收藏：配置审计的基础和审计类别

来源：软件架构-信息技术论坛 -> http://www.softat.org/redirect.php?tid=4316&goto=lastpost

配置审计的基础和审计类别

       审计是CMM活动非常重要的一个活动，它和配置活动、变更活动成为了配置管理的三大件，那么为什么要进行配置审计，审计到底和我们一般意义上的审计、审核有什么不同呢，下面我旁敲侧引大致给各位介绍一下。

       在CMM中，配置审计要求定期审计软件基线和SCM 活动，这个约定展现了审计活动的重要性，因此审计活动是为了保证软件产品与软件配置项相匹配，包括源代码与软件文档的匹配、软件和用户文档的匹配，从另外一种意义上说审计具有质量保证的作用。
   
      在整个软件工程活动中，QA是核心，非常重要，审计为质量保证服务中担当的角色也非常重要，它可以为我们解决下面的问题！
      1）采用的机制能够适当的提供变更历史记录这样的审计轨迹？
      2）如何实现对再次承包组织的审计？
      3）每一个基线需要执行多于一种类型的审计？
      4）如何对第三方软件配置项进行管理，控制和审计？
      5）对每一个基线、每一个组建、每一个功能组是否有一个独立的审计轨迹？
       6）其他组织对审计轨迹附加的需求是什么？
       7）如何使软件介质保持不变？
       8）需要安全的存储设施吗？
       ... ...

       显然，审计是组织确保项目完成所有需要做的工作并满足用户需求和外部条件的一种方法。

       审计在软件开发过程中可以分为多种类型，不同的审计其针对的审计内容，起到的效果是不一样的，下面简单阐述一下。
一、过程审计
       过程审计其目的是为了验证整个开发过程中设计的一致性。在软件开发过程中，其输入是软件需求规格说明书、软件设计说明书、批准的变更、可公开发表的源码证书、软件验收和部署计划、测试结果。该过程需要执行的活动有：硬件和软件接口需求规格说明和软件设计说明的一致性；根据软件验收和部署计划，代码是被完全测试的；正在开展的设计和软件需求是一致的。审计结果是要求所有差别的过程审计必须是有报告的。

二、功能审计
          功能审计其目的是验证功能和性能与软件需求规格说明书中定义的需求的一致性；
           其输入除了过程审计的输入外还有就是过程审计报告、已完成的测试和计划要做的测试。活动很简单，就是对照测试数据审计测试文档；审计软件验证和确认报告；保证审计结果已被采纳。审计输出是建议批准、有条件批准或不批准的物理审计报告。

三、物理审计
        物理审计是为了验证已完成的软件版本与文档内部的一致性，并准备交付产品。它需要的输入除了前面两种审计的输入外，就是对软件产品部署的要求，如预发行证书、结构、用户文档、软件版本等。物理审计的活动根据其审计内容需要对需求进行再审计、功能审计报告在实施以及用户审计，手册和完整性、交付产品以及控制等，其结果是建议批准、有条件批准或不批准的功能审计报告。

四、质量系统审计
       在前面的介绍中，我们指出，审计在某种意义上讲是质量保证的一种措施，指的就是我们现在讲到的质量系统的审计，它是独立的评估软件质量是否符合QA计划中所规定的要求。它的输入与他们输入不同，和QA比较相关，是软件质量保证计划，即SQAPLAN，与软件开发活动有关的所有文档，这个定义非常广泛，这就是质量审计的特点。它主要检查质量程序文档、职员的问话、过程的审计以及前面几种审计报告的检查。其结果就是为了总体评价与软件质量程序的一致性情况是否是符合要求的。