ایزو 5055 چیست؟, استاندارد کیفیت نرم افزار IT

استاندارد کیفیت نرم افزار IT استاندارد ISO/IEC 5055:2021 می باشد. CISQ استانداردهای اندازه گیری کد منبع خودکار را برای قابلیت اطمینان، امنیت، کارایی عملکرد و قابلیت نگهداری توسعه داده است که به عنوان استانداردهای OMG تأیید شده است.

 آن ‌ها به‌گونه ‌ای ارتقا یافتند که هم ضعف‌ های IT و هم نرم ‌افزار تعبیه ‌شده را در خود جای دهند و سپس در استاندارد معیارهای کیفیت کد منبع خودکار ترکیب شدند. OMG این استاندارد اخیر را به سازمان بین المللی استانداردها ارسال کرد که آن را به عنوان ISO/IEC 5055:2021 پذیرفت.

ایزو 5055 چیست؟, شرح در مقاله

ایزو 5055 چیست؟

ISO/IEC 5055:2021 (که از این به بعد ISO 5055 نامیده می شود) یک استاندارد ISO برای اندازه گیری ساختار داخلی یک محصول نرم افزاری بر روی چهار عامل حیاتی تجاری است که شامل:

  • امنیت،
  • قابلیت اطمینان،
  • کارایی عملکرد و
  • قابلیت نگهداری.

اینها عواملی هستند که تعیین می کنند یک سیستم نرم افزاری چقدر قابل اعتماد و انعطاف پذیر خواهد بود.

چرا ایزو 5055 مهم است؟

قبل از ISO 5055، هیچ استاندارد بین المللی برای اندازه گیری کیفیت و یکپارچگی یک سیستم نرم افزاری با تجزیه و تحلیل ساختار داخلی آن برای تشخیص ضعف های ساختاری شدید وجود نداشت. این معادل ارزیابی یک خانه از نظر ظاهر بیرونی آن بدون بررسی ساختار داخلی آن برای استقامت سازه اصلی است.

استانداردهای نرم افزاری موجود، اقدامات عملیاتی پس از وقوع را اندازه گیری می کند که اثرات عملیاتی پرهزینه ضعف های شدید را ارزیابی می کند. ISO 5055 اقدامات پیش از واقعیت نرم افزار محصول را در طول توسعه برای شناسایی و رفع ضعف های ساختاری قبل از ایجاد مشکلات عملیاتی ارائه می دهد.

گواهینامه آموزش ISO 29990

معیارهای ISO 5055 چگونه محاسبه می شوند؟

تیمی از کارشناسان بین ‌المللی نرم ‌افزار در CISQ طیف گسترده ‌ای از ضعف ‌های نرم ‌افزاری را طبقه‌ بندی کردند و خطرناک‌ ترین ‌ها را برای گنجاندن در معیارهای ISO 5055 انتخاب کردند، که در آن «خطر» بر اساس دانستن اینکه یک نقطه ضعف باید از نرم‌ افزار حذف می‌شد تا از آسیب‌ رسانی به کسب ‌وکار جلوگیری شود، بود.

جستجو برای نقاط ضعف شدید باید در سراسر پشته فن آوری های نرم افزاری و اتصالات متقابل آنها که یک سیستم مدرن را تشکیل می دهند انجام شود. تعداد نقاط ضعف برای هر یک از چهار عامل محاسبه می شود که ممکن است سپس به معیارهای مقایسه ای مانند تراکم نقاط ضعف یا سطح سیگما به دست آمده توسط محصول تبدیل شوند.

چند نمونه از نقاط ضعف “خطرناک” چیست؟

نقاط ضعف استاندارد ایزو 5055 شامل مشکلات جدی در هر دو سطح معماری و مولفه است تا ارزیابی کاملی از عوامل تعیین کننده قابل اعتماد بودن، قابل درک بودن و انعطاف پذیری سیستم ارائه دهد. «ممنوع کردن مسیرهای ناخواسته» یک ضعف معماری است که با اجازه دادن مسیری از رابط کاربر به طور مستقیم به پایگاه داده بدون عبور از روال های احراز هویت کاربر، کنترل های امنیتی و حفاظت از داده را نقض می کند.

 «خاموش شدن یا انتشار نامناسب منبع» یک ضعف قابلیت اطمینان است که سیستم‌ های مواجهه با مشتری را در ساعات کاری بحرانی منجمد کرده است. سایر نقاط ضعف شامل ISO 5055 اثرات نامطلوب مشابهی بر عملیات تجاری و هزینه های فناوری اطلاعات دارند.

چگونه می توانیم از این اقدامات استفاده کنیم؟

معیارهای ISO 5055 را می توان برای تعیین اهداف قابل اندازه گیری برای اطمینان از قابل اعتماد بودن، قابل درک بودن و انعطاف پذیری سیستم های نرم افزاری استفاده کرد. این اهداف را می‌توان در درخواست‌ ها برای پیشنهادات، بیانیه ‌های کاری، و قراردادها به‌ عنوان معیارهای پذیرش برای محصولات نرم ‌افزاری ارائه ‌شده توسط یکپارچه‌ کننده ‌های سیستم، فروشندگان نرم‌ افزار و سایر تأمین‌کنندگان شخص ثالث نوشت.

آنها همچنین می توانند با تیم های نرم افزار داخلی برای تعیین معیارهای انتشار یا اهداف بهبود استفاده شوند. برخی از ضعف ‌های موجود در ISO 5055، مانند خطرناک ‌ترین نقاط ضعف امنیتی و قابلیت اطمینان، باید به‌ عنوان «غیرقابل قبول» علامت ‌گذاری شوند و تا زمانی که نرم ‌افزار حذف نشود، نمی‌توان آن ‌ها را عملیاتی کرد.

چه شرکت هایی می توانند اقدام به اخذ گواهینامه ایزو 5055 نمایند؟

CIOs یا CSO ها

CIOs یا CSO ها می توانند اقدام به دریافت گواهینامه ایزو 5055 برای موارد زیر نمایند:

  1. ریسک را در کاربردهای مختلف آنها ارزیابی کنید و منابع را به آنهایی که بیشتر به اصلاح نیاز دارند اختصاص دهید.
  2. سطح بدهی فنی را در برنامه های خود ارزیابی کنید و هزینه مالکیت آتی آنها را تخمین بزنید.
  3. تعیین کنید که آیا بهبود در شیوه های توسعه آنها کد با کیفیت بالاتر و کم خطر را تولید می کند یا خیر.

فروشندگان

فروشندگان و تیم های تدارکاتی می توانند از ISO 5055 برای موارد زیر استفاده کنند:

  1. اهداف کیفیت را برای کد منبع تحویل شده از پیمانکاران خود تعیین کنید.
  2. کیفیت کد منبع دریافتی از فروشندگان آنها را ارزیابی کنید و در صورت لزوم نیاز به اصلاح داشته باشید.
  3. نقاط ضعفی را که نباید در کد منبع ارائه شده از پیمانکاران وجود داشته باشد، فهرست کنید.

مهندسان نرم افزار

مهندسان نرم افزار می توانند از ISO 5055 برای موارد زیر استفاده کنند:

  1. کد منبعی را که آنها به یک بیلد ارسال می کنند، ارزیابی کنید.
  2. در مورد نقاط ضعف مهمی که باید از ایجاد آنها در کد منبع خود اجتناب کنند.
  3. با نشان دادن دانش در مورد نقاط ضعف ISO 5055 به عنوان یک “توسعه دهنده قابل اعتماد” گواهینامه شوید.

نحوه پیاده سازی استاندارد ایزو 5055 چگونه است؟

استاندارد ISO 5055 توسط فروشندگان فناوری تجزیه و تحلیل استاتیک که نقاط ضعف آن را در کل پشته فناوری و اتصالات آن شناسایی، گزارش و اندازه گیری می کند، پیاده سازی می شود. سازمان ‌های فناوری اطلاعات باید فناوری فروشنده ‌ای را انتخاب کنند که توسط کنسرسیوم به عنوان منطبق با ISO 5055 برای اطلاعات و کیفیت نرم ‌افزار، تأیید شده باشد.

تجزیه و تحلیل استاتیک در سطح سیستم باید تبدیل شدن به یک وظیفه استاندارد در فرآیندهای پذیرش فروشنده، نوسازی برنامه ها و تضمین کیفیت.

مرجع صدور گواهینامه ایزو 9001 کیست؟, شرح در مقاله

چه ارتباطی بین استاندارد ایزو 5055 و دیگر استانداردها است؟

چهار معیار در استاندارد ایزو 5055، 4 مورد از 8 ویژگی کیفی مشخص شده در ISO/IEC 25010، مدل کیفیت ISO برای سیستم های نرم افزاری را ارزیابی می کند. هر یک از معیارهای ISO 5055 با تعریف مشخصه کیفیت مرتبط با آن در ISO/IEC 25010 مطابقت دارد.

مجموعه ای از نقاط ضعف در هر معیار برای اطمینان از پوشش کل دامنه مسائل در مشخصه کیفیت مرتبط بررسی شد. معیارهای ISO 5055 مکمل ISO/IEC 25023 (که معیارهای نرم افزاری را عمدتاً در سطح عملیاتی و نه در سطح محصول تعریف می کند) با توسعه اقدامات ساختاری و معماری از نرم افزار محصول می باشد.

هر نقطه ضعف ISO 5055 در مخزن شمارش نقاط ضعف مشترک، فهرستی از شدیدترین نقاط ضعف نرم افزار، که یک استاندارد اتحادیه بین المللی مخابرات (ITU) است، گنجانده شده است.

اندازه گیری کیفیت کد

تیم های توسعه می توانند از استانداردهای کیفیت کد برای ارزیابی کیفیت ساختاری نرم افزار قبل از هر نسخه استفاده کنند. با به کارگیری استانداردهای اولیه در چرخه عمر توسعه نرم افزار، می توان یک پایگاه کد را به محصولات دیگر منتقل کرد، بیشتر توسعه داد، یا با اطمینان بیشتر منبع باز شد، که منجر به بدهی فنی و پیچیدگی کمتری می شود.

این اقدامات به گونه‌ای طراحی شده‌ اند که بر روی کد منبع از طریق تجزیه و تحلیل استاتیک خودکار شوند و پایه‌ای در سطح صنعت برای محک‌گذاری، تعیین اهداف کیفیت، ارائه دید و ردیابی پیشرفت بهبود ایجاد کنند.

ساخته شده بر روی Common Weakness Enumeration (CWE)

هر معیار کیفیت کد برای قابلیت اطمینان، کارایی عملکرد، امنیت و قابلیت نگهداری از مجموعه‌ای از نقاط ضعف (CWEs) در شمارش نقاط ضعف مشترک (CWE) تشکیل شده است. CWE یک نقطه مرجع برای توسعه دهندگان و ابزارها است و بیش از 800 ضعف نرم افزاری شناخته شده را کدگذاری می کند.

قوانین کدگذاری مندرج در استانداردهای CISQ شامل CWE هایی مانند SQL Injection و Buffer Overflow هستند. CISQ حیاتی ترین و تاثیرگذارترین CWE ها را شناسایی کرد و آنها را برای اتوماسیون تحت هر مشخصه کیفیت استاندارد کرد. مخزن CWE شرکت MITER من با بودجه توسط وزارت امنیت داخلی (DHS) و موسسه ملی استانداردها و فناوری (NIST) مدیریت می شود.

تکمیل ISO 25000 با اندازه گیری کیفیت در سطح کد منبع

سری استانداردهای ISO/IEC 25000 که با نام SQuaRE (نیازمندی‌ها و ارزیابی کیفیت سیستم و نرم  ‌افزار) نیز شناخته می‌شود، شامل چارچوبی برای ارزیابی کیفیت محصول نرم ‌افزاری است.

ISO/IEC 25010 مجموعه‌ای از هشت ویژگی کیفی نرم ‌افزار یا “-ilities” سیستم را تعریف می‌کند، یعنی امنیت، قابلیت اطمینان و قابلیت نگهداری. ISO/IEC 25023 نحوه اعمال ویژگی های کیفیت برای اندازه گیری کیفیت محصول را شرح می دهد. با این حال، معیارهای تعریف شده در 25023 به طور عمده کیفیت را در سطح رفتاری اندازه گیری می کنند تا در سطح مشکلات کیفیت خاص در کد منبع.

برای تکمیل سطح اندازه گیری در 25023، CISQ معیارهای سطح کد منبع را با چهار ویژگی کیفی تعریف کرد – قابلیت اطمینان، کارایی عملکرد، امنیت و قابلیت نگهداری همانطور که در بالا ذکر شد. دکتر بیل کورتیس (1)، موسس مدیر اجرایی CISQ، پیشرو آمریکایی در ISO 25000 است و ما به دنبال تکمیل ISO 25000 با معیارهای استاندارد خودکار و عملی کیفیت هستیم.

سوالات متداول

ایزو 5055 چیست؟

ISO/IEC 5055:2021 (که از این به بعد ISO 5055 نامیده می شود) یک استاندارد ISO برای اندازه گیری ساختار داخلی یک محصول نرم افزاری بر روی چهار عامل حیاتی تجاری است که شامل:
–         امنیت،
–         قابلیت اطمینان،
–         کارایی عملکرد و
–         قابلیت نگهداری.
اینها عواملی هستند که تعیین می کنند یک سیستم نرم افزاری چقدر قابل اعتماد و انعطاف پذیر خواهد بود.

چرا ایزو 5055 مهم است؟

استانداردهای نرم افزاری موجود، اقدامات عملیاتی پس از وقوع را اندازه گیری می کند که اثرات عملیاتی پرهزینه ضعف های شدید را ارزیابی می کند. ISO 5055 اقدامات پیش از واقعیت نرم افزار محصول را در طول توسعه برای شناسایی و رفع ضعف های ساختاری قبل از ایجاد مشکلات عملیاتی ارائه می دهد.

به این مقاله امتیاز دهید!
[Total: 2 Average: 5]

2 دیدگاه دربارهٔ «ایزو 5055 چیست؟»

  1. سایتتون خیلی عالیه اول ار همه بابت مطالب بسیار عالیتون از شما تشکر یکنم و دوم بابت اینکه این اطلاعات رو به صورت رایگان در اختیار قرار میدید ازتون ممنونم
    موفق و مانا باشید

  2. بازتاب: استاندارد ایزو 25010 چیست؟,کیفیت مهندسی سیستم ها و نرم افزار

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

پیمایش به بالا
02146135223