1、 ICS 35.020 L70 YD 中华人民共和国通信行业标准 XXXX-XXXX 代替 YD/T 研发运营一体化(DevOps)能力成熟度模型 第 8 部分:系统和工具技术要求 The capability maturity model of devops part 8: system and tools technical requirement (报批稿) (本稿完成日期:2020.06.28) -发布 -实施 中华人民共和国工业和信息化部 发 布 YD/T 0605T2019I 目次 引言 .VI 前言 .V 1 范围 .1 2 规范性引用文件 .1 3 术语和定义 .1 4 缩略语
2、 .9 5 总体架构 .10 5.1 项目与开发管理 .11 5.1.1 项目管理 .11 5.1.2 工作项管理 .11 5.1.3 计划管理 .12 5.1.4 文档与知识管理 .12 5.1.4.1 文档管理 .12 5.1.4.2 知识管理 .13 5.1.5 团队协同 .13 5.1.6 统计度量 .14 5.1.7 项目集管理 .14 5.2 应用设计与开发 .15 5.2.1 应用框架 .15 5.2.2 集成开发环境 .15 5.2.3 威胁建模 .16 5.3 持续交付 .17 5.3.1 版本控制系统 .17 5.3.2 构建与持续集成 .18 5.3.3 流水线 .19
3、5.3.4 制品管理 .19 5.3.5 部署管理 .20 5.3.6 发布管理 .21 5.3.7 环境管理 .21 5.3.8 应用配置管理 .21 5.3.9 数据变更管理 .22 5.3.10 移动应用安全加固 .22 5.4 测试管理 .23 5.4.1 用例与测试计划管理 .23 5.4.1.1 用例管理 .23 5.4.1.2 测试计划管理 .23 YD/T 0605T2019II5.4.2 测试数据管理 .24 5.5 自动化测试 .25 5.5.1 代码质量管理 .25 5.5.2 单元测试 .25 5.5.3 接口/服务测试 .26 5.5.4 UI 测试 .26 5.5.
4、5 移动应用测试 .27 5.5.5.1 适配兼容测试 .27 5.5.5.2 移动自动化测试 .27 5.5.5.3 客户端性能测试 .28 5.5.6 性能测试 .29 5.5.7 安全性测试 .29 5.5.7.1 静态应用安全测试 .29 5.5.7.2 开源组件安全测试 .30 5.5.7.3 动态应用安全测试 .31 5.5.7.4 交互式应用安全测试 .32 5.5.7.5 移动应用安全测试 .32 5.5.7.6 容器静态安全测试 .33 5.5.7.7 基础设施安全测试 .34 5.6 技术运营 .35 5.6.1 配置管理 .35 5.6.2 运维数据分析 .36 5.6.
5、2.1 数据采集与接入 .36 5.6.2.2 数据处理 .37 5.6.2.3 数据存储 .37 5.6.2.4 数据建模 .37 5.6.2.5 数据查询 .38 5.6.2.6 数据分析 .38 5.6.2.7 数据可视化 .38 5.6.3 应用性能监控 .39 5.6.4 基础监控管理 .41 5.6.5 日志监控管理 .42 5.6.6 自动化作业平台 .44 5.6.7 容量管理 .45 5.6.8 成本管理 .45 5.6.9 资产安全风险管理 .46 YD/T 0605T2019III 引 言 研发运营一体化是指在IT软件及相关服务的研发及交付过程中,将应用的需求、开发、测试
6、、部署和运营统一起来,基于整个组织的协作和应用架构的优化,实现敏捷开发、持续交付和应用运营的无缝集成。帮助企业提升IT效能,在保证稳定的同时,快速交付高质量的软件及服务,灵活应对快速变化的业务需求和市场环境。 YD/T 0605T2019IV前言 本标准是研发运营一体化(DevOps)能力成熟度模型系列标准之一。该系列标准的结构及名称如下: 研发运营一体化(DevOps)能力成熟度模型 第1部分:总体架构 研发运营一体化(DevOps)能力成熟度模型 第2部分:敏捷开发管理 研发运营一体化(DevOps)能力成熟度模型 第3部分:持续交付 研发运营一体化(DevOps)能力成熟度模型 第4部分
7、:技术运营 研发运营一体化(DevOps)能力成熟度模型 第5部分:应用设计 研发运营一体化(DevOps)能力成熟度模型 第6部分:安全及风险管理 研发运营一体化(DevOps)能力成熟度模型 第7部分:评估方法 研发运营一体化(DevOps)能力成熟度模型 第8部分:系统和工具技术要求 本部分是第8部分:系统和工具技术要求 本部分按照GB/T 1.12009给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本部分由中国通信标准化协会提出并归口。 本部分起草单位:中国信息通信研究院、北京华佑科技有限公司、腾讯云计算(北京)有限公司、阿里云计算有
8、限公司、北京百度网讯科技有限公司、华为技术有限公司、中兴通讯股份有限公司、北京凌云雀科技有限公司、北京神州泰岳软件股份有限公司、平安科技(深圳)有限公司、亚信科技(中国)有限公司、苏宁消费金融有限公司、北京优特捷信息技术有限公司、东软集团股份有限公司、京东云计算有限公司、安徽继远软件有限公司、中国移动通信集团有限公司、中国电信集团有限公司、新华三技术有限公司、北京金山云网络技术有限公司、畅捷通信息技术股份有限公司、中国联合网络通信集团有限公司、普元信息技术股份有限公司、中软国际科技服务有限公司 本部分主要起草人:牛晓玲、萧田国、景韵、刘凯铃、党受辉、刘章雄、孙辰星、张嵩、庄飞、李青、徐毅、武丹
9、、杨文兵、殷柱伟、董越、黄博文、陈鑫、韩晓光、熊星、鞠炜刚、单致豪、王津银、Daniel Morinigo、吴平福、张凯、梁奂、戚文平、车昕、顾黄亮、李滨、张祖优、乐元、吴文灏、饶琛琳、考明军、王超、茹炳晟、井亮亮、姚剑芒、何毅鹏、王一男、聂智戈、姚彬、王晓君、冯斌、刘通博、冷大鲲、申屠欣欣、林科、张小燕、石磊、金桐、杨奕、隆迪、王永霞、马全一、张婷婷、程莹、郭圣珠、吕全林、熊昌伟、王燕子、李卜、王浏明、李明亮、王迪、王云峰、马婷、李励立 YD/T 0605T20191 1范围 本部分规定了研发运营一体化(DevOps)过程中所涉及的系统和工具的能力技术要求。 本部分适用于IT软件研发交付运营
10、的使用方实施相关系统、工具和服务建设进行评价和指导;可供其他相关行业或组织进行参考;也可作为第三方权威评估机构衡量软件开发交付运营工具成熟度的标准依据。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 1 GB/T 8566-2007 信息技术 软件生存周期过程 2 GB/T 11457-2006 信息技术 软件工程术语 3 术语和定义 下列术语和定义适用于本文件。 3.1 项目 project 需要协同工作的一组任务,其目的在于开发和(或)维护一个具体的产品。产品
11、可以包括硬件、软件或其他成分,一般项目有自己的经费、成本核算和交付进度。GB/T11457-2006:2.1255 3.2 项目集 program 经过协调管理以获取单独管理所无法取得的收益的一组项目、子项目集和项目集活动。 3.3 子项目集 sub program 作为另一个项目集的组成部分而被管理的一个项目集。 3.4 研发运营一体化(DevOps)能力成熟度模型 第 8 部分:系统和工具技术要求 YD/T 0605T20192负载均衡 load balance 一种计算机技术,用来在多个计算机(计算机集群)、网络连接、CPU、磁盘驱动器或其他资源中分配负载,以达到最优化资源使用、最大化吞
12、吐率、最小化响应时间、同时避免过载的目的,用于解决互联网架构中的高并发和高可用的问题。 3.5 运行环境 runtime environment 构建中运行的环境或者计算机。 3.6 金丝雀发布 canary release 在黑与白之间,能够平滑过渡的一种发布方式。又称灰度发布,A/B测试就是一种灰度发布方式,让一部分用户继续用A,一部分用户开始用B,如果用户对B没有什么反对意见,那么逐步扩大范围,把所有用户都迁移到B上面来。可以保证整体系统的稳定,在初始灰度的时候就可以发现、调整问题,以保证其影响度范围的一种发布方式。 3.7 蓝绿发布 blue-green release 在发布过程中,
13、新旧版本相互热备,发布过程是不停止老版本,直接部署新版本然后进行测试,通过切换路由权重的方式(非0即100)实现将流量切到新版本,然后老版本同时也升级到新版本,是一种可以保证系统在不间断提供服务的情况下的发布方式。 3.8 回滚 rollback 程序或数据处理错误,将程序或数据恢复到上一次正确状态的行为。回滚包括程序回滚和数据回滚等类型。 3.9 网络钩子 Webhook 微服务API的使用范式之一,即前端不主动发送请求,完全由后端推送。 3.10 环境 environment 应用程序运行所需的所有资源和它们的配置信息,通常分成两大类:基础设施资源及其配置;应用程序独立运行所需要的操作系统
14、和中间件资源及其配置信息。 3.11 配置项 configuration item YD/T 0605T20193一个配置中的实体,它满足一项最终使用功能,并能在给定的基准点上单独标识。GB/T 8566-2007:3.6 3.12 配置管理 configuration management 是一个过程,通过该过程,可以维护一切与环境相关的信息,这些信息可以被定义、修改、存储和检索。应用技术和管理的指导和监控方法以标识和说明配置项的功能和物理特征,控制这些特征的变更,记录和报告变更处理和实现状态并验证与规定的需求的遵循性。GB/T11457-2006:2.313 3.13 开发环境 devel
15、opment environment 用于维持开发过程的一个或者一组资源及其配置信息,面向的是开发者。 3.14 测试环境 test environment 测试运行其上的软件和硬件环境的描述,以及任何其他与被测软件交互的软件,包括驱动和桩。 3.15 生产环境 production environment 用于维持开发过程的一个或者一组资源及其配置信息,面向的是运维,但其运行服务面向的是用户或者客户。 3.16 基础设施 infrastructure 支持应用运行的所有服务,包括DNS服务器、防火墙、路由器等等。 3.17 中间件 middleware 一种类型的软件模块,它处在系统软件和应
16、用软件之间,依赖系统软件的支持,又为应用软件提供支持,以方便应用软件的开发。GB/T11457-2006:2.954 3.18 性能测试 performance test 通过自动化的测试工具模拟多种正常、峰值以及异常负载条件来对系统的各项性能指标进行测试。评价系统或部件与规定的性能需求的依从性的测试行为。GB/T11457-2006:2.1135 3.19 构建环境 build environment YD/T 0605T20194指执行构建任务时所在设备的软件和硬件环境。 3.20 构建任务 build task 指定义从输入到输出过程对构建环境、构建方法等必要因素的定义。 3.21 构建
17、过程 build process 指构建任务从开始执行到结束。 3.22 复刻 fork 在软件开发中,开发者为一个版本仓库创建一份拷贝,并在拷贝上进行独立于源版本仓库的开发,从而分离出一个新的软件副本的活动。复刻不仅仅创建了一个分支,还将软件开发活动与源版本库分离开来。 3.23 合并 merge 当一个版本在多个独立分支中被修改后如何合并这些修改成为同一个版本的操作。 3.24 合并评审 merge requests 在合并之前,允许多人对合并时所提交的变更内容进行代码审查,并给予合并意见的过程。 3.25 基线 baseline 版本仓库中每个版本在特定时期的一个“快照”。它提供一个正式
18、标准,随后的工作基于此标准,并且只有经过授权后才能变更这个标准。建立一个初始基线后,以后每次对其进行的变更都将记录为一个差值,直到建成下一个基线。 3.26 版本仓库 repositories 被用来存储源代码等版本文件。 3.27 代码审查 code review YD/T 0605T20195对计算机源代码系统化地审查,常用软件同行评审的方式进行,其目的是在找出及修正在软件开发初期未发现的错误,提升软件质量及开发者的技术。代码审查常以不同的形式进行,例如结对编程、非正式的看过整个代码等。 3.28 测试计划 testing plan 描述要进行的测试活动的范围、方法、资源和进度的文档。它标
19、识测试项、要测试的特性、测试任务、谁做每一个任务和任务意外事故的风险计划。GB/T11457-2006:2.1714。 3.29 测试脚本 testing script 对于给定的测试用例的设置、执行和评价测试结果的详细指令。GB/T11457-2006:2.1720 3.30 执行记录 build history 执行构建的信息,日志,以及结果。 3.31 (制品)晋级 promotion 制品管理中,通常是指自构建产物通过某一级别质量关卡后,将其标记为更稳定状态的过程。例如从发布待定(release-candidate)升级为可发布(release)。 3.32 长连接 long conn
20、ection 在一个连接上可以连续发送多个数据包,在连接保持期间,如果没有数据包发送,需要双方发链路检测包。 3.33 短连接 short connection 相对于长连接而言的概念,指的是在数据传送过程中,只在需要发送数据时,才去建立一个连接,数据发送完成后,则断开此连接,即每次连接只完成一项业务的发送。 3.34 性能测试场景 performance test scenario 模拟真实用户的服务流程或业务处理过程的一系列动作的集合。 3.35 思考时间 think time YD/T 0605T20196由交互系统产生的提示符或消息的结束至用户响应开始之间消逝的时间。GB/T11457
21、-2006:2.1729 3.36 配置基线 configuration baseline 在配置管理过程中对于一个或者多个配置项数据设置的集合,它们的内容和状态经过技术复审、被接受并相对稳定。基线是整个配置管理生命周期活动的起点,并只能通过正式的变更控制过程改变。 3.37 关系型数据 relational database 采用了关系模型来组织的数据,以行和列的形式进行存储 3.38 时序数据 time-series data 时间序列数据,是指同一指标按时间顺序记录的数据列。在同一数据列中的各个数据必须是同口径的,要求具有可比性。 3.39 图数据 graph data 图结构,即以数据
22、节点、边和属性来表示和存储数据的结构。 3.40 非结构化数据 unstructured data 数据结构不规则或不完整,没有预定义的数据模型,不方便用数据库二维逻辑表来表现的数据。 3.41 元数据 meta-data 用来描述数据的数据,主要是描述数据属性的信息,用来支持如指示存储位置、历史数据、资源查找、文件记录等功能。 3.42 全量表 full table 记录某时间的全部的最新状态的信息的数据表。 3.43 增量表 increment table 是指在记录某一段时间内系统中数据的变化的信息的数据表。 YD/T 0605T201973.44 拉链表 zipper table 是指
23、记录一个事物从开始到当前状态的所有变化的信息的数据表。 3.45 数据血缘分析 data lineage analysis 是保证数据融合(聚合)的一个手段,通过分析数据产生的链路实现数据融合处理的可追溯。 3.46 数据集市 data mart 是数据仓库的一种特殊形式。是为了满足特定的部门或者用户的需求,按照多维的方式进行存储,包括定义维度、需要计算的指标、维度的层次等,生成面向决策分析需求的数据立方体。 3.47 钻取 drill 改变维的层次,变换分析的粒度。它包括向上钻取和向下钻取。 3.48 网页视图 Webview 可以将其视为一个浏览器视图,主要用于显示、渲染请求的Web页面、
24、对展示页面进行布局、与JavaScript相互调用等。 3.49 遍在服务 ubiquitous service 指普遍存在的服务,能在任何时间、任何地点接入和控制的服务。 3.50 时序图 sequence diagram 通过多个时间序列结构显示多个相关对象的状态,如浏览器加载时序图,描述了通过浏览器访问某URL过程中各阶段所消耗的时间长度。 3.51 热力图 heat map 以特殊高亮的形式显示访客热衷的页面区域和访客所在的地理区域的一种图形显示。 3.52 桑基图 Sankey diagram YD/T 0605T20198即桑基能量分流图,也叫桑基能量平衡图。它是一种特定类型的流程
25、图,图中延伸的分支的宽度对应数据流量的大小,通常应用于网络流量、业务转化等场景的可视化分析。 3.53 DNS 劫持 DNS cache poisoning 域名劫持是互联网攻击的一种方式,通过攻击域名解析服务器或伪造域名解析服务器的方法,把目标网站域名解析到错误的IP地址从而实现用户无法访问目标网站的目的或者蓄意要求用户访问指定IP地址(网站)的目的。 3.54 系统日志 Syslog 或称系统记录,是一种用来在互联网协议(TCP/IP)的网上中传递记录消息的标准。 3.55 SNMP 自陷 SNMP Trap 设备运行时可以在任何时候向管理者报告自身运行错误信息,从而避免管理者对其进行不间
26、断的轮询访问。 3.56 正则解析 regular analysis 正则解析是指采用特定的正则表达式语言,按照某种模式规则对日志文本数据进行整体或局部的查找、捕获,从中获取所需要的特定部分文本字符串,并给予字段命名的行为。 3.57 扩展 geolocation extension GEO扩展是指对日志文本数据中包含或解析出的IP地址内容,进行基于GEOIP地址库的映射查找,扩展得到一系列IP地址附加属性的行为。IP 地址附加属性通常包括:地理位置、经纬度信息、归属运营商等。 3.58 数据字典 data dictionary 指用户可访问的与日志数据相关的应用或系统元数据记录的集合。数据字
27、典常见的使用场景,比如:ID 字段与描述文本的转换,IP 地址基于 CMDB 信息的扩展等。 3.59 单值卡片 single-value card 指采用记分卡形式醒目的展示统计数值的一种可视化效果。卡片通常提供背景色、字体、单位、插图、趋势等属性配置,更好的展现统计场景。 YD/T 0605T201993.60 力引导图 force-directed graph 一种建立在力学模型基础上的图表,根据节点之间的边长权重值引导得出聚类效果,用于呈现复杂的关系网络。在日志监控管理中,设备、端口、进程和业务都具有天然的关系网络属性,非常适宜采用力引导图展示。 3.61 熔断 fusing 一种当系
28、统负载达到规定的临界阈值点时,暂停系统运行的保护机制。在日志监控管理中,数据采集和传输流程都需要熔断机制以防止影响到业务系统正常运行。 3.62 降级 degradation 一种从系统整体负载考虑,为预防部分功能过载或响应过慢,在内部舍弃一些非核心功能,只提供有损服务的保护机制。在日志监控管理中,数据清洗和数据查询流程,都需要降级机制,以防止异常数据处理请求影响日志监控管理系统正常运行。 3.63 冷数据 cold data 指数据存储中,不经常被访问、但又不能被删除的部分数据。在日志监控管理中,通常指生成时间较久远,仅具有留存备审计意义的远期日志数据。 3.64 灰度串行 gray ser
29、ial 对某一产品或业务的发布、变更等操作依次逐步扩大覆盖对象的过程。 3.65 安全基线 security baseline 为了明确应用需要满足的最基本的安全防护能力而制定的一系列安全配置基准。 3.66 攻击树 attack tree 一种使用树形结构来描述系统安全的方法,该方法把攻击目标作为树的根节点,把达到目标的不同方法作为叶节点。 3.67 语法分析 parsing YD/T 0605T201910编译过程的一个逻辑阶段,根据语言的语法规则进行语法分析,如果不存在语法错误即给出正确的语法结果。 3.68 词法分析 lexical analysis 编译过程的重要组成部分,将字符序列
30、转换为单词序列的过程。 3.69 语义分析 semantic analysis 编译过程的一个逻辑阶段, 对结构上正确的源程序进行上下文有关性质的审查,进行类型审查。 3.70 开源 Web 应用安全项目十大威胁 OWASP Top10 开源Web应用安全项目(OWASP)是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件。OWASP Top10是OWASP提供的应用安全风险前十名的漏洞。 3.71 支付卡行业数据安全标准 PCI DSS 是由PCI安全标准委员会的创始成员制定,是国际上普遍采用一致的数据安全措施,旨在
31、确保持卡人的信用卡和借记卡信息保持安全。 3.72 爬虫 crawler 一种按照一定的规则,自动地抓取信息的程序或者脚本的技术。 3.73 插桩 instrumentation 在保证目标程序原有逻辑完整的情况下,在特定的位置插入探针,在应用程序运行时,通过探针获取请求、代码数据流、代码控制流等,基于请求、代码、数据流、控制流综合分析判断漏洞。 3.74 通用缺陷枚举(SANS 研究所发布) SANS/CWE SANS (SysAdmin, Audit, Network, Security) 研究所是美国的一个信息安全培训与认证机构,CWE(Common Weakness Enumerati
32、on,通用缺陷枚举)是由美国国土安全部国家计算机安全部门资助的软件安全战略性项目,也是由MITRE公司维护(http:/cwe.mitre.org/)。CWE与SANS组织每年会推出最危险的软件错误前25条的报告(CWE/SANS TOP 25),提示并帮助开发人员降低源代码缺陷带来的开发风险。 YD/T 0605T2019113.75 动态调试 dynamic debugging 指利用调试器跟踪软件的运行,寻求破解的途径,如:GDB动态调试。 3.76 特权容器 privilege container 使用特权模式启动的容器,该类容器可以访问主机的所有设备,绕过容器的几乎所有安全功能。 3
33、.77 网络安全等级保护 classified protection of cybersecurity 是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。网络安全等级保护工作包括定级、备案、建设整改、等级测评、监督检查五个阶段。等保2.0在2019年12月1日开始实施。 3.78 加花 add junk code 在代码中插入花指令,对抗线性反编译工具。 3.79 加壳 shelling 全称是可执行程序资源压缩,压缩后的程序可以直接
34、运行。文件加壳可以阻止外部程序或软件对加壳程序本身的反汇编分析或者动态分析,以达到保护壳内原始程序以及软件不被外部程序破坏,保证原始程序正常运行。 3.80 反编译 decompile 通过对软件的目标程序(比如可执行程序)进行逆向分析,以推导出软件产品所使用的思路、原理、结构、算法、处理过程、运行方法等设计要素。反编译的过程与编译刚好相反,就是将已编译好的编程语言还原到未编译的状态,也就是找出程序语言的源代码。 4缩略语 下列缩略语适用于本文件。 AJAX 异步JavaScript和XML Asynchronous Javascript And XML API 应用程序接口 Applicat
35、ion Programming Interface Apdex 应用性能指数 Application Performance Index CD 持续交付 Continuous Delivery CI 持续集成 Continuous Integration YD/T 0605T201912CIS 互联网安全中心 Center for Internet Security CMDB 配置管理平台 Configuration Management Database CMDBf 配置管理数据库互联 Configuration Management Database Federation CNVD 国家信
36、息安全漏洞共享平台 China National Vulnerability Database of Information Security CSRF 跨站点请求伪造 Cross-Site Request Forgery CVE 通用漏洞披露 Common Vulnerabilities and Exposures DNS 域名服务器 Domain Name Server FPS 画面每秒传输帧数 Frames Per Second GDPR 通用数据保护条例 General Data Protection Regulation GELF Graylog扩展日志格式 Graylog Exte
37、nded Log Format GraphQL 图状数据查询语言 Graph Query Language HDFS Hadoop分布式文件系统 Hadoop Distributed File System HIPAA 医疗电子交换法案 Health Insurance Portability and Accountability Act HTML 超文本标记语言 HyperText Markup Language IaaS 基础设施即服务 Infrastructure As A Service IDE 集成开发环境 Integrated Development Environment IDS
38、 入侵检测系统 Intrusion Detection System IPMI 智能平台管理接口 Intelligent Platform Management Interface IPS 入侵防御系统 Intrusion Prevention System iLO 集成远程管理端口(惠普服务器) Integrated Light-out JDBC Java数据库连接 Java Database Connectivity JMX Java管理扩展 Java Management Extensions JSON JavaScript对象简谱 JavaScript Object Notation
39、KV 键值 Key-Value LDAP 轻型目录访问协议 Lightweight Directory Access Protocol LFS 大文件存储 Large File Storage MIB 管理信息库 Management Information Base MQ 消息队列 Message Queue OAuth 开放授权 Open Authorization OCR 光学字符识别 Optical Character Recognition ODBC 开放数据库连接 Open Database Connectivity PaaS 平台即服务 Platform As A Service
40、 RPC 远程过程调用 Remote Procedure Call SaaS 软件即服务 Software As A Service SCAP 安全内容自动化协议 Security Content Automation Protocol SDK 软件开发工具包 Software Development Kit SMI-S 存储管理主动 Storage Management Initiative Specification SNMP 简单网络管理协议 Simple Network Management Protocol SOC 安全运营中心 Security Operation Center S
41、SH 安全外壳协议 Secure Shell YD/T 0605T201913STRIDE 仿冒,篡改,抵赖,信息泄露,拒绝服务,权限提升 Spoofing, Tampering, Repudiation, Information disclosure, Denial of service, Elevation of privilege TCP 传输控制协议 Transmission Control Protocol UI 用户界面 User Interface URL 统一资源定位符 Uniform Resource Locator WAF Web应用防护系统 Web Application
42、 Firewall XML 可扩展标记语言 eXtensible Markup Language XSS 跨站点脚本攻击 Cross Site Scripting XXE XML外部实体注入漏洞 XML External Entity Injection 5总体架构 研发运营一体化(DevOps)能力成熟度模型第8部分系统和工具技术要求是将端到端软件交付生命周期全流程用工具链进行连接,包括:项目与开发管理、应用设计与开发、持续交付、测试管理、自动化测试、技术运营,如表1所示。 表1研发运营一体化(DevOps)系统和工具技术要求 系统和工具 项目与开发管理 应用设计与开发 持续交付 测试管理
43、自动化测试 技术运营 项目管理 应用框架 版本控制系统 用例与测试计划管理 代码质量管理 配置管理 工作项管理 集成开发环境 构建与持续集成 测试数据管理 单元测试 运维数据分析 计划管理 威胁建模 流水线 接口/服务测试 应用性能监控 文档与知识管理 制品管理 UI测试 基础监控管理 团队协同 部署管理 移动应用测试 日志监控管理 统计度量 发布管理 性能测试 自动化作业平台 项目集管理 环境管理 安全性测试 容量管理 应用配置管理 成本管理 数据变更管理 资产安全风险管理 移动应用安全加固 5.1项目与开发管理 项目与开发管理是根据用户要求建造出软件系统或者系统中软件部分的过程,包括项目管
44、理、工作项管理、计划管理、文档与知识管理、团队协同、统计度量、项目集管理。 5.1.1项目管理 YD/T 0605T201914项目管理是运用管理的知识、工具和技术于项目活动上,来达成解决项目的问题或达成项目的需求。项目管理包含领导、组织、人员、计划和控制五项主要工作。 应包含以下基本功能: 支持成员管理; 支持角色及权限管理; 支持项目范围自定义; 支持项目计划和里程碑管理; 支持变更管理,包括但不限于:计划、范围、里程碑等的变更; 支持项目活动及流程管理; 支持项目流程模板自定义; 支持项目可审计; 支持风险管理。 可包含以下高级功能: 支持项目沟通矩阵管理; 支持成本管理; 支持采购管理
45、; 具备移动应用,支持多种功能,如:项目审批、项目进度查看等; 支持消息提醒和通知。 5.1.2工作项管理 工作项管理是指项目研发过程中针对需求、任务、缺陷等工作项的管理活动。 应包含以下基本功能: 支持工作项的创建、修改、删除、查询管理; 支持工作项的可视化管理; 支持工作项的优先级设置; 支持工作项执行人员设置; 支持工作项的到期时间设定和到期提醒; 支持工作项的关联关系设定,包括但不限于:其他工作项、文档等; 具备工作项操作日志; 支持工作项的导入、导出; 支持记录预计工时、实际工时; 支持拆分子工作项; 支持工作流; 支持工作项双向跟踪; 支持通知机制。 可包含以下高级功能: 支持工作
46、流的自定义; 支持工作项字段的自定义; 支持工作项的评审或审批; 支持工作项的评论; 支持查看工作项相关联的代码提交记录; 支持工作项的自动化双向跟踪; YD/T 0605T201915支持工作项的结构化管理; 支持用户故事地图; 支持影响地图; 支持工作项的批量修改; 支持工作项模板。 5.1.3计划管理 计划管理是对研发工作计划展开的管理活动。 应包含以下基本功能: 支持计划模板,如:迭代、里程碑、看板、Scrum等; 支持计划的创建、修改、删除、查询; 支持可视化视图模板,如:树形视图、表格视图、看板视图、时间视图等; 支持计划关联工作项。 可包含以下高级功能: 支持计划关联其他资源,如
47、:代码分支、流水线、文档等。 5.1.4文档与知识管理 文档与知识管理是对针对文档和知识的管理活动,包含文档管理和知识管理两个部分。 5.1.4.1文档管理 文档是产品交付的核心研发资产之一,包括但不限于架构设计文档、用户帮助手册、系统原型文档等用途的文档,文件格式包括但不限于doc、docx、xls、xlsx、ppt、pptx、PDF、JPEG等。 应包含以下基本功能: 支持用户自定义目录结构管理文档; 支持多种上传方式,包括但不限于:单个文件上传、批量上传、目录上传等; 支持批量下载文档; 支持常见格式文档在线预览,包括但不限于:doc、docx、xls、xlsx、ppt、pptx、PDF
48、、JPEG等; 支持文档版本管理; 支持文档标签; 支持搜索功能,包括但不限于:通过文件名、关键字、标签等进行搜索; 支持搜索结果中显示相关联的其他内容,包括但不限于:任务、迭代、需求等。 可包含以下高级功能: 支持回收站; 支持在线编辑及多人并行编辑; 支持搜索文档内容; 支持分享文档; 支持文档模板,包括但不限于:自定义模板、管理、基于模板自动生成; 支持文档密级管理。 5.1.4.2知识管理 YD/T 0605T201916知识是指研发交付过程中产生的、不同载体形式的信息和内容。知识管理是指针对知识进行的管理活动。 应包含以下基本功能: 支持知识项的创建、修改、删除、查询; 支持知识项的
49、版本管理; 支持为知识项添加标签; 支持知识项的多人协同; 支持知识项的分享; 支持知识项的搜索; 支持知识项的目录索引; 支持知识项的访问权限管理。 可包含以下高级功能: 支持知识项的关联; 支持知识项的导出; 支持知识项的多维度索引。 5.1.5团队协同 团队协同是指团队基于沟通平台协同开展研发运营活动的功能。 应包含以下基本功能: 支持即时通信; 支持通讯录管理; 支持团队日历管理; 支持查看群组历史消息; 支持群组管理; 支持与其他工具集成,包括但不限于:项目管理、工作项管理、版本控制系统、流水线、监控管理工具、文档与知识管理等; 支持通过发送消息执行相关操作,如:触发构建、执行部署等
50、; 可包含以下高级功能: 支持功能扩展,如:Webhook、插件、应用市场等; 支持目录服务集成,如:LDAP/Active Directory等; 支持操作日志。 5.1.6统计度量 统计度量是对 DevOps 过程的进度、质量、效率相关数据化指标展示。 应包含以下基本功能: 支持进度相关指标,包括但不限于:需求累计流图、缺陷趋势图、需求完成数、新建缺陷数等指标; 支持内在质量相关指标,包括但不限于:千行代码缺陷率、缺陷重开率、测试通过率等指标; 支持外在质量相关指标:包括但不限于:故障率、线上问题率、发布回滚率等指标; 支持需求交付时长相关指标,包括但不限于:需求从提交到交付的时长等指标;
浙ICP备2021020529号-1 | 浙B2-20240490 
