CMMI物理構成監査を実行するための最良のアプローチは?

StackOverflow https://stackoverflow.com/questions/244996

  •  05-07-2019
  •  | 
  •  

質問

私が現在働いている組織は、すべてを文書化するというCMMIの世界全体に移行している組織です。 Configuration Managerの役職を(他の1人と一緒に)割り当てられました。おめでとうございます。

義務の一部は、定期的に(定期的に定義されているため、四半期ごとまたは月ごとに)物理的な構成監査を実行することです。これは基本的に、本番環境で展開されているソースコードバージョンと、本番環境でソースコードバージョンであると思われるものをチェックすることです。

私たちのプロジェクトは、Javaで書かれた比較的小さなWebアプリケーションです。使用するファイルの種類は、java、jsp、xml、プロパティファイル、およびsqlパッケージです。

私が抱えている(そして、無視されているように見える)問題は、実稼働サーバーに物理的にログオンし、ファイルのバージョンを確認することです。

ファイルのバージョンは、現在もファイル内にありません(つまり、コメントなど)。ユーザーにも見える画面にバージョン番号を表示することをお勧めします。画面自体は、私たちが管理しているコードのごく一部にすぎないため、これもばかげていると思いました。

現在使用しているツールは、IDE用のNetbeansとバージョン管理ツールとしてのSerena Dimensionsです。

この監査をより自動化された方法で実行する方法についてのアイデアを具体的に探しています。これは正確であり、時間もかかりません。

現時点では、そのファイルのバージョン番号を含む各ファイルの先頭にコメントを追加することです。XMLファイルを作成するために本番ビルドを作成するときに実行するスクリプト、またはファイル名とバージョンを含む同様のものビルド内の各ファイルのファイル。次に、監査を行う必要がある場合は、運用サーバーに移動して情報を含むxmlファイルを取得し、プログラムで運用中と思われるものと比較し、レポートを出力します。

より良いアイデア。これはすでに行われている必要があることを知っており、他のリソースが見つからなかったことに夢中になっているようです。

役に立ちましたか?

解決

運用サーバー上のソースファイルのSHA1ハッシュを計算し、そのハッシュ値をソース管理に保存されているバージョンと比較できます。ソース管理で同じハッシュを見つけることができれば、実稼働中のバージョンがわかります。ソース管理で同じハッシュが見つからない場合は、実稼働環境で変更が追跡されず、新しい役職が正当化されます。 :)

他のヒント

CMMIに陥る典型的なトラップ組織は、すべてをやりすぎようとしています。私が何かを提案できるなら、それは小さな&必要なことだけを行います。そのため、CMエリアで以前に発生した可能性のある問題を考慮してください。

CMMIは、組織が何をすべきかを説明しますが、その方法はあなた次第です。 CMMI仕様、第2章は価値があります読む-仕様の必須、期待、および有益なコンポーネントを説明します-基本的に目標が必要であり、実践が期待され、他のすべては有益です。これは、CMMI評価者が直接要求できる仕様のごく一部、つまり目標のみがあることを意味します。実践レベルでは、説明されている実践、またはそれらに代わる許容可能な代替のいずれかを持つことが許可されています。

構成監査の場合、目標SG3は「ベースラインの整合性が確立および維持される」ことです。 SP3.2では、「構成ベースラインの整合性を維持するために構成監査を実行する」と書かれています。ここで、これらの実行頻度や所要時間については何も述べられていません。

以前の組織では、FCA / PCAは通常、製品リリースプロセスの一部としてのみ行われ、ClearCaseをバージョン管理ツールとして使用し、コードベース全体にラベルを適用してベースラインを定義しました。すべてのソースファイルにバージョン番号がなく、すべての製品画面にバージョン番号もありませんでした-CMアクティビティは正しいことを&監査によってバックアップされましたが、これはCMMI評価では決して問題ではありませんでした。 ラベル間のデルタを使用して、どのファイルが変更されたかを確認し、差分を実行して実際のコードの変更を確認できます。プロセスの重要な部分は、これらの変更を要件/バグレポート/変更を開始した理由に関係なくリンクできることです。

監査ではスクリプトを使用してプロセスを自動化しましたが、これらは社内で開発されたスクリプトであり、ClearCaseに固有です-基本的に、すべてのファイル、CMシステムのバージョン、およびベースライン/構成アイテム所属。

これにソース管理を使用できませんか?バージョンを展開し、その展開でソース管理にタグを付けると、ソース管理システムに対して検証できます

ライセンス: CC-BY-SA帰属
所属していません StackOverflow
scroll top