ISO 9001/CMMI对源控制的含义是什么，尤其是git/mercurial/dvcs？

Question

熟悉Team Foundation Server的人一般问我这个问题。

是否可以使用诸如git或mercurial之类的DVC进行源控制，并符合ISO 9001或CMMI等标准？

ISO 9001和CMMI在哪些源控制工具应该和不应该能够的要求上有哪些要求？

ISO 9001/CMMI是否会考虑有害或需要特定考虑的情况？

我在 http://www.ssqc.com/do25v6new.pdf 但是快速浏览一下，除了需要保留已更改内容的记录，您部署的哪些版本以及它们解决的哪些问题，也没有理由不应该DVC不应该是能够与Fogbugz和CI诸如TeamCity之类的错误跟踪器结合使用。

Answer 1

首先，软件不是ISO 9001编译剂。 只有组织是ISO 9001编译剂. 。因此，所述的问题确实没有意义。您唯一可以问的是GIT或Mercurial开发团队是ISO 9001编译剂。 （CMMI也是如此）。

所有用于软件开发服装的ISO 9001真正意味着您为所做的一切（开发，错误修复等）都有书面过程，并且您遵循它。好吧，那您已经付钱给某人来进行ISO 9001审核，以证明上述情况。 CMMI参与其中，但是就本讨论而言，我们可以认为它们相似。

您可能必须看起来很长，很难找到一个免费的软件社区项目，该项目不愿意经历创建所有流程文档所需的巨大咕unt工作，并把钱弄得在一起支付了审计。如果您找到一个，那可能只会是由于某种大型公司赞助商想要它。

如果问题是这些标准指定了有关源控件使用的使用，则在ISO 9001的情况下 没有什么. 。古老的笑话是，如果您将产品拿出一个10层的窗口，将其放到下面的装载码头上，那么只要您的记录过程，就可以按照ISO进行ISO，然后遵循它。

Answer 2

我在21 CFR 820（受管制的医疗设备）/ISO 13485环境中工作，但是“大图”与ISO 9001大致相同。我同意上述关于ISO 9001的所有内容，即是关于过程的，而不是工具。

但是，您可能正在在需要实施工程设计控制程序的领域工作，而设计控件将涉及开发人员使用的过程，工具和工作指令。特别是，在医疗设备领域，我们必须担心与产品安全性或有效性有关的任何软件工具。这包括用于配置管理和版本控制的工具（如果您无法控制要构建的软件的版本，则不能令人信服地说您知道哪个版本在现场，因此您无法分辨哪些客户可以联系以进行召回）。

对于此类工具，我们必须具有“计算机系统验证”（CSV）文档。第三方工具的CSV包括（1）一种工具规范，该工具规范描述了产品开发周期内的用例以及它们如何影响质量以及（2）可以提供客观证据表明该工具在预期用例中有效的测试用例。

对于版本控制系统，这基本上意味着一份白皮书，描述您使用的功能（检查，结帐，分支，标签）以及对这些功能的一些测试，证明它们可以使用。对于奖励积分，如果该软件具有自己的测试套件，则可以包括证据表明它可以运行并通过其自己的测试。

Answer 3

来自 CMMI首页:

CMMI是一种流程改进方法，可为组织提供有效过程的基本要素，最终提高其性能。

CMMI处理过程，而不是工具。我的理解是，您可以使用粘土平板电脑进行版本控制，如果您有这样的过程（2级）并遵循该过程（3,4,5级），则可以使用CMMI。

Answer 4

我能够参加SCAMPI C审核，并在以前的雇主中为两个CMMI流程组开发流程，我们与CMMI顾问进行了一些有关版本控制的深入讨论。在此过程中，我们没有使用DVC，但是由于上述许多原因，我看不出为什么会出现问题。

关于CMMI的实际 审核, ，其他海报是正确的，指出只要该过程记录了并且开发人员可以理解并可以适当地引用该过程，您就可以了。

在确保您的团队准备通过CMMI审核方面，唯一要担心的是试图从开源VCS（SVN，CVS）或商业VCS（MKS，MKS，， Accurev等...）到DVC，没有适当的旋转时间。由于过渡可能会令人震惊，因此您要确保您的团队在进行审核之前对任何DVC都有牢固的控制。

Answer 5

正如其他人所指出的那样，ISO 9001与该工具无关。在他们（机构本身）的ISO 9001符合信号的机构工作是“成熟的”。在这种情况下，这个词成熟，表明该组织严格遵守已经过审核的过程，并被认为是ISO 9001兼容的过程。涉及GIT或Mercurial的过程不会影响您以任何方式符合ISO 9001的能力（除非您不遵循这些过程）。

至少，这就是我对这一切的理解。