Was sind die Auswirkungen von ISO 9001/CMMI auf die Quellensteuerung im Allgemeinen und Git/Mercurial/DVCs im Besonderen?
https://stackoverflow.com/questions/3822825
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Ich wurde diese Frage zur verteilten Quellenkontrolle im Allgemeinen von jemandem gestellt, der mit Team Foundation Server vertraut ist.
Ist es möglich, ein DVCs wie Git oder Mercurial für die Quellensteuerung zu verwenden und Standards wie ISO 9001 oder CMMI einzuhalten?
Welche Anforderungen stellen ISO 9001 und CMMI auf welche Quellensteuerungswerkzeuge sollten und nicht in der Lage sein sollten?
Gibt es Dinge, die Git/Mercurial tun, dass ISO 9001/CMMI schädlich betrachtet wird oder die spezifische Überlegungen erfordern würden?
Ich habe einige Informationen bei gefunden http://www.ssqc.com/do25v6new.pdf Aber auf einen kurzen Blick scheint es nicht viel anderes zu sagen als die Notwendigkeit, Aufzeichnungen darüber zu behalten, was sich geändert hat, welche Versionen Ihrer Software Sie bereitgestellt haben und welche Probleme sie beheben, und es gibt keinen Grund, warum DVCs nicht sein sollten In der Lage, dies in Kombination mit einem Fehler -Tracker wie Fogbugz und einem CI -Server wie TeamCity zu verarbeiten.
Lösung
Zunächst einmal ist die Software nicht ISO 9001 Compilant. Nur Organisationen sind ISO 9001 Compilant. Die Frage, wie angegeben, macht also keinen Sinn. Das einzige, was Sie fragen können, ist, ob die Git- oder Mercurial Development Teams ISO 9001 Compilant sind. (Das gleiche gilt für CMMI).
All ISO 9001 für ein Softwareentwicklungs -Outfit bedeutet wirklich, dass Sie einen schriftlichen Prozess für alles haben, was Sie tun (Entwicklung, Fehlerbehebungen usw.) und dass Sie ihm folgen. Nun, das und Sie haben jemanden bezahlt, der einen ISO 9001 -Audit für das oben genannte zertifiziert. CMMI ist viel mehr involviert, aber für die Zwecke dieser Diskussion können wir sie als ähnlich betrachten.
Sie müssten wahrscheinlich ziemlich lang und schwierig aussehen, um ein kostenloses Software -Community -Projekt zu finden, das sich die Mühe gemacht hat, die massive Grunzarbeit zu durchlaufen, die für die Erstellung aller Prozessdokumentationen erforderlich sind und das Geld zusammenkratzte, um für eine Prüfung zu bezahlen. Wenn Sie einen finden, würde dies wahrscheinlich nur auf eine Art großer Unternehmenssponsor liegen, der ihn wünscht.
Wenn die Frage ist, welche Standards zur Verwendung der Quellvertretung angeben, wäre dies im Fall von ISO 9001 dies nichts. Der alte Witz ist, dass wenn Sie Ihr Produkt nehmen und ein 10 -stöckiges Fenster in das unten stehende Ladedock ausgeben, das für ISO in Ordnung ist, solange dies Ihr dokumentierter Prozess ist und Sie ihm folgen.
Andere Tipps
Ich arbeite in einer 21 CFR 820 (regulierten medizinischen Gerät)/ISO 13485 -Umgebung, aber das "Gesamtbild" ist ähnlich wie ISO 9001. Ich stimme all den Dingen über ISO 9001 zu, die sich um Prozess und keine Tools handeln.
Möglicherweise arbeiten Sie jedoch in einem Bereich, in dem Sie Verfahren für technische Designsteuerungen implementieren müssen, und Designsteuerungen berühren die von Entwicklern verwendeten Prozesse, Tools und Arbeitsanweisungen. Insbesondere in der Arena der Medizinprodukte müssen wir uns um Softwaretools kümmern, die sich auf die Sicherheit oder Wirksamkeit des Produkts befinden. Dies beinhaltet Tools für Konfigurationsverwaltung und Versionskontrolle (wenn Sie nicht steuern können, welche Version der Software, die Sie erstellen, können Sie nicht überzeugend sagen, dass Sie wissen, welche Version (n) im Feld sind, also können Sie es nicht sagen Welche Kunden, die Sie für einen Rückruf kontaktieren müssen).
Für solche Tools müssen wir eine "Computersystemvalidierung" (CSV) -Dokumentation haben. CSV für ein Tool von Drittanbietern umfasst (1) eine Toolspezifikation, die die Anwendungsfälle innerhalb des Produktentwicklungszyklus beschreibt und wie sie die Qualität beeinflussen, und (2) Testfälle, die objektive Beweise dafür liefern, dass das Tool in den beabsichtigten Anwendungsfällen wirksam ist .
Für ein Versionskontrollsystem würde dies im Grunde genommen ein Whitepaper bedeuten, das die von Ihnen verwendeten Funktionen (Checkin, Checkout, Zweige, Tags) und einige Tests dieser Funktionen beschreibt, die zeigen, dass sie funktionieren. Wenn die Software für Bonuspunkte eine eigene Testsuite hat, können Sie Beweise dafür einfügen, dass sie ihre eigenen Tests betreibt und besteht.
Von dem CMMI Homepage:
CMMI ist ein Prozessverbesserungsansatz, der Unternehmen die wesentlichen Elemente effektiver Prozesse bietet, die letztendlich ihre Leistung verbessern.
CMMI befasst sich mit Prozess, nicht mit Werkzeugen. Mein Verständnis ist, dass Sie die Versionskontrolle mit Tontablets und CMMI -konform sein können, wenn Sie einen Prozess für dies tun (Stufe 2) und dem Prozess (Stufe 3,4,5).
Ich konnte an einem Scampi C-Audit teilnehmen und für zwei CMMI-Prozessgruppen eines früheren Arbeitgebers entwickeln, und wir hatten einige detaillierte Diskussionen über die Versionskontrolle mit unserem CMMI-Berater. Wir haben während dieses Prozesses kein DVCs verwendet, aber aus vielen der oben genannten Gründe kann ich nicht verstehen, warum es ein Problem wäre.
In Bezug auf das, was CMMI eigentlich Audits für, Die anderen Plakate sind zu Recht, dass Sie in Ordnung sein sollten, solange der Prozess dokumentiert ist und die Entwickler verstehen und den Prozess angemessen angeben können.
Um sicherzustellen, dass Ihr Team bereit ist, ein CMMI -Audit zu bestehen, wäre das einzige, was ein geringes Problem wäre, zu versuchen, ein mittel-/großes Team von Open Source VCS (SVN, CVS) oder kommerziellen VCs (MKS, von Open Source VCS (SVN, CVS) zu übergang. ACCUREV usw.) zu einem DVCs ohne die entsprechende Spin-up-Zeit. Da der Übergang erschütternd sein kann, möchten Sie sicherstellen, dass Ihr Team alle DVCs fest im Griff hat, bevor Sie sich mit der Prüfung befassen.
Wie bei anderen Menschen festgestellt hat, handelt ISO 9001 nicht um das Werkzeug. Arbeiten in einer Institution, die ISO 9001 -konforme Signale sind, die sie (die Institution selbst) sind, sind "reif". Das Wort reifer in diesem Zusammenhang, was darauf hinweist, dass die Organisation streng an Prozesse hält, die geprüft und als ISO 9001 -konform befunden wurden. Prozesse, die Git oder Quecksilber beinhalten, wirken sich nicht auf Ihre Fähigkeit aus, ISO 9001 in irgendeiner Weise konform zu werden (es sei denn, Sie folgen den Prozessen nicht).
Zumindest ist das mein Verständnis von allem.
