Quali sono le implicazioni di ISO 9001/CMMI per il controllo della sorgente in generale e in particolare Git/Mercurial/DVC?

Question

Mi è stata posta questa domanda sul controllo di origine distribuito in generale da qualcuno che ha familiarità con il team Foundation Server.

È possibile utilizzare un DVC come GIT o mercuriale per il controllo della sorgente e rispettare standard come ISO 9001 o CMMI?

Di quali requisiti si trovano ISO 9001 e CMMI su quali strumenti di controllo della sorgente dovrebbero e non dovrebbero essere in grado?

Ci sono cose che Git/Mercurial fanno che ISO 9001/CMMI considererebbe dannoso o che richiederebbe considerazioni specifiche?

Ho trovato alcune informazioni a http://www.ssqc.com/do25v6new.pdf Ma a una rapida occhiata non sembra dire molto diverso dalla necessità di tenere i registri di ciò che è cambiato, quali versioni del tuo software hai distribuito e quali problemi risolvono e non c'è motivo per cui i DVC non dovrebbero essere In grado di gestirlo in combinazione con un tracker di bug come Fogbugz e un server CI come TeamCity.

Answer 1

Prima di tutto, il software non è un compilante ISO 9001. Solo le organizzazioni sono compilanti ISO 9001. Quindi la domanda, come indicato, non ha davvero senso. L'unica cosa che potresti chiedere è se i team di sviluppo GIT o mercuriale sono compilanti ISO 9001. (Lo stesso vale per CMMI).

Tutto l'ISO 9001 per un outfit di sviluppo software significa davvero che hai un processo scritto in atto per tutto ciò che fai (sviluppo, correzioni di bug, ecc.) E che lo segui. Bene, questo e hai pagato qualcuno per venire a fare un audit ISO 9001 che certifica quanto sopra. CMMI è molto più coinvolto, ma ai fini di questa discussione, possiamo considerarli simili.

Probabilmente dovresti apparire abbastanza a lungo e difficile trovare un progetto di comunità di software gratuiti che si preoccupasse di passare attraverso il massiccio lavoro di grugnito richiesto per creare tutta la documentazione di processo e che ha raschiato i soldi per pagare un audit. Se ne trovi uno, probabilmente sarebbe dovuto solo a una sorta di grande sponsor aziendale che lo desidera.

Se la domanda è quali tali standard specificano sull'uso del controllo della fonte, nel caso di ISO 9001 lo sarebbe niente. La vecchia battuta è che se prendi il tuo prodotto e lo lasci fuori da una finestra di 10 piani sul dock di caricamento qui sotto, va bene per ISO fintanto che questo è il tuo processo documentato e lo segui.

Answer 2

Lavoro in un ambiente da 21 CFR 820 (dispositivo medico regolamentato)/ISO 13485, ma il "quadro generale" è più o meno lo stesso di ISO 9001. Sono d'accordo con tutte le cose di cui sopra su ISO 9001 sul processo, non sugli strumenti.

Tuttavia, potresti lavorare in un'area in cui è necessario implementare le procedure per i controlli di progettazione ingegneristica e i controlli di progettazione toccheranno i processi, gli strumenti e le istruzioni di lavoro utilizzate dagli sviluppatori. In particolare, nell'arena dei dispositivi medici dobbiamo preoccuparci di tutti gli strumenti software che hanno la sicurezza o l'efficacia del prodotto. Ciò include strumenti per la gestione della configurazione e il controllo delle versi quali clienti contattare per un richiamo).

Per tali strumenti, dobbiamo avere la documentazione di "convalida dei sistemi informatici" (CSV). CSV per uno strumento di terze parti include (1) una specifica dello strumento che descrive i casi d'uso all'interno del ciclo di sviluppo del prodotto e come influenzano la qualità e (2) casi di prova che possono fornire prove oggettive che lo strumento è efficace nei casi d'uso previsti .

Per un sistema di controllo della versione, ciò significherebbe fondamentalmente un white paper che descrive le funzionalità utilizzate (check -in, checkout, rami, tag) e alcuni test di quelle funzionalità che dimostrano che funzionano. Per i punti bonus, se il software ha una propria suite di test puoi includere prove che esegue e supera i propri test.

Answer 3

Dal Homepage CMMI:

CMMI è un approccio di miglioramento del processo che fornisce alle organizzazioni gli elementi essenziali di processi efficaci che alla fine migliorano le loro prestazioni.

CMMI si occupa del processo, non degli strumenti. La mia comprensione è che potresti controllare la versione con tablet di argilla ed essere conforme a CMMI se avessi un processo per farlo (livello 2) e segui il processo (livello 3,4,5).

Answer 4

Sono stato in grado di prendere parte a un audit SCAMPI C e di sviluppare il processo per due gruppi di processo CMMI in un precedente datore di lavoro e abbiamo avuto alcune discussioni approfondite sul controllo della versione con il nostro consulente CMMI. Non stavamo usando un DVC durante questo processo, ma per molte delle ragioni sopra menzionate non riesco a capire perché sarebbe un problema.

In termini di ciò che CMMI effettivamente audit per, gli altri poster sono corretti nel affermare che fintanto che il processo è documentato e gli sviluppatori comprendono e possono citare il processo in modo appropriato, dovresti essere OK.

In termini di garantire che il tuo team sia pronto a passare un audit CMMI, l'unica cosa che sarebbe una leggera preoccupazione sarebbe cercare di passare a un team di dimensioni medi/grandi da VC open source (SVN, CVS) o VC commerciali (MKS, Accurev, ecc ...) a un DVCS senza il tempo di spin-up appropriato. Poiché la transizione può essere stonante, vuoi assicurarti che la tua squadra abbia una presa ferma su qualsiasi DVCS prima di impegnarsi nell'audit.

Answer 5

Come altre persone hanno notato che ISO 9001 non riguarda lo strumento. Lavorare in un'istituzione che è segnali conformi ISO 9001, loro (l'istituzione stessa) sono "maturi". La parola matura, in questo contesto, indicando che l'organizzazione aderisce rigorosamente ai processi che sono stati verificati e trovati conformi all'ISO 9001. I processi che coinvolgono GIT o mercuriale non influenzeranno la tua capacità di diventare in alcun modo conforme ISO 9001 (a meno che non si segua i processi).

Almeno, questa è la mia comprensione di tutto.