1.什么是配置审计[1]
配置审计是指在配置标识、配置控制、配置状态记录的基础上对所有配置项的功能及内容进行审查,以保证软件配置项的可跟踪性。
2.配置审计的任务[2]
配置审计是对软件进行验证的一种方法,其目的是检查软件产品和过程是否符合标准、规格说明和规程。配置审计的对象既可以是软件产品,又可以是软件过程;既可以是整个软件产品或过程,又可以是部分软件产品或过程。其主要任务是:
a.检查配置项是否完备,特别是关键的配置项是否遗漏;
b.检查所有配置项的基线是否存在,基线产生的条件是否齐全;
c.检查每份技术文档作为某个配置项版本的描述是否精确,是否与相关版本一致;
d.检查每项已批准的更改是否都已实现;
e.检查每项配置项更改是否按配置更改规程或有关标准进行;
f.检查每个配置管理人员的责任是否明确,是否尽到了应尽的责任;
g.检查配置信息安全是否受到破坏,评估安全保护机制的有效性。
3.配置审计的类型[2]
配置审计的类型包括功能配置审计和物理配置审计等。
功能配置审计是验证一个配置项的实际工作性能是否符合它的需求规格说明的一项审查,以便为软件的设计和编程建立一个基线。即,通过对软件测试方法、测试流程及测试报告的评价,鉴定软件配置项的实际功能、性能是否达到了软件设计文档所规定的要求。
物理配置审计是对照设计规格说明检验已建立的某个配置项,其目的是为软件的设计和编码建立一个基线。即,通过对软件配置项交付版本的检测,鉴定文、图、物的一致性,并保证软件更改的完整性,所有要求的程序、数据、规程和文档都包括其中。
配置审计活动应证实产品的完整性,规定每次配置审计的时机、要求和解决发现的问题的工作规程。此外,还应考虑软件配置项的存放媒体、保存和使用的安全保护方法和设施,防止非法存取、意外损坏或自然老化。例如,可规定如下:
a.配置管理系统所用计算机专人专用,不得进行与配置管理工作无关的活动。
b.计算机硬盘上的配置项必须有软盘(或光盘)作为副本,而且每隔半年应重新拷贝。
c.软件配置管理小组要对所有由第三方提供的软件进行物理配置审计。
d.软件研制周期中转段时对系统及其各个子系统的每一个新的释放(所提供的上一阶段的产品)进行功能配置审计和物理配置审计。
e.对宿主计算机系统所提供的软件和硬件配置要每隔半年审计一次;软件验收前要对宿主计算机系统、各个子系统及其专用支持软件的配置进行综合审计。
f.在软件开发周期各阶段的评审和审计工作中,要对该阶段所进行的配置管理工作进行必要的评审和审计。
g.在型号转段和软件参加飞行试验之前,应对配置项进行功能配置审计和物理配置审计。
4.配置审计的措施[3]
为确保变更的实现,有两种措施:正式技术复审和软件配置审计。正式技术复审主要考虑所变更对象在技术上的正确性。软件配置审计作为一种补充,主要考虑那些通常不在复审过程考虑的因素。例如,是否遵循了软件工程标准,是否说明了变更日期和作者等。
5.配置审计的作用[4]
配置审计的主要作用是作为变更控制的补充手段,来确保某一变更需求已被切实实现。在某些情况下,它被作为正式的技术复审的一部分,但当软件配置管理是一个正式的活动时,该活动由软件质量管理人员单独执行。审计机制保证修改的动作被完整地记录,也就是说,记录了谁修改了这个工件,什么时候做的修改,为什么原因作出这个改动以及修改了哪些地方。在版本控制过程中,如果利用一些配置管理工具(或者版本控制工具)的支持,则可以自动地记录审计工作所需的4个W(Who、When、Why、What)。同时配置审计工作应当可以说明如下信息:
·变更要求被完成,并且对附加的修改已经执行了。
·采用了正确的正式验证手段。
·遵循了标准的要求。
·变更的4W信息被完整记录,并和相关配置项关联。