<div dir="ltr"><div>I just want to point out that you don't need permission from anybody to start a library. I think developing and popularizing a contracts library is a reasonable goal -- but that's something you can start doing at any time without waiting for consensus.</div><div><br></div><div>And if it gets popular enough, maybe it'll be added to the standard library in some form. That's what happened with attrs, iirc -- it got fairly popular and demonstrated there was an unfilled niche, and so Python acquired dataclasses..</div><div><br></div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div>The contracts make merely tests obsolete that test that the function or class actually observes the contracts.

<br></div></blockquote><div><br></div><div>Is this actually the case? Your contracts are only checked when the function is evaluated, so you'd still need to write that unit test that confirms the function actually observes the contract. I don't think you necessarily get to reduce the number of tests you'd need to write.</div><div><br></div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div>
Please let me know what points <i>do not </i>convince you that Python needs contracts </div></blockquote><div><br></div><div>While I agree that contracts are a useful tool, I don't think they're going to be necessarily useful for *all* Python programmers. For example, contracts aren't particularly useful if you're writing fairly straightforward code with relatively simple invariants.</div><div><br></div><div>I'm also not convinced that libraries where contracts are checked specifically *at runtime* actually give you that much added power and impact. For example, you still need to write a decent number of unit tests to make sure your contracts are being upheld (unless you plan on checking this by just deploying your code and letting it run, which seems suboptimal). There's also no guarantee that your contracts will necessarily be *accurate*. It's entirely possible that your preconditions/postconditions might hold for every test case you can think of, but end up failing when running in production due to some edge case that you missed. (And if you decide to disable those pre/post conditions to avoid the efficiency hit, you're back to square zero.)</div><div><br></div><div>Or I guess to put it another way -- it seems what all of these contract libraries are doing is basically adding syntax to try and make adding asserts in various places more ergonomic, and not much else. I agree those kinds of libraries can be useful, but I don't think they're necessarily useful enough to be part of the standard library or to be a technique Python programmers should automatically use by default.<br></div><div><br></div><div>What might be interesting is somebody wrote a library that does something more then just adding asserts. For example, one idea might be to try hooking up a contracts library to hypothesis (or any other library that does quickcheck-style testing). That might be a good way of partially addressing the problems up above -- you write out your invariants, and a testing library extracts that information and uses it to automatically synthesize interesting test cases.<br></div><br><div>(And of course, what would be very cool is if the contracts could be verified statically like you can do in languages like dafny -- that way, you genuinely would be able to avoid writing many kinds of tests and could have confidence your contracts are upheld. But I understanding implementing such verifiers are extremely challenging and would probably have too-steep of a learning curve to be usable by most people anyways.)<br></div><div><br></div><div>-- Michael<br></div><div><br></div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Sep 14, 2018 at 11:51 PM, Marko Ristin-Kaufmann <span dir="ltr"><<a href="mailto:marko.ristin@gmail.com" target="_blank">marko.ristin@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div>Hi,<br></div>Let me make a couple of practical examples from the work-in-progress (<a href="https://github.com/Parquery/pypackagery" target="_blank">https://github.com/Parquery/<wbr>pypackagery</a>, branch mristin/initial-version) to illustrate again the usefulness of the contracts and why they are, in my opinion, superior to assertions and unit tests. <br><br></div><div>What follows is a list of function signatures decorated with contracts from pypackagery library preceded by a human-readable description of the contracts.<br></div><div dir="ltr"><font size="2"><br></font></div><div><font size="2">The invariants tell us what format to expect from the related string properties.<br></font></div><div><pre style="background-color:rgb(255,255,255);color:rgb(0,0,0);font-family:"DejaVu Sans Mono";font-size:10.5pt"><font size="2"><span style="color:rgb(0,0,178)">@icontract.inv</span>(<span style="color:rgb(0,0,128);font-weight:bold">lambda </span>self: self.name.strip() == <a href="http://self.name" target="_blank">self.name</a>)<br><span style="color:rgb(0,0,178)">@icontract.inv</span>(<span style="color:rgb(0,0,128);font-weight:bold">lambda </span>self: self.line.endswith(<span style="color:rgb(0,128,0);font-weight:bold">"</span><span style="color:rgb(0,0,128);font-weight:bold">\n</span><span style="color:rgb(0,128,0);font-weight:bold">"</span>))<br><span style="color:rgb(0,0,128);font-weight:bold">class </span>Requirement:<br>    <span style="color:rgb(128,128,128);font-style:italic">"""Represent a requirement in requirements.txt."""<br></span><span style="color:rgb(128,128,128);font-style:italic"><br></span><span style="color:rgb(128,128,128);font-style:italic">    </span><span style="color:rgb(0,0,128);font-weight:bold">def </span><span style="color:rgb(178,0,178)">__init__</span>(<span style="color:rgb(148,85,141)">self</span>, name: <span style="color:rgb(0,0,128)">str</span>, line: <span style="color:rgb(0,0,128)">str</span>) -> <span style="color:rgb(0,0,128)">None</span>:<br>        <span style="color:rgb(128,128,128);font-style:italic">"""<br></span><span style="color:rgb(128,128,128);font-style:italic">        Initialize.<br></span><span style="color:rgb(128,128,128);font-style:italic"><br></span><span style="color:rgb(128,128,128);font-style:italic">        </span><span style="color:rgb(128,128,128);font-weight:bold">:param</span><span style="color:rgb(128,128,128);font-style:italic"> name: package name<br></span><span style="color:rgb(128,128,128);font-style:italic">        </span><span style="color:rgb(128,128,128);font-weight:bold">:param</span><span style="color:rgb(128,128,128);font-style:italic"> line: line in the requirements.txt file<br></span><span style="color:rgb(128,128,128);font-style:italic">        """<br></span><span style="color:rgb(128,128,128);font-style:italic">        </span>...</font><br></pre>The postcondition tells us that the resulting map keys the values on their name property.<br><pre style="background-color:rgb(255,255,255);color:rgb(0,0,0);font-family:"DejaVu Sans Mono";font-size:10.5pt"><span style="color:rgb(0,0,178)">@icontract.post</span>(<span style="color:rgb(0,0,128);font-weight:bold">lambda </span>result: <span style="color:rgb(0,0,128)">all</span>(<a href="http://val.name" target="_blank">val.name</a> == key <span style="color:rgb(0,0,128);font-weight:bold">for </span>key, val <span style="color:rgb(0,0,128);font-weight:bold">in </span>result.items()))<br><span style="color:rgb(0,0,128);font-weight:bold">def </span>parse_requirements(text: <span style="color:rgb(0,0,128)">str</span>, filename: <span style="color:rgb(0,0,128)">str </span>= <span style="color:rgb(0,128,0);font-weight:bold">'<unknown>'</span>) -> Mapping[<span style="color:rgb(0,0,128)">str</span>, Requirement]:<br>    <span style="color:rgb(128,128,128);font-style:italic">"""<br></span><span style="color:rgb(128,128,128);font-style:italic">    Parse requirements file and return package name -> package requirement as in requirements.txt<br></span><span style="color:rgb(128,128,128);font-style:italic"><br></span><span style="color:rgb(128,128,128);font-style:italic">    </span><span style="color:rgb(128,128,128);font-weight:bold">:param</span><span style="color:rgb(128,128,128);font-style:italic"> text: content of the ``requirements.txt``<br></span><span style="color:rgb(128,128,128);font-style:italic">    </span><span style="color:rgb(128,128,128);font-weight:bold">:param</span><span style="color:rgb(128,128,128);font-style:italic"> filename: where we got the ``requirements.txt`` from (URL or path)<br></span><span style="color:rgb(128,128,128);font-style:italic">    </span><span style="color:rgb(128,128,128);font-weight:bold">:return</span><span style="color:rgb(128,128,128);font-style:italic">: name of the requirement (*i.e.* pip package) -> parsed requirement<br></span><span style="color:rgb(128,128,128);font-style:italic">    """<br>    ...<br></span></pre><br></div><div>The postcondition ensures that the resulting list contains only unique elements. Mind that if you returned a set, the order would have been lost.<br></div><div><pre style="background-color:rgb(255,255,255);color:rgb(0,0,0);font-family:"DejaVu Sans Mono";font-size:10.5pt"><span style="color:rgb(0,0,178)">@icontract.post</span>(<span style="color:rgb(0,0,128);font-weight:bold">lambda </span>result: <span style="color:rgb(0,0,128)">len</span>(result) == <span style="color:rgb(0,0,128)">len</span>(<span style="color:rgb(0,0,128)">set</span>(result)), <span style="color:rgb(102,0,153)">enabled</span>=icontract.SLOW)<br><span style="color:rgb(0,0,128);font-weight:bold">def </span>missing_requirements(module_<wbr>to_requirement: Mapping[<span style="color:rgb(0,0,128)">str</span>, <span style="color:rgb(0,0,128)">str</span>],<br>                         requirements: Mapping[<span style="color:rgb(0,0,128)">str</span>, Requirement]) -> List[<span style="color:rgb(0,0,128)">str</span>]:<br>    <span style="color:rgb(128,128,128);font-style:italic">"""<br></span><span style="color:rgb(128,128,128);font-style:italic">    List requirements from module_to_requirement missing in the ``requirements``.<br></span><span style="color:rgb(128,128,128);font-style:italic"><br></span><span style="color:rgb(128,128,128);font-style:italic">    </span><span style="color:rgb(128,128,128);font-weight:bold">:param</span><span style="color:rgb(128,128,128);font-style:italic"> module_to_requirement: parsed ``module_to_requiremnt.tsv``<br></span><span style="color:rgb(128,128,128);font-style:italic">    </span><span style="color:rgb(128,128,128);font-weight:bold">:param</span><span style="color:rgb(128,128,128);font-style:italic"> requirements: parsed ``requirements.txt``<br></span><span style="color:rgb(128,128,128);font-style:italic">    </span><span style="color:rgb(128,128,128);font-weight:bold">:return</span><span style="color:rgb(128,128,128);font-style:italic">: list of requirement names<br></span><span style="color:rgb(128,128,128);font-style:italic">    """<br>    ...<br></span></pre>Here is a bit more complex example. <br>- The precondition A requires that all the supplied relative paths (rel_paths) are indeed relative (as opposed to absolute). <br>- The postcondition B ensures that the initial set of paths (given in rel_paths) is included in the results.<br></div><div>- The postcondition C ensures that the requirements in the results are the subset of the given requirements.<br></div><div>- The precondition D requires that there are no missing requirements (<i>i.e. </i>that each requirement in the given module_to_requirement is also defined in the given requirements).<br></div><div><br><pre style="background-color:rgb(255,255,255);color:rgb(0,0,0);font-family:"DejaVu Sans Mono";font-size:10.5pt"><span style="color:rgb(0,0,178)">@icontract.pre</span>(<span style="color:rgb(0,0,128);font-weight:bold">lambda </span>rel_paths: <span style="color:rgb(0,0,128)">all</span>(rel_pth.root == <span style="color:rgb(0,128,0);font-weight:bold">"" </span><span style="color:rgb(0,0,128);font-weight:bold">for </span>rel_pth <span style="color:rgb(0,0,128);font-weight:bold">in </span>rel_paths))  # A<br><span style="color:rgb(0,0,178)">@icontract.post</span>(<br>    <span style="color:rgb(0,0,128);font-weight:bold">lambda </span>rel_paths, result: <span style="color:rgb(0,0,128)">all</span>(pth <span style="color:rgb(0,0,128);font-weight:bold">in </span>result.rel_paths <span style="color:rgb(0,0,128);font-weight:bold">for </span>pth <span style="color:rgb(0,0,128);font-weight:bold">in </span>rel_paths),<br>    <span style="color:rgb(102,0,153)">enabled</span>=icontract.SLOW,<br>    <span style="color:rgb(102,0,153)">description</span>=<span style="color:rgb(0,128,0);font-weight:bold">"Initial relative paths included"</span>)  # B<br><span style="color:rgb(0,0,178)">@icontract.post</span>(<br>    <span style="color:rgb(0,0,128);font-weight:bold">lambda </span>requirements, result: <span style="color:rgb(0,0,128)">all</span>(<a href="http://req.name" target="_blank">req.name</a> <span style="color:rgb(0,0,128);font-weight:bold">in </span>requirements <span style="color:rgb(0,0,128);font-weight:bold">for </span>req <span style="color:rgb(0,0,128);font-weight:bold">in </span>result.requirements),<br>    <span style="color:rgb(102,0,153)">enabled</span>=icontract.SLOW)  # C<br><span style="color:rgb(0,0,178)">@icontract.pre</span>(<br>    <span style="color:rgb(0,0,128);font-weight:bold">lambda </span>requirements, module_to_requirement: missing_requirements(module_<wbr>to_requirement, requirements) == [],<br>    <span style="color:rgb(102,0,153)">enabled</span>=icontract.SLOW)  # D<br><span style="color:rgb(0,0,128);font-weight:bold">def </span>collect_dependency_graph(root_<wbr>dir: pathlib.Path, rel_paths: List[pathlib.Path],<br>                             requirements: Mapping[<span style="color:rgb(0,0,128)">str</span>, Requirement],<br>                             module_to_requirement: Mapping[<span style="color:rgb(0,0,128)">str</span>, <span style="color:rgb(0,0,128)">str</span>]) -> Package:<br></pre></div><div><pre style="background-color:rgb(255,255,255);color:rgb(0,0,0);font-family:"DejaVu Sans Mono";font-size:10.5pt"><span style="color:rgb(128,128,128);font-style:italic">    """<br></span><span style="color:rgb(128,128,128);font-style:italic">    Collect the dependency graph of the initial set of python files from the code base.<br></span><span style="color:rgb(128,128,128);font-style:italic"><br></span><span style="color:rgb(128,128,128);font-weight:bold">    :param</span><span style="color:rgb(128,128,128);font-style:italic"> root_dir: root directory of the codebase such as "/home/marko/workspace/pqry/<wbr>production/src/py"<br></span><span style="color:rgb(128,128,128);font-weight:bold">    :param</span><span style="color:rgb(128,128,128);font-style:italic"> rel_paths: initial set of python files that we want to package. These paths are relative to root_dir.<br></span><span style="color:rgb(128,128,128);font-weight:bold">    :param</span><span style="color:rgb(128,128,128);font-style:italic"> requirements: requirements of the whole code base, mapped by package name<br></span><span style="color:rgb(128,128,128);font-weight:bold">    :param</span><span style="color:rgb(128,128,128);font-style:italic"> module_to_requirement: module to requirement correspondence of the whole code base<br></span><span style="color:rgb(128,128,128);font-weight:bold">    :return</span><span style="color:rgb(128,128,128);font-style:italic">: resolved depedendency graph including the given initial relative paths,<br></span><span style="color:rgb(128,128,128);font-style:italic">    """<br></span></pre>I hope these examples convince you (at least a little bit :-)) that contracts are easier and clearer to write than asserts. As noted before in this thread, you can have the same <i>behavior</i> with asserts as 
long as you don't need to inherit the contracts. But the contract 
decorators make it very explicit what conditions should hold <i>without</i>
 having to look into the implementation. Moreover, it is very hard to 
ensure the postconditions with asserts as soon as you have a complex 
control flow <font size="2">since you would need to duplicate the assert at every return statement. (You could implement a context manager that ensures the postconditions, but a context manager is not more readable than decorators and you have to duplicate them as documentation in the docstring).<br></font><br>In my view, contracts are also superior to many kinds of tests. As the contracts are <i>always</i> enforced, they also enforce the correctness throughout the program execution whereas the unit tests and doctests only cover a list of selected cases. Furthermore, writing the contracts in these examples as doctests or unit tests would escape the attention of most less experienced programmers which are not  used to read unit tests as documentation. Finally, these unit tests would be much harder to read than the decorators (<i>e.g.</i>, the unit test would supply invalid arguments and then check for ValueError which is already a much more convoluted piece of code than the preconditions and postconditions as decorators. Such testing code also lives in a file separate from the original implementation making it much harder to locate and maintain). <br><br></div><div>Mind that the contracts <i>do not</i> <i>replace</i> the unit tests or the doctests. The contracts make merely tests obsolete that test that the function or class actually observes the contracts. Design-by-contract helps you skip those tests and focus on the more complex ones that test the behavior. Another positive effect of the contracts is that they make your tests deeper: if you specified the contracts throughout the code base, a test of a function that calls other functions in its implementation will also make sure that all the contracts of that other functions hold. This can be difficult to implement  with standard unit test frameworks.<br></div><div><br></div><div>Another aspect of the design-by-contract, which is IMO ignored quite often, is the educational one. Contracts force the programmer to actually sit down and think <i>formally</i> about the inputs and the outputs (hopefully?) <i>before</i> she starts to implement a function. Since many schools use Python to teach programming  (especially at high school level), I imagine writing contracts of a function to be a very good exercise in formal thinking for the students.<br></div><div><br></div><div>Please let me know what points <i>do not </i>convince you that Python needs contracts (in whatever form -- be it as a standard library, be it as a language construct, be it as a widely adopted and collectively maintained third-party library). I would be very glad to address these points in my next message(s).<br></div><div><br>Cheers,<br></div><div>Marko<br></div></div></div></div></div></div></div></div></div></div></div>
<br>______________________________<wbr>_________________<br>
Python-ideas mailing list<br>
<a href="mailto:Python-ideas@python.org">Python-ideas@python.org</a><br>
<a href="https://mail.python.org/mailman/listinfo/python-ideas" rel="noreferrer" target="_blank">https://mail.python.org/<wbr>mailman/listinfo/python-ideas</a><br>
Code of Conduct: <a href="http://python.org/psf/codeofconduct/" rel="noreferrer" target="_blank">http://python.org/psf/<wbr>codeofconduct/</a><br>
<br></blockquote></div><br></div>