On m'a posé cette question sur le contrôle des sources distribuées en général par une personne familiarisée avec Team Foundation Server.
est-il possible d'utiliser des DVC tels que GIT ou Mercurial pour le contrôle de la source et se conformer aux normes telles que ISO 9001 ou CMMI?
Quelles sont les exigences ISO 9001 et CMMI sur quels outils de contrôle de source doivent et ne doivent pas être capables de?
Y a-t-il des choses qui git / mercuriates que ISO 9001 / CMMI jugeraient nuisibles ou qui nécessiteraient des considérations spécifiques?
5 Réponses :
Tout d'abord, le logiciel n'est pas compilant ISO 9001. Seules les organisations sont Compilant ISO 9001 . Donc, la question comme indiqué n'a aucun sens. La seule chose que vous pouvez demander est si les équipes de développement GIT ou Mercurial sont compilées ISO 9001. (La même chose va pour l'IMMI).
Tout ISO 9001 pour une tenue de développement de logiciels signifie vraiment que vous avez un processus écrit en place pour tout ce que vous faites (développement, corrections de bugs, etc.) et que vous le suivez. Eh bien, et vous avez payé quelqu'un à venir faire un audit ISO 9001 certifiant ce qui précède. CMMI est beaucoup plus impliqué, mais aux fins de cette discussion, nous pouvons les considérer similaires.
Vous devrez probablement être assez long et difficile de trouver un projet de communauté de logiciels libres qui gênait de suivre les travaux de grognement massifs nécessaires à la création de la documentation de processus et qui raclèrent l'argent pour payer un audit. Si vous en trouvez un, cela ne serait probablement que due à une sorte de sponsor de grande entreprise en voulant.
Si la question est de savoir ce que ces normes spécifient sur l'utilisation du contrôle de la source, dans le cas de ISO 9001, ce serait rien . La vieille blague est que si vous prenez votre produit et déposez-le une fenêtre de 10 étages au quai de chargement ci-dessous, c'est tout simplement bien par ISO tant que c'est votre processus documenté et vous le suivez.
Et ce serait un peu inutile, car peu de projets de logiciels libres auraient des contrats commerciaux éventuels sur la conformité ISO9001: P
J'ai presque ri soda sur mon nez à votre dernière phrase.
En une manière moins éjacule-soda, ISO9001 (et les niveaux CMMI non totalement vissés) signifie fondamentalement "disent ce que tu feras, fais ce que tu as dit".
Ou comme nous décrivons l'ISO dans notre organisation. «Vous pouvez toujours produire de la merde, mais la merde est de qualité constante». Mais la certification ISO est importante, cela vous fait penser à ce que vous faites.
du page d'accueil CMMI :
CMMI est une approche d'amélioration des processus qui fournit aux organisations des éléments essentiels des processus efficaces qui améliorent leur performance.
CMMI traite avec le processus, pas des outils. Ma compréhension est que vous pouvez contrôler la version avec des comprimés en argile et être conforme au CMMI si vous aviez un processus pour le faire (niveau 2) et suivi du processus (niveau 3,4,5).
Notez également qu'il s'agit de «organisations», pas de programmes informatiques.
J'ai pu participer à une vérification de Scamie C et développer un processus pour deux groupes de processus du CMMI dans un employeur précédent et nous avons eu des discussions approfondies sur le contrôle de la version avec notre consultant CMMI. Nous n'utilisions pas de DVC au cours de ce processus, mais pour de nombreuses raisons mentionnées ci-dessus, je ne vois pas pourquoi ce serait un problème.
en termes de ce que CMMI audits pour , les autres affiches sont correctes pour indiquer que tant que le processus est documenté et que les développeurs comprennent et peuvent citer le processus de manière appropriée, vous devriez être correct.
En termes de veille à ce que votre équipe soit prête à adopter un audit CMMI, la seule chose qui constituerait une légère préoccupation serait d'essayer de transition une équipe de taille moyenne / grande de VCS open source (SVN, CVS) ou des VC commerciaux (Mks, accurev, etc ...) à un DVC sans le temps de retournement approprié. Étant donné que la transition peut être jarring, vous voulez vous assurer que votre équipe a une prise ferme sur les DVC avant de s'engager dans l'audit.
Comme d'autres personnes ont noté ISO 9001 ne concerne pas l'outil. Travailler dans une institution ISO 9001 signaux conformes auxquels ils (l'institution elle-même) sont "matures". Le mot mature, dans ce contexte, indiquant que l'organisation adhère strictement aux processus audités et jugés conformes à ISO 9001. Les processus impliquant GIT ou Mercurial n'auront aucune incidence sur votre capacité à devenir ISO 9001 conforme de quelque manière que ce soit (sauf si vous ne suivez pas les processus).
Au moins, c'est ma compréhension de tout cela.
Techniquement, cela serait beaucoup plus précis lorsque vous parlez de CMMI, car le premier M signifie "maturité". En général, tout à fait correct cependant.
Je travaille dans un environnement de 21 CFR 820 (dispositif médical réglementé) / ISO 13485 Environnement, mais la "grande image" est à peu près la même chose que ISO 9001. Je suis d'accord avec toutes les choses ci-dessus sur ISO 9001 étant sur le processus, pas des outils .
Toutefois, vous pouvez travailler dans une zone dans laquelle vous devez mettre en œuvre des procédures de contrôle de la conception technique et les contrôles de conception vont toucher les processus, les outils et les instructions de travail utilisés par les développeurs. En particulier, dans le dispositif médical Arena, nous devons nous inquiéter des outils logiciels qui portent sur la sécurité ou l'efficacité du produit. Cela inclut des outils pour la gestion de la configuration et la commande de version (si vous ne pouvez pas contrôler la version du logiciel que vous construisez, vous ne pouvez pas dire de manière convaincante que vous savez quelle version (s) est sur le terrain, vous ne pouvez donc pas le dire. quels clients contacter pour un rappel).
Pour de tels outils, nous devons avoir une documentation de «validation de systèmes informatiques» (CSV). CSV pour un outil tiers comprend (1) une spécification d'outil décrivant les cas d'utilisation dans le cycle de développement de produits et sur la manière dont ils affectent la qualité et (2) des cas de test pouvant fournir des preuves objectives que l'outil est efficace dans les cas d'utilisation prévus. .
Pour un système de contrôle de version, cela signifierait essentiellement un livre blanc décrivant les fonctions que vous utilisez (checkin, caisse, branches, tags) et quelques tests de ces fonctionnalités démontrant qu'ils fonctionnent. Pour des points bonus, si le logiciel dispose de sa propre suite de test, vous pouvez inclure des preuves qu'il exécute et transmet ses propres tests.
Pas vraiment pensé à cet aspect. Auriez-vous également besoin de DIN ou de ASA aussi bien ou est-ce que ISO couvre cela maintenant? Il me semble également que des langages de programmation ou des compilateurs ISO 9001 conforme
Deux très bonnes réponses déjà, ont confirmé ce que je pensais. J'aimerais pouvoir les accepter tous les deux ...