Team Foundation Server に精通している方から、分散ソース管理全般についてこの質問を受けました。
ソース管理に Git や Mercurial などの DVCS を使用し、ISO 9001 や CMMI などの標準に準拠することは可能ですか?
ISO 9001 および CMMI は、どのソース管理ツールが可能であり、どのソース管理ツールが可能でないかについて、どのような要件を課していますか?
Git/Mercurial が ISO 9001/CMMI で有害と見なされること、または特定の考慮が必要となるようなことはありますか?
http://www.ssqc.com/do25v6new.pdfでいくつかの情報を見つけましたが、一見すると、何が変更されたか、どのバージョンのソフトウェアを使用しているかを記録する必要があるということ以外はあまり語られていないように見えます。 FogBugz などのバグ トラッカーや TeamCity などの CI サーバーと組み合わせて、DVCS がそれを処理できない理由はありません。
まず、ソフトウェアは ISO 9001 に準拠していません。ISO 9001 に準拠しているのは組織のみです。したがって、述べられている質問は本当に意味がありません。質問できる唯一のことは、Git または Mercurial の開発チームが ISO 9001 に準拠しているかどうかです。(CMMI についても同様です)。
ソフトウェア開発組織の ISO 9001 が実際に意味することは、すべての作業 (開発、バグ修正など) について文書化されたプロセスがあり、それに従うことです。さて、それで、あなたは誰かにお金を払って、上記に関して ISO 9001 監査を証明するために来てもらいました。CMMI はもっと複雑ですが、この議論の目的上、それらは類似していると見なすことができます。
おそらく、すべてのプロセス文書を作成するために必要な膨大な単調な作業を経て、監査のためにお金をかき集めたフリー ソフトウェア コミュニティ プロジェクトを見つけるには、かなり長い間、懸命に探さなければならないでしょう。見つけたとしても、大企業のスポンサーがそれを欲しがっているからでしょう。
ISO 9001 の場合、ソース管理の使用に関してそれらの規格が何を指定しているかが問題である場合、それは何もありません。古いジョークでは、製品を 10 階建ての窓から下の積み込みドックに降ろしたとしても、それが文書化されたプロセスであり、それに従う限り、ISO では問題ありません。
私は 21 CFR 820 (規制された医療機器)/ISO 13485 環境で働いていますが、「全体像」は ISO 9001 とほとんど同じです。ISO 9001 がツールではなくプロセスに関するものであるという上記のすべてのことに同意します。
ただし、エンジニアリング設計管理の手順を実装する必要がある分野で作業している可能性があり、設計管理は開発者が使用するプロセス、ツール、および作業指示に影響します。特に、医療機器の分野では、製品の安全性や有効性に関係するソフトウェア ツールについて心配する必要があります。これには、構成管理とバージョン管理のためのツールが含まれます (構築しているソフトウェアのバージョンを管理できない場合、現場にあるバージョンを知っていると説得力を持って言うことはできません。リコールのために連絡する顧客)。
このようなツールについては、「コンピューター システム検証」(CSV) ドキュメントが必要です。サードパーティ ツールの CSV には、(1) 製品開発サイクル内のユース ケースと、それらが品質に与える影響を説明するツール仕様、および (2) 意図したユース ケースでツールが有効であることの客観的な証拠を提供できるテスト ケースが含まれます。 .
バージョン管理システムの場合、これは基本的に、使用する機能 (チェックイン、チェックアウト、ブランチ、タグ) を説明するホワイト ペーパーと、それらの機能が機能することを示すいくつかのテストを意味します。おまけとして、ソフトウェアに独自のテスト スイートがある場合は、それが実行され、独自のテストに合格したという証拠を含めることができます。
CMMIホームページより:
CMMI は、最終的にパフォーマンスを向上させる効果的なプロセスの不可欠な要素を組織に提供するプロセス改善アプローチです。
CMMI は、ツールではなくプロセスを扱います。私の理解では、クレイ タブレットを使用してバージョン管理を行い、それを実行するためのプロセス (レベル 2) があり、そのプロセス (レベル 3、4、5) に従えば、CMMI に準拠できるということです。
私はSCAMPIC監査に参加し、前の雇用主で2つのCMMiプロセスグループのプロセスを開発することができました。また、CMMiコンサルタントとバージョン管理について詳細に話し合いました。このプロセスではDVCSを使用していませんでしたが、上記の多くの理由により、なぜ問題になるのかわかりません。
CMMiが実際に監査する内容に関して、他の投稿者は、プロセスが文書化され、開発者がプロセスを理解して適切に引用できる限り、大丈夫であると述べています。
チームがCMMi監査に合格する準備ができていることを確認するという点で、わずかに懸念されるのは、中規模/大規模のチームをオープンソースVCS(SVN、CVS)または商用VCS(MKS、 AccuRevなど)を適切なスピンアップ時間なしでDVCSに変換します。移行は不快感を与える可能性があるため、監査を行う前に、チームがDVCSをしっかりと把握していることを確認する必要があります。
他の人が指摘しているように、ISO 9001 はツールに関するものではありません。ISO 9001 準拠の機関で働くことは、彼ら (機関自体) が「成熟」していることを示します。この文脈における成熟という言葉は、組織が、監査され、ISO 9001 に準拠していることが判明したプロセスに厳密に従っていることを示しています。Git または Mercurial を含むプロセスは、ISO 9001 に準拠する能力に影響を与えることはありません (プロセスに従わない場合を除きます)。
少なくとも、それがすべての私の理解です。