Logo MurCode
Программирование Новое сообщение

верификация и валидация кода

kdv
Дата: 21.03.2018 18:39:23
Господа, есть у кого что сказать по этому поводу?
Я имею в виду, практическое применение вот этих волшебных слов на предприятии.

Чтобы было понятно, о чем я спрашиваю, вот ссылка
http://www.ict.edu.ru/ft/005645/62322e1-st09.pdf
"Методы верификации программного обеспечения"

p.s. я считаю, что это в целом очередное словоблудие. А вот на некоторых предприятиях для начальников ИТ это уже головная боль, в том смысле, что сверху по голове стучат этой верификацией, а как это правильно оформляется - х.з.
Dima T
Дата: 21.03.2018 19:34:47
Целиком трактат не асилил, полистал немного, но так понимаю что речь о тестировании кода. ИМХО - надо.
kealon(Ruslan)
Дата: 21.03.2018 19:39:50
kdv,

на какого ни будь родственника открывается фирма, которая занимается верификацией кода по надуманным правилам, которые естественно никому не сообщаются, работников айти-отдела обязывают все итоговые патчи проводить через неё для получения ЦУ, вот и всё.

Естественно, ответственности эта фирма не несёт никакой
Dima T
Дата: 21.03.2018 19:47:04
kealon(Ruslan), ничего не понял. Точнее понял что надо формальности соблюсти в какой-то бюрократии.

ИМХО методики прикрывания жоп руководителей ИТ отделов не тема для данного форума.
kealon(Ruslan)
Дата: 21.03.2018 23:46:01
Dima T, а что непонятного?
сначала спускают что должна быть какая-то фигня, потом скажут что вы нефига не можете и придётся завести вот такой контрактик и "парни вам всё подробно разжуют".

всем деньги нужны, но абсолютно согласен, коррупционные схемы и им подобные лучше обсуждать не в этой ветке.
mayton
Дата: 22.03.2018 00:27:21
kdv
Господа, есть у кого что сказать по этому поводу?
Я имею в виду, практическое применение вот этих волшебных слов на предприятии.

Чтобы было понятно, о чем я спрашиваю, вот ссылка
http://www.ict.edu.ru/ft/005645/62322e1-st09.pdf
"Методы верификации программного обеспечения"

p.s. я считаю, что это в целом очередное словоблудие. А вот на некоторых предприятиях для начальников ИТ это уже головная боль, в том смысле, что сверху по голове стучат этой верификацией, а как это правильно оформляется - х.з.

Документ хороший. Годный. Несколько улыбнула отсылка к Rational Rose но в целом ок.
О чем это все. Всё я нечитал. Нет времени и по диагонали.

Очень часто кастомер сам требует подключения внешних инструментов верификации.
В основном это требования Security и Compliance. Для банковского аутсорсинга
это требование. Часто issue от SonarQube или Veracode класса security имеет
статус блокера и требует срочного решения.

Поэтому вопрос - "что есть сказать" это вопрос вчерашнего дня. Вопрос
сегодняшний - это как это использовать. И как правильно использовать
с выгодой для себя.
Basil A. Sidorov
Дата: 22.03.2018 02:15:22
kdv
Господа, есть у кого что сказать по этому поводу?
Я имею в виду, практическое применение вот этих волшебных слов на предприятии.
Просмотрел список литературы.
Ни одной нормативной ссылки.
Таким образом, в работе изложено частное мнение автора, которое ни к чему не обязывает, ни от чего не защищает и ничего не даёт.

P.S. Хотя ссылка на работу Маркова, опубликованную в известиях императорской академии наук в 1907 году, это - да, это внушает и демонстрирует высокий уровень эрудиции и, вероятно, образованности автора.
Basil A. Sidorov
Дата: 22.03.2018 02:19:45
mayton
В основном это требования Security и Compliance.
Для банковского аутсорсинга это требование.
Часто issue от SonarQube или Veracode класса security имеет статус блокера и требует срочного решения.
При всём уважении, но, наверное, статус такой не потому, что эти инструменты делали клёвые парни, а потому, что эти инструменты соответствуют каким-то спецификация каких-нибудь PCI-DSS (или как их там) и, весьма вероятно, прошли требуемую сертификацию?
mayton
Дата: 22.03.2018 09:29:25
Basil A. Sidorov
mayton
В основном это требования Security и Compliance.
Для банковского аутсорсинга это требование.
Часто issue от SonarQube или Veracode класса security имеет статус блокера и требует срочного решения.
При всём уважении, но, наверное, статус такой не потому, что эти инструменты делали клёвые парни, а потому, что эти инструменты соответствуют каким-то спецификация каких-нибудь PCI-DSS (или как их там) и, весьма вероятно, прошли требуемую сертификацию?

1) Не только карточных продуктов но и банковской деятельности в целом. Это ведь не только карточки.
2) Насчет конкретных ISO и прочих документов я точно не скажу. Надо искать. Скорее всего ISO содержит
общие слова касающиеся организации процессов. А Sonar и Veracode - это уже конкретные программные продукты
которые где-то в стеке разработки решают какой-то один пункт из организации процессов.
Basil A. Sidorov
Дата: 22.03.2018 10:00:03
Разумеется, ISO, как и любой стандарт, "содержит общие слова". "Но есть ньюанс".

Если об организации известно, что она сертифицирована по ISO-/ГОСТ-XXXX, то "все заинтересованные" прекрасно понимают, о чём идёт речь.

Если же будет заявлено, что "мы проводим верификацию кода по методичке классного парня", то, в лучшем случае, окружающие недоумённо пожмут плечами. Типа, рады за вас и всё такое.

Следовательно, если владельцу бизнеса или архитектору проекта вожжа под хвост попала, то в правилах разработки может быть прописана разная ерунда разной степени обоснованности.
Будет ли толк от этих прописей - вопрос совершенно отдельный.