带你读《SAS数据分析开发之道 软件质量的维度》第一章概览1.1引言(七)-阿里云开发者社区

开发者社区> 人民邮电出版社> 正文

带你读《SAS数据分析开发之道 软件质量的维度》第一章概览1.1引言(七)

简介: 带你读《SAS数据分析开发之道 软件质量的维度》第一章概览1.1引言
+关注继续查看

风险登记表

风险登记表旨在记录被识别的风险的相关信息。风险是所有软件应用程序内在的    属性,因此,风险登记表(有时也称为缺陷数据库)记录整个 SDLC 中的风险、威胁、漏洞及其他相关信息。开发人员和其他利益相关者应该确定在软件中添加哪些性能要    求,但不能在所有的软件中包含全部的性能要求。由于软件中会存在漏洞,因此,漏    洞的识别、检测和记录是非常重要的,这能帮助我们查明它们对软件操作造成的特定    风险。

风险登记表能定性和定量地记录已知的漏洞及软件功能或性能的相关威胁和风险,主要包括以下内容 :

■     漏洞描述 ;

■    漏洞位置 ;

■     漏洞的威胁 ;

■     漏洞被利用的风险 ;

■    风险级别 ;

■     风险发生的概率 ;

■     风险被发现的概率 ;

■     消除或降低风险的成本 ;

■    建议的解决方案。

有些风险登记表是按照漏洞等级组织的,而另外一些则是按照威胁或风险等级组织的。漏洞等级风险登记表在软件开发领域比较常见,因为尽管有许多威胁超出了开发人员的可控范围,但可以利用编程解决方案来消除或弥补特定的漏洞。而且,在一个软件产品内,类似“大数据”这种常见的威胁可以利用无数个不相关的漏洞。

1-1是一个简化的风险登记表,记录了代码中的两个错误。风险的级别、风险发生的概率、风险被发现的可能性及实施解决方案所需要的成本的数值范围(1~5),5表示风险比较严重、发生的概率比较大、被发现的可能性比较小、修复的成本较高。

表 1-1风险登记表范例

 

 

顺序

 

漏洞

 

位置

 

风险

风险级别

风险发生的概率

风险被发现的概率

风险成本

 

1

%SYSEVALF应该

用在评估中

 

小于运算符

科技符号未正确解读

 

5

 

1

 

5

 

1

 

2

 

没有格式指令

PROCSQL 

SELECT指令

科技符号未正确解读

 

5

 

1

 

5

 

1

 

第一个和第二个风险描述的是两个不同的漏洞,每一个都被含有1亿个以上观测数据的数据集威胁所利用。尽管遇到威胁时,5 表示最严重,但其发生的概率比较小, 数值是 1,因为在该开发环境中,从未遇到过这么大的文件。

如果仅考虑上述两个因素,开发团队可能会鉴于漏洞发生的概率比较小,接受风险并发布含有漏洞的软件。但由于被发现的概率比较小(5)——如果遇到威胁,不    会出现警告或“运行时错误”——而且因为实施补救措施(修改其中一行代码)的成       本较低(1),开发团队可能转而会修改代码,消除风险,而不是接受风险。

建议的解决方案描述的是管理风险所选定的路径——通常有避开、转移、接受或降低,但表1-1中没有提到,我们会在后续部分进行讲述。建议的解决方案可能包括一个技术说明,说明如何管理风险。例如,如果要消除风险,那么解决方案可能会从编程方面描述如何消除或控制相关威胁,如何消除相关漏洞以避免被威胁利用。

 

风险管理

风险管理指的是指导和管理企业风险的协调活动。ISO     进一步定义了风险管理架构     :一系列提供理论依据和组织安排的组件,帮助企业设计、实施、监测、审查及提 升风险管理能力。本书所提到的操作软件风险指的是软件故障——与功能或性能相关   的故障,风险管理接受故障,将其看作是一个不可避免的事实,并努力去消除风险,    向利益相关者交付一个可接受的风险。故障并不能表示一定出现了运行错误,但能表    示软件不能再满足功能或性能要求。

风险登记表不仅包括理论上的、未被利用的软件漏洞,还包括实际的软件故障中    出现的漏洞。如果有故障日志,那么后一种故障便会出现在故障日志中(第   4章会讲到这一点)。风险解决方案并不表示风险被消除,在许多情况下,漏洞一旦被识别, 开发人员就决定接受风险,保持源代码不变。常见的风险解决方案模式如下。

风险规避   :不参与或撤回某项活动以避免特定风险的知情决策。例如,如果软件发生故障,则停止使用。

风险共享     :根据商定的风险分配协议与他人共担风险的处理模式。例如,有些服等级协议规定,如果出现电源故障(引起生产软件故障,则事故责任转移到公司,而不是由    O&M    团队、开发人员或用户承担。PMBOK    和其他系统使用另外一个术语“风险转移”。

风险保留   :接受某个风险的潜在利润或损失的责任。利益相关人员在进行综合评价之后,认为解决风险是不合算的,他们就会保留或接受风险。PMBOK    和其他系统使用的是“风险接受“这个术语。

风险消减“降低风险发生的概率及风险潜在损失所采取的措施。”例如,使用程序化解决方案来减少或消除软件的漏洞,如删除某个错误。

风险登记表对生产软件至关重要,因为它为内部利益相关人员提供了一个通用的架构来测定软件的优点或缺点。在某些情况下,一个注册簿中会创建一个独立的量化优先级,因此,开发人员可能会优先校正代码的一个元素,而客户可能会优先校正其他的元素,而利益相关者需要做的是投票选出如何有效地调整软件。通过评估软件的总风险,所有的利益相关者能清楚地掌握软件的质量。而且,由于风险登记表是一个不断变化、灵活的文件,因此,如果软件总风险随着时间推移越来越高,那么之前可被接受的风险之后可能需要被消除或减弱,使风险回到一个可接受的水平。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
SAS学习笔记之《SAS编程与数据挖掘商业案例》(1)系统简介和编程基础
SAS学习笔记之《SAS编程与数据挖掘商业案例》(1)系统简介和编程基础 1. SAS系统简介 1.1 SAS是先编译后执行的语言,data步标志着编译的开始。 数据指针:当前内存缓存区,输入数据所在位置。 PDV:Program Data Vector,在DATA步中所有涉及的变量被编程当前向量的一部分。 2. SAS编程基础 2.1 SAS逻
1488 0
SAS进阶《深入分析SAS》之数据汇总和展现
SAS进阶《深入分析SAS》之数据汇总和展现 1. 通过Print过程制作报表 proc print <data=数据集>; run; 选项: obs=修改观测序号列标签 noobs不显示观测序列号 id语句在输出中取代观测序列 var选择输出的变量 where语句选择输出的观测 总结如下: proc print data=数据集<选项&g
1166 0
SAS学习笔记之《SAS编程与数据挖掘商业案例》(3)变量操作、观测值操作、SAS数据集管理
SAS学习笔记之《SAS编程与数据挖掘商业案例》(3)变量操作、观测值操作、SAS数据集管理 1. SAS变量操作的常用语句 ASSIGNMENT 创建或修改变量 SUM 累加变量或表达式 KEEP 规定在数据集中保留的变量 DROP 规定在数据集中删除的变量 ARRAY 定义一个数组 RENAME
1389 0
SAS学习笔记之《SAS编程与数据挖掘商业案例》(4)DATA步循环与控制、常用全程语句、输出控制
SAS学习笔记之《SAS编程与数据挖掘商业案例》(4)DATA步循环与控制、常用全程语句、输出控制 1. 各种循环与控制 DO组 创建一个执行语句块 DO循环 根据下标变量重复执行DO和END之间的语句 DO WHILE 重复执行直到条件为假则退出循环 DO UNTIL 重复执行直到条件为真则退出循环 DO OVER 对隐含下标
1240 0
SAS学习笔记之《SAS编程与数据挖掘商业案例》(5)SAS宏语言、SQL过程
SAS学习笔记之《SAS编程与数据挖掘商业案例》(5)SAS宏语言、SQL过程 1. 一个SAS程序可能包含一个或几个语言成分: DATA步或PROC步 全程语句 SAS组件语言(SCL) 结构化查询语言(SQL) SAS宏语言 2. 宏触发:% 是一个宏语句或宏函数;&是一个宏变量引用 3. 局部宏变量:一般程序定义的为宏变量。 全局
1675 0
SAS进阶《深入解析SAS》之Base SAS基础、读取外部数据到SAS数据集
SAS进阶《深入解析SAS》之Base SAS基础、读取外部数据到SAS数据集 前言:在学习完《SAS编程与商业案例》后,虽然能够接手公司的基本工作,但是为了更深入的SAS学习,也为了站在更高的一个层次上去掌握和优化公司工作,故而又咬紧牙关加紧学习《深入解析SAS》.就目前的两本书的对比,显而易见的是本书比《SAS编程…》要厚的多,再者内容更新是2015年著,最后是内容详实
1753 0
SAS进阶《深入解析SAS》之SAS数据挖掘的一般流程
SAS进阶《深入解析SAS》之SAS数据挖掘的一般流程 1. 所谓数据挖掘,是指通过对大量的数据进行选择、探索与建模,来揭示包含在数据中以前不为人所知的模式或规律,从而为商业活动或科学研究提供帮助和服务。 2. 数据挖掘重要的两个类别:有监督分析(SupervisedAnalysis),无监督分析(UnsupervisedAnalysis)。 有监督分析属于目标
1072 0
472
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
文娱运维技术
立即下载
《SaaS模式云原生数据仓库应用场景实践》
立即下载
《看见新力量:二》电子书
立即下载