar los requisitos del software (objetivos, qué funciones necesita que desempeñe). 
* Dicho esto, se describen las funciones en escenarios predefinidos. De esta forma, sabremos cómo va a reaccionar el software, frente a una respuesta concreta. 
* Finalmente, se observa la respuesta del software en cada escenario, en la que describe tanto la acción como el estado del software.

ventajas:
* Mejora de la comunicación interna y externa: Tanto entre los diferentes expertos como arquitectos de software o desarrolladores web, así como entre la dirección y el propio cliente.
* Un acuerdo previo al desarrollo: El proyecto y sus funcionalidades se definen de una manera previa al desarrollo del software.
* Metodologías ágiles: BDD casa muy bien con este tipo de método, ya que se explican los distintos requerimientos como pueden ser las historias de usuario.

Dicho esto, **no hay una manera de testear "estandar"** que haya sido aceptada por la industria, pero si que es cierto que es impensable en un desarrollo que se considere profesional que no se haga testing. ¿Podraís imaginaros que una marca de coches sacase un modelo sin testearlo? ¿O que un fabricante de hardware vendiese un componente sin haberlo testeado? Solo porque se trata de algo intangible como Software, no significa que no deba ser testeado. 

El testing garantiza que nuestro Software haga lo que supone que tiene que hacer. Incluso si no se trata de codigo critico (conduccion automatica, control de avionica, etc), es nuestra responsabilidad escribir codigo que se comporta como deberia.

Al final, el testing nos sirve principalmente para dos cosas:

* Garantizar que nuestro codigo funciona como deberia
* Protejer nuestro codigo de errores de regresion

Una regresion es un error que ocurre cuando un test que antiguamente funcionaba bien debido a un cambio en el codigo que testeamos. Esto es lo que se conoce como sufrir una regresion, generalmente es un indicativo de que la modificación hecha ha introducido comportamiento no esperado que debe arreglarse.

Según el estándar **ISO 9126** la calidad del software incluye:
* fiabilidad
* funcionalidad
* eficiencia
* usabilidad
* mantenibilidad
* portabilidad

Por ejemplo en mayo de 2022, [Tesla retiró del mercado 130 000 automóviles](https://www.theverge.com/2022/5/10/23065987/tesla-recall-130000-vehicles-fix-touchscreen-issues-caused-overheating-cpu-amd-ryzen) debido a un problema en los sistemas de información y entretenimiento del vehículo. Esto se traduce en tiempo y dinero para la compañía.

### Definición del alcance del test

Antes de comenzar a planificar una estrategia de prueba, hay una pregunta importante que responder. ¿Qué partes de su sistema de software desea probar?

Esta es una pregunta crucial, porque las pruebas exhaustivas son imposibles. Por esta razón, no puede probar todas las entradas y salidas posibles, pero debe priorizar sus pruebas en función de los riesgos involucrados.

Se deben tener en cuenta muchos factores al definir el alcance de la prueba:

* **Riesgo**: ¿qué consecuencias comerciales habría si un error afectara a este componente?
* **Tiempo**: ¿cuándo quiere que esté listo su producto de software? ¿Tienes una fecha límite?
* **Presupuesto**: ¿cuánto dinero está dispuesto a invertir en la actividad de prueba?

Una vez que defina el alcance de la prueba, que especifica lo que debe probar y lo que no, está listo para hablar sobre las cualidades que debe tener una buena prueba unitaria.

### Cualidades del test unitario

* **Rápido**. Las pruebas unitarias se ejecutan principalmente de forma automática, lo que significa que deben ser rápidas. Es más probable que los desarrolladores omitan las pruebas unitarias lentas porque no brindan comentarios instantáneos.
* **Aislado**. Las pruebas unitarias son independientes por definición. Prueban la unidad de código individual y no dependen de nada externo (como un archivo o un recurso de red).
* **Repetible**. Las pruebas unitarias se ejecutan repetidamente y el resultado debe ser consistente a lo largo del tiempo.
* **De confianza**. Las pruebas unitarias fallarán solo si hay un error en el sistema bajo prueba. El entorno o el orden de ejecución de las pruebas no debería importar.
* **Nombrado correctamente**. El nombre de la prueba debe proporcionar información relevante sobre la prueba en sí.
Falta un último paso antes de profundizar en las pruebas unitarias en Python. ¿Cómo organizamos nuestras pruebas para que sean limpias y fáciles de leer? Usamos un patrón llamado Arrange, Act and Assert (AAA).

### El patrón AAA

El patrón Arrange, Act and Assert es una estrategia común utilizada para escribir y organizar pruebas unitarias. Funciona de la siguiente manera:

* Durante la fase **Organizar (Arrange)**, se configuran todos los objetos y variables necesarios para la prueba.
* A continuación, durante la fase **Actuar (Act)**, se llama a la función/método/clase bajo prueba.
* Al final, durante la fase de **Afirmación (Assert)**, verificamos el resultado de la prueba.

Esta estrategia proporciona un enfoque limpio para organizar pruebas unitarias al separar todas las partes principales de una prueba: configuración, ejecución y verificación. Además, las pruebas unitarias son más fáciles de leer porque todas siguen la misma estructura.

## ¿Qué deberiamos testear?<a name="que_testear"></a> 
[Volver al índice](#indice)

Ahora que ya sabemos porque debemos testear nuestro código, la pregunta es que debemos testear. Exiten diversos enfoques para contestar a esta pregunta, desde TDD y también BDD pero básicamente lo que nos interesa testear siempre es el comportamiento de nuestro codigo.

Si pensamos en nuestro codigo como en bloques de comportamiento, entonces es más facil garantizar que nuestros tests comprueban la funcionalidad esperada de nuestro codigo. Por ejemplo, supongamos que tenemos una aplicación que crea anuncios customizados, si pensamos en lo que se espera de nuestro codigo como:

* Crear anuncio
* Modificar anuncio
* Eliminar anuncio

Nos podemos preocupar en testear eso y no cosas a mas bajo nivel como comprobar el formato en que se guardan los anuncios en el sistema de almacenaje seleccionado.

## Tipos de test<a name="tipos_de_test"></a> 
[Volver al índice](#indice)

Existen multidud de tipos distintos de tests, pero principalmente se suelen dividir en lo siguiente:

<img src="img/tests.jpg"/>

### Tests unitarios

Estos son los tests más basicos que existen, normalmente se utilizan para testear funciones o métodos.En general son fáciles de escribir y se pueden integrar con facilidad en un pipeline de integración continua. 

### Tests de integración

Estos tests se suelen utilizar para comprobar como cooperan los diversos componentes de nuestra aplicación, por ejemplo un servicio de autenticación, la base de datos, reporting, etc. En general son más dificiles de escribir porque requiren que varias piezas de nuestra aplicación se pongan en marcha, pero son bastante esenciales.

### Tests end-to-end

Estos tests tratan de replicar el comportamiento del usuario de nuestra aplicación en un entorno de aplicación completamente operativo. Dependiendo de como de compleja sea nuestra aplicación pueden ser sencillos o muy complicados, requeriendo multitud de pasos y procesos intermedios. Estos tests son muy complejos de realizar, automatizar e integrar en una pipeline de integración continua, por lo que se recomienda generalmente depender más de los otros tipos y especificar solo un critical-path para estos.

## Cobertura<a name="cobertura"></a> 
[Volver al índice](#indice)

Un concepto clave en testing es la cobertura de nuestro codigo. Basicamente nos indica que porcentaje de lineas de nuestro codigo han sido ejecutadas durante los tests, lo cual es un buen indicativo de que porcentaje de funcionalidad de nuestro codigo esta testeada. Generalmente se considera que se tiene buena cobertura cuando se esta entre el 80-90%, ya que llegar al 100% es a veces complicado, especialemtne en aplicaciones grandes.

De todos modos, conviene no caer en la tentación de pensar que porque tengamos un alto porcentaje de cobertura, nuestro código estara suficientemente bien testeado, ya que podemos tener codigo que no considera los casos en que algo puede fallar, lo tenemos testeado y tenemos un coverage 100%, pero ese codigo puede fallar. Por ejemplo:

```
def funcion(a):
    if a is True:
        # hacemos algo
        return True
    ...
    
# Luego en nuestro test
b = funcion(True)
assert b == True 

```

En este caso no consideramos que pasa cuando a es False, o cualquier otra cosa, pero nuestro coverage es 100%.

## Mocking<a name="mocking"></a> 
[Volver al índice](#indice)

Mocking es un concepto avanzado en testing pero merece la pena mencionarlo aqui. Mocking se refiere a la posibilidad de simular la respuesta que esperamos al utilizar un objecto/clase, de modo que podemos preveer lo que obtendremos de esa llamada.

Imaginemos por ejemplo que tenemos que testear que obtenemos una respuesta cuando llamamos al API de Google Maps, testear esa llamada haciendo que sea real cada vez implica que tenemos que llamar a Google y este nos devolvera datos, lo cual puede incurrir en un coste. Tiene mas sentido llamar una vez, obtener una respuesta, guardarla y a partir de entonces "mockeamos" la llamada e inyectamos lo que hemos guardado, de este modo, nos ahorramos esta llamada. Esto tiene sentido en este escenario donde sabemos la respuesta va a ser siempre la misma para la misma petición y ademas no incurrimos en un coste. Veamos un ejemplo.

```
import requests
from pytest import monkeypatch


def get_my_ip():
    response = requests.get(
        'http://ipinfo.io/json'
    )
    return response.json()['ip']


def test_get_my_ip(monkeypatch):
    my_ip = '123.123.123.123'

    class MockResponse:

        def __init__(self, json_body):
            self.json_body = json_body

        def json(self):
            return self.json_body

    monkeypatch.setattr(
        requests,
        'get',
        lambda *args, **kwargs: MockResponse({'ip': my_ip})
    )

    assert get_my_ip() == my_ip
```
En el ejemplo anterior estamos mockeando el modulo requests para que cuando testeamos el metodo get_my_ip en realidad nos devuelva una IP que definimos en el propio metodo de test a través de la clase MockResponse.

### ¿Cuando deberiamos usar mocking?

En general no se recomienda usar mokcing a menos que tengamos preocupaciones por el coste de hacer llamadas a servicios externos, ya sea en dinero o en tiempo. Esto es asi porque en general cuando hacemos mocking tenemos que tener especial cuidado en como mantenemos ese test ya que es muy dependiente de la implemntación del servicio que llamemos. 

La regla de oro es sencilla aqui, si el coste de implememntar y mantener un metodo mockeado es menor que el coste en tiempo o recursos de utilizar el metodo directamente, entonces merece la pena usar mocking. Desgraciadamente, la estimación de costes viene con experiencia.

## Frameworks para tests<a name="framework_test"></a> 
[Volver al índice](#indice)

Si bien el paquete estandar de Python para testear es [unittest](https://docs.python.org/3/library/unittest.html) hace tiempo que el paquete de referencia para la comunidad Python es [Pytest](https://docs.pytest.org/en/6.2.x/). Principalmente porque nos permite escribir tests de forma mucho más sencilla, sin tanto boilerplate, tiene un infinidad de plugins que extienden su funcionalidad y además, es compatible con unittest, con lo que podemos ejecutar los tests de unittest con pytest tambien.

### Unittest

Unittest admite algunos conceptos importantes:

* `unittest.TestCase` que es el test unitario de prueba. Escribir nuestros tests como métodos de una clase que herede de 
```
import unittest
class WidgetTestCase(unittest.TestCase):
    def setUp(self):
        self.widget = Widget('The widget')

    def test_default_widget_size(self):
        self.assertEqual(self.widget.size(), (50,50),
                         'incorrect default size')

    def test_widget_resize(self):
        self.widget.resize(100,150)
        self.assertEqual(self.widget.size(), (100,150),
                         'wrong size after resize')

    def tearDown(self):
        self.widget.dispose()
```
* `unittest.TestSuite()` que es un grupo de casos de prueba que se ejecutan juntos
```
def suite():
    suite = unittest.TestSuite()
    suite.addTest(WidgetTestCase('test_default_widget_size'))
    suite.addTest(WidgetTestCase('test_widget_resize'))
    return suite
```
* `unittest.TextTestRunner()` que es el componente que manejará la ejecución y el resultado de todos los casos de prueba
```
if __name__ == '__main__':
    runner = unittest.TextTestRunner()
    runner.run(suite())
```
* Utilizar métodos especiales de aserción:

```
assertEqual(a, b)
assertNotEqual(a, b)
assertTrue(x)
assertFalse(x)
assertIs(a, b)
assertIsNot(a, b)
assertIsNone(x)
assertIsNotNone(x)
assertIn(a, b)
assertNotIn(a, b)
assertIsInstance(a, b)
assertNotIsInstance(a, b)
```



Dado que unittest ya está instalado, ¡estamos listos para escribir nuestra primera prueba unitaria! Para ejecutarlos lo haremos desde la línea de comandos:

`$ python -m unittest -v example.py`

### Pytest

Instalamos pytest y lo usaremos en los próximos ejemplos:

`$ pip install pytest`

##  Proyecto real<a name="proyecto_real"></a>
[Volver al índice](#indice)

Vamos a ver un ejemplo de proyecto mas complejo, mas cercano a una posible aplicación real que nos podria interesar desarrollar. Este proyecto sera la base para las siguientes secciones sobre calidad del codigo e integración continua.

`$ git clone https://github.com/pluralsight/intro-to-pytest.git`

#### Coverage

Vamos a añadir el paquete pytest-cov que nos permitira ver la cobertura de nuestro testing.

`$ pip install pytest-cov`

Ahora podemos ejecutar los tests con cobertura

`$ python -m pytest tests --cov=other_code`

Si queremos generar un report en html añadimos:

`--cov-report html`

##  Calidad del codigo<a name="calidad_codigo"></a> 
[Volver al índice](#indice)

En este capitulo vamos a ver las distintas opciones que tenemos en Python para aumentar y garantizar la calidad de nuestro codigo.

Se dice que un codigo es de calidad cuando:

* Sirve a su proposito
* Se puede testear
* Tiene un estilo consistente
* Se entiende
* No tiene vulnerabilidades
* Esta bien documentado
* Es facil de manteenr

Ya hemos visto los dos primeros apartados asi que vamos a ver el resto. Trantando siempre de seguir los [Python Enhancement Proposals](https://peps.python.org/pep-0000/).

###  Linting<a name="linting"></a> 
[Volver al índice](#indice)

Los [linters](https://en.wikipedia.org/wiki/Lint_(software)) son programas que se encargan de resaltar errores en nuestro codigo, tanto de programación como bugs, asi como construcciones de codigo sospechosas a través del analisis estatico del codigo.

Por ejemplo el siguiente codigo:

Version uno:

```
numbers = []

while True:
    answer = input('Enter a number: ')
    if answer != 'quit':
        numbers.append(answer)
    else:
        break

print('Numbers: %s' % numbers)
```


Version dos:

```
numbers = []

while (answer := input("Enter a number: ")) != "quit":
    numbers.append(answer)

print(f"Numbers: {numbers}")
```

Version tres:

```
numbers = []

while True:
    answer = input("Enter a number: ")
    if answer == "quit":
        break
    numbers.append(answer)

print(f"Numbers: {numbers}")
```

Desde un punto de vista funcional son identicos, asi que...¿Cual es mejor? Afortunadamente, en Python hay un estandar, que es el [PEP-8](https://pep8.org/) que nos dice cual es la "etiqueta y estilo" que deberiamos usar en nuestros programas Python. Algunas de los conceptos que menciona son:

**Indentation or bleeding**

In many programming languages curly braces are used to create blocks, but in Python code blocks are created by indenting. PEP8 advises to use 4 spaces for each level of indentation. DO NOT use tabs.

<img src="img/pep8_1.png"/>

**White space in expressions and statements**

Always surround arithmetic (+ * – / % ** ) relational or comparison (== != < > <= >=) and logical (and or not) assignment operators (=) with a space on each side. Always use a space after a comma.

<img src="img/pep8_2.png"/>

**Avoid extra white space**

Do not use spaces around the '=' sign when it is used to indicate the value of a default parameter. Immediately after entering or before exiting a parenthesis, bracket, or brace. Immediately before opening a parenthesis or bracket. Immediately before a comma, semicolon, or colon. More than one space around an assignment operator (or other operator) to align it with another. Avoid the typical spaces at the end of any line. These gaps are not easy to spot.

<img src="img/pep8_3.png"/>

**Maximum line size**

79 characters. (This rule is especially difficult to comply with and can be exceptioned)

**Blank lines**

After defining a function or class, leave two blank lines. Method definitions within a class are separated by a blank line. At the end of the script leave a blank line

Compound statements (multiple statements on the same line) are generally discouraged.

<img src="img/pep8_4.png"/>

**How to name variables functions or classes**

* lowercase_with_hyphens for variables, functions, methods and attributes
* lowercase_with_hyphens or ALL_UPPERCASE for constants
* CapitalizedWords for classes
* Attributes: interface, _internal, __private
* Modules should have short, lowercase names

<img src="img/pep8_5.png"/>

**Function and method arguments:** Always use "self" as the first argument of instance methods. Always use the object as the first argument of class methods.

**Exceptions:** Since exceptions must be classes, we apply the same convention as for naming classes. But we must add the "Error" suffix to the exception names (if the exception is really an error).

***

Vamos a ver el linter mas famoso, en Python, [flake8](https://flake8.pycqa.org/)

`$ pip install flake8`

Ahora si ejecutamos flake8 desde el raiz de nuestro proyecto, nos indicara los errores que deberiamos corregir.

```
$ python -m flake8
.\other_code\services.py:27:80: E501 line too long (87 > 79 characters)
.\tests\00_empty_test.py:6:80: E501 line too long (84 > 79 characters)
.\tests\01_basic_test.py:1:1: F401 'other_code.services.DATA_SET_C' imported but unused
.\tests\02_special_assertions_test.py:9:9: F841 local variable 'x' is assigned to but never used
.\tests\02_special_assertions_test.py:19:9: F841 local variable 'baz' is assigned to but never used
.\tests\05_yield_fixture_test.py:22:8: E275 missing whitespace after keyword
.\tests\10_advanced_params-ception_test.py:27:80: E501 line too long (86 > 79 characters)
.\tests\12_special_marks.py:37:80: E501 line too long (83 > 79 characters)
.\tests\13_mark_parametrization.py:19:1: E302 expected 2 blank lines, found 1
.\tests\18_the_mocker_fixture.py:8:80: E501 line too long (83 > 79 characters)
.\tests\19_re_usable_mock_test.py:10:80: E501 line too long (83 > 79 characters)

```

Deberiamos corregir estos errores y continuar, se puede configurar flake8 para que algunos errores los ignore. Añadimos el siguiente bloque en el archivo "tox.ini":

```
[flake8]
ignore = E226,E302
max-line-length = 120
exclude = tests/*
max-complexity = 10
```

###  Formateo de codigo<a name="formateo"></a> 
[Volver al índice](#indice)

Los linters solo comprueban nuestro codigo, mientras que los formateadores de hecho lo cambian para que se ajuste a algun estandar, generalmente [PEP-8](https://peps.python.org/pep-0008/).

Los más famosos en Python son [isort](https://pycqa.github.io/isort/), que reorganiza nuestros imports y [black](https://github.com/psf/black) que cambia nuestro codigo para que sea PEP8-compliant.

Veamos como instalar y usar ambos.

`$ pip install isort black`

Para usar **isort**, pero solo comprobar los ficheros con problemas pero sin alterarlos usamos

`$ python -m isort . --check-only`

```
ERROR: intro-to-pytest\conftest.py Imports are incorrectly sorted and/or formatted.
ERROR: intro-to-pytest\tests\16_scoped_and_meta_fixtures_test.py Imports are incorrectly sorted and/or formatted. 
ERROR: intro-to-pytest\tests\19_re_usable_mock_test.py Imports are incorrectly sorted and/or formatted.
```

Si queremos ver los cambios que haria en cada fichero usamos la siguiente opcion, usando la tipica notacion del comando diff

`$ python -m isort . --diff`

```
--- intro-to-pytest\conftest.py:before    2022-10-19 21:46:12.924359
+++ intro-to-pytest\conftest.py:after     2022-10-19 21:47:17.711747
@@ -1,4 +1,5 @@
 from __future__ import print_function
+
 from pytest import fixture


--- intro-to-pytest\tests\16_scoped_and_meta_fixtures_test.py:before      2022-10-19 21:46:17.787508
+++ intro-to-pytest\tests\16_scoped_and_meta_fixtures_test.py:after       2022-10-19 21:47:17.933660
@@ -1,4 +1,5 @@
 from pytest import fixture, mark
+
 from other_code.services import ExpensiveClass


--- intro-to-pytest\tests\19_re_usable_mock_test.py:before        2022-10-19 21:46:32.965462
+++ intro-to-pytest\tests\19_re_usable_mock_test.py:after 2022-10-19 21:47:17.966229
@@ -1,5 +1,6 @@
+from pytest import fixture, raises
+
 from other_code.services import count_service
-from pytest import fixture, raises

```


Del mismo modo, **black** nos permite comprobar sin realizar cambios

`$ python -m black . --check`

`$ python -m black . --diff`

```
would reformat tests\05_yield_fixture_test.py
would reformat tests\08_params_test.py
would reformat tests\10_advanced_params-ception_test.py
would reformat tests\13_mark_parametrization.py

Oh no! 💥💔💥                                                                                                                                   
4 files would be reformatted, 21 files would be left unchanged.
```

###  Documentación de código<a name="docstring"></a> 
[Volver al índice](#indice)

La documentación del código es texto que acompaña al código del software para explicar qué está haciendo su código, por qué está escrito de esa manera y/o cómo usarlo. Hay dos categorías principales de documentación: **documentación dentro del código** y documentación de apoyo sobre el código.

[PEP 257 – Docstring Conventions](https://peps.python.org/pep-0257/)

Documentación de código básica:
 - Cabeceras de clase y paquetes
 - Cabeceras de método o función
 - Líneas dentro de los métodos

Beneficios de una buena documentación:
 - Ayuda a entender nuestro código
 - Ayuda a los demás
 - Te ayuda a corregir errores fácilmente
 - Mantiene claro el objetivo
 - El código se vuelve reutilizable
 - Ahorro de tiempo de desarrollo a medio plazo
 - Agilidad en el desarrollo
 - Evitar creación de código duplicado
 - Modularidad
 - Escalabilidad
 - Fácil identificación de errores

¿Cuáles son los formatos de docstrings de Python más comunes?

**Sphinx**

Hoy en día, el formato probablemente más frecuente es el formato reStructuredText (reST) que utiliza Sphinx para generar documentación. Nota: se usa de forma predeterminada en JetBrains PyCharm (escriba comillas triples después de definir un método y presione Intro). También se usa por defecto como formato de salida en Pyment.

Ejemplo:

```
"""
This is a reST style.

:param param1: this is a first param
:param param2: this is a second param
:returns: this is a description of what is returned
:raises keyError: raises an exception
"""
```

**Google**

Google tiene su propio formato que se usa a menudo. También puede ser interpretado por Sphinx (por ejemplo, usando el plugin de Napoleon).

Ejemplo:

```
"""
This is an example of Google style.

Args:
    param1: This is the first param.
    param2: This is a second param.

Returns:
    This is a description of what is returned.

Raises:
    KeyError: Raises an exception.
"""
```

**Numpydoc**

Tenga en cuenta que Numpy recomienda seguir su propio numpydoc basado en el formato de Google y utilizable por Sphinx.

Ejemplo:

```
"""
My numpydoc description of a kind
of very exhautive numpydoc format docstring.

Parameters
----------
first : array_like
    the 1st param name `first`
second :
    the 2nd param
third : {'value', 'other'}, optional
    the 3rd param, by default 'value'

Returns
-------
string
    a value in a string

Raises
------
KeyError
    when a key error
OtherError
    when an other error
"""
```

**Epytext**

Históricamente, prevalecía un estilo similar a javadoc, por lo que se tomó como base para Epydoc (con el formato llamado Epytext) para generar documentación.

Ejemplo:

```
"""
This is a javadoc style.

@param param1: this is a first param
@param param2: this is a second param
@return: this is a description of what is returned
@raise keyError: raises an exception
"""
```

Python no impone **tipado** de funciones y variables. Pueden ser utilizados por herramientas de terceros, como verificadores de tipo, IDE, linters, etc.

[typing — Support for type hints](https://docs.python.org/3/library/typing.html)

###  Escaneadores de vulnerabilidades<a name="escaneadores_vulnerabilidades"></a> 
[Volver al índice](#indice)

Tan importante como garantizar que nuestro codigo esta testeado, sigue cierta etiqueta, no tiene errores y demás, es asegurarnos que las dependencias que tengamos no tienen vulnerabilidades de seguridad importantes. Para esto existen programas que escanean nuestras dependencias y comprueban si la versión que usamos tiene alguna vulnerabilidad.

La más famoso en el ecosistema de Python es [Bandit](https://github.com/PyCQA/bandit) que comprueba que no usemos passwords harcoded, pass en bloques de exception, etc. Por otro lado, [Safety](https://github.com/pyupio/safety) es el estandard para comprobar la seguridad de nuestras dependencias. Veamos como instalar y usar ambas.

`$ pip install safety bandit`

Veamos como usar **bandit** primero. 

`$ python -m bandit . -r`

```
--------------------------------------------------
>> Issue: [B403:blacklist] Consider possible security implications associated with pickle module.
   Severity: Low   Confidence: High
   CWE: CWE-502 (https://cwe.mitre.org/data/definitions/502.html)
   Location: .\other_code\services.py:3:0
   More Info: https://bandit.readthedocs.io/en/1.7.4/blacklists/blacklist_imports.html#b403-import-pickle
2       from collections import namedtuple
3       import pickle
4
5
6       class ExpensiveClass(object):

--------------------------------------------------
>> Issue: [B101:assert_used] Use of assert detected. The enclosed code will be removed when compiling to optimised byte code.
   Severity: Low   Confidence: High
   CWE: CWE-703 (https://cwe.mitre.org/data/definitions/703.html)
   Location: .\tests\01_basic_test.py:9:4
   More Info: https://bandit.readthedocs.io/en/1.7.4/plugins/b101_assert_used.html
8           print("\nRunning test_example...")
9           assert DATA_SET_A == DATA_SET_B

--------------------------------------------------

```

El resolver estos errores es opcional, tambien podemos configurar bandit para incrementar-decrementar el nivel de alerta, ignorar algun directorio o fichero, etc.

Veamos como funciona **safety**.

`$ python -m safety check`

```
+======================================================================================================================+

                               /$$$$$$            /$$
                              /$$__  $$          | $$
           /$$$$$$$  /$$$$$$ | $$  \__//$$$$$$  /$$$$$$   /$$   /$$
          /$$_____/ |____  $$| $$$$   /$$__  $$|_  $$_/  | $$  | $$
         |  $$$$$$   /$$$$$$$| $$_/  | $$$$$$$$  | $$    | $$  | $$
          \____  $$ /$$__  $$| $$    | $$_____/  | $$ /$$| $$  | $$
          /$$$$$$$/|  $$$$$$$| $$    |  $$$$$$$  |  $$$$/|  $$$$$$$
         |_______/  \_______/|__/     \_______/   \___/   \____  $$
                                                          /$$  | $$
                                                         |  $$$$$$/
  by pyup.io                                              \______/

+======================================================================================================================+

 REPORT

  You are using Safety's free vulnerability database. This data is outdated, limited, and
  licensed for non-commercial use only.
  All commercial projects must sign up and get an API key at https://pyup.io

  Safety v2.3.1 is scanning for Vulnerabilities...
  Scanning dependencies in your environment:

  -> test_python\prueba\lib\site-packages

  Using non-commercial database
  Found and scanned 109 packages
  Timestamp 2022-10-19 22:06:00
  4 vulnerabilities found
  0 vulnerabilities ignored

+======================================================================================================================+
 VULNERABILITIES FOUND
+======================================================================================================================+

-> Vulnerability found in numpy version 1.17.3
   Vulnerability ID: 43453
   Affected spec: <1.21.0rc1
   ADVISORY: Numpy 1.21.0rc1 includes a fix for CVE-2021-33430: A Buffer Overflow vulnerability in the
   PyArray_NewFromDescr_int function of ctors.c when specifying arrays of large dimensions (over 32) from Python...
   CVE-2021-33430
   For more information, please visit https://pyup.io/vulnerabilities/CVE-2021-33430/43453/


-> Vulnerability found in numpy version 1.17.3
   Vulnerability ID: 44717
   Affected spec: <1.22.0
   ADVISORY: Numpy 1.22.0 includes a fix for CVE-2021-34141: An incomplete string comparison in the numpy.core
   component in NumPy before 1.22.0 allows attackers to trigger slightly incorrect copying by constructing specific...
   CVE-2021-34141
   For more information, please visit https://pyup.io/vulnerabilities/CVE-2021-34141/44717/


-> Vulnerability found in numpy version 1.17.3
   Vulnerability ID: 44716
   Affected spec: <1.22.0
   ADVISORY: Numpy 1.22.0 includes a fix for CVE-2021-41496: Buffer overflow in the array_from_pyobj function of
   fortranobject.c, which allows attackers to conduct a Denial of Service attacks by carefully constructing an array...
   CVE-2021-41496
   For more information, please visit https://pyup.io/vulnerabilities/CVE-2021-41496/44716/


-> Vulnerability found in numpy version 1.17.3
   Vulnerability ID: 44715
   Affected spec: <1.22.2
   ADVISORY: Numpy 1.22.2  includes a fix for CVE-2021-41495: Null Pointer Dereference vulnerability exists in
   numpy.sort in NumPy in the PyArray_DescrNew function due to missing return-value validation, which allows...
   CVE-2021-41495
   For more information, please visit https://pyup.io/vulnerabilities/CVE-2021-41495/44715/

 Scan was completed. 4 vulnerabilities were found.

+======================================================================================================================+
   REMEDIATIONS

  4 vulnerabilities were found in 1 package. For detailed remediation & fix recommendations, upgrade to a commercial
  license.

+======================================================================================================================+

  You are using Safety's free vulnerability database. This data is outdated, limited, and
  licensed for non-commercial use only.
  All commercial projects must sign up and get an API key at https://pyup.io

+======================================================================================================================+
```

<img src="img/chuck_norris.gif" alt="Chuck Norris approves" width="500"/>