Введение

В статье 2 было показано, как руководящая группа Business Recovery Matters быстро настроила среду проекта и начала работу за считанные часы вместо обычных дней. Вы увидели, как группа воспользовалась проверенными моделями для создания планов и элементов работ. Вы также увидели, что каждый элемент работ содержит ссылки на соответствующее контекстно-зависимое руководство, позволяющее членам группы быстро начать работу на полной скорости.

В данной статье описывается расширенный сценарий, в котором группа разработки Business Recovery Matters должна выполнить тестирование безопасности по всему жизненному циклу разработки. Подход заключается в настройке активов процессов, включенных в IBM Rational Method Composer и IBM® Rational Team Concert и предназначенных для решения этой задачи.

Сценарий: настройка и автоматизация процесса

В данном сценарии руководящая группа получает уведомление, что проект должен следовать политике безопасности и гарантировать, что конечный продукт не содержит уязвимостей и не подвержен воздействию хакерских атак. Руководящая группа определяет, что это требование касается группы, которая занимается разработкой компонента Dividend Deposit.

В сценарии участвуют следующие исполнители и роли:

Питер, инженер по процессам (руководящая группа проекта)
Салли, руководитель по безопасности (руководящая группа проекта)
Марко, руководитель группы (группа разработки компонента Dividend Deposit)

В следующих подразделах описываются их действия.

Добавление оценки безопасности к описанию процесса в Rational Method Composer

Питер, Салли и Марко пытаются найти методики тестирования безопасности для группы разработчиков. Решение Rational для активов процессов совместного управления жизненным циклом (Collaborative Lifecycle Management - CLM), которое они в настоящее время используют, не предназначено для оценки безопасности продукта. Но есть и хорошая новость: существует методика Application Vulnerability Assessment из библиотеки методик, включенной в Rational Method Composer. Они решают, что эта методика подходит для их проекта.

Более того, они выясняют, что существует методика для адаптации этого процесса, и решают следовать в своей работе этой методике. Кроме того, чтобы ускорить работу, Питер использует учебные руководства, имеющиеся в интерактивной справочной системе Rational Method Composer. Дальнейшие шаги демонстрируют, как он применяет этот инструментарий для настройки процесса, пока Марко и Салли решают, как внедрить новую методику оценки безопасности в работу группы.

Добавление новой методики

1. У Питера есть лицензия на Rational Method Composer. Rational Method Composer установлен в режиме совместного использования (shell-shared mode) с Rational Team Concert. Питер подтверждает, что имеются лицензии Content Reader для всей группы.
2. Для подготовки Rational Method Composer к процессу настройки Питер выполняет следующие действия:
   1. Открывает библиотеку методик, включенную в Rational Method Composer, и экспортирует плагин методики Application Vulnerability Assessment, следуя инструкциям статьи Exporting a method plug-in (Экспорт плагина методики) информационного центра ПО Rational.
   2. Загружает библиотеку CLM-процессов со страницы активов процессов IBM Rational Solution.
   3. Открывает копию библиотеки CLM-процессов и импортирует плагин методики Application Vulnerability Assessment, который он ранее экспортировал, следуя инструкциям статьи Importing a method plug-in (Импорт плагина методики) в подразделе Publishing and exporting (Публикация и экспорт) раздела Designing and managing process (Проектирование и управление процессом) информационного центра ПО Rational.

Теперь набор методик библиотеки CLM-процессов и методика Application Vulnerability Assessment доступны в Rational Method Composer.

3. В перспективе Authoring представления Configuration Editor Питер копирует CLM-конфигурацию и редактирует ее. (Коротко говоря, конфигурация - это выбор практик для публикации.) Он создает папку vulnerability_assessment (оценка уязвимости) для конфигурации (см. рисунок 1). В этой папке содержатся все элементы методики Application Vulnerability Assessment, такие как роли, задачи, рабочие продукты и рекомендации.

Рисунок 1. CLM-конфигурация, содержащая элемент методики Application Vulnerability Assessment

Какие задачи безопасности выполнять

1. В Rational Method Composer Питер переходит в перспективу Browsing и разворачивает узел методики Application Vulnerability Assessment для просмотра ее элементов. В узле Activities (см. рисунок 2) содержатся три потока работ, которые может использовать группа:
   • Application Vulnerability Assessment - Auditor (оценка уязвимости приложения - аудитор)
   • Application Vulnerability - QA (уязвимость приложения - контроль качества)
   • Application Vulnerability Self-Assessment (самостоятельная оценка уязвимости приложения)
2. Марко и Салли решают использовать поток Self-Assessment, содержащий три задачи (см. рисунок 2):
   • Develop security test policy - разработка политики тестирования безопасности (выполняет исполнитель с ролью "руководитель по безопасности")
   • Conduct security assessment - проведение оценки безопасности (выполняет исполнитель с ролью "разработчик")
   • Fix vulnerabilities - устранение уязвимостей (выполняет исполнитель с ролью "разработчик")

Рисунок 2. Выбор и диаграмма потока работ Self-Assessment

На данный момент группа настроила описание процесса Rational Method Composer в соответствии со своими потребностями. Как будет показано далее, группа использует эти задачи для создания шаблона элементов работ в области проекта Rational Team Concert.

Публикация и развертывание модифицированного описания процесса

1. Питер публикует модифицированную CLM-конфигурацию в виде файла Web-архива - clm.war. Он следует рекомендациям статьи Publishing configurations as Web sites (Публикация конфигураций в виде Web-сайтов) информационного центра.
2. По окончании публикации Питер переходит в папку выходных данных и копирует файл clm.war в следующую папку сервера Jazz™ Team Server (JTS):

папка_установки_сервера_Jazz\server\tomcat\webapps\rmc

Опубликованная в Rational Method Composer информация теперь доступна членам группы.

Обновление области проекта Rational Team Concert

Сейчас самое время обновить область проекта Rational Team Concert, чтобы отразить изменения описания процесса, выполненные в Rational Method Composer.

Добавление в область проекта новых ролей и назначение их членам группы

В связи с добавлением в CLM-конфигурацию методики Application Vulnerability Assessment на предыдущем шаге в описании процесса появились новые роли:

• Security Lead (руководитель по безопасности)
• Security Tester (тестировщик безопасности)
• Security Developer (разработчик безопасности)

1. Питер добавляет эти роли из Rational Method Composer в область проекта Rational Team Concert, чтобы руководящая группа могла назначать членам выполнение задач, определенных в процессе. Он следует указаниям раздела Create a Jazz Role from a Rational Method Composer role (Создание роли Jazz из роли Rational Method Composer) методического пособия How to update a Jazz Project Area using Rational Method Composer (Обновление области проекта Jazz при помощи Rational Method Composer).
2. Марко переходит в область проекта Rational Team Concert и связывает имеющиеся там роли с членами группы, в частности, назначает Салли роль Security Lead.

Добавление новых задач в область проекта

На предыдущем шаге Питер добавил три задачи безопасности в Rational Method Composer. Теперь он должен сделать эти задачи доступными в Rational Team Concert, чтобы Марко мог назначать их членам группы с соответствующими ролями. Питер добавляет задачи из Rational Method Composer в шаблоны элементов работ в Rational Team Concert.

1. Он следует инструкциям раздела Create a Work Item Template from a Rational Method Composer Process Element (Создание шаблона элементов работ из элемента процесса Rational Method Composer) методического пособия How to update a Jazz Project Area using Rational Method Composer (Обновление области проекта Jazz при помощи Rational Method Composer).
2. В перспективе Team Process в Rational Method Composer он находит поток работ Application Vulnerability Self-Assessment и выбирает пункт меню Create a Jazz Work Item Template.

На рисунке 3 показаны действия Питера.

Рисунок 3. Действия по созданию или обновлению шаблона элементов работ

Запуск проекта

После предыдущего шага у команды разработчиков есть шаблон элементов работ, который они могут использовать для наполнения планов итераций в Rational Team Concert задачами безопасности.

Марко следует инструкциям статьи Planning an iteration (Планирование итерации) в подразделе Iterative development (Итерационная разработка) раздела Scenarios (Сценарии) информационного центра.

1. В Rational Team Concert он создает план первой итерации Construction Iteration 1, который должна выполнить группа разработки.

В этом плане пока еще нет задач (запланированных элементов). Для наполнения плана Марко следует рекомендациям раздела Creating work items from a template (Создание элементов работ на основании шаблона) информационного центра.

2. Марко использует шаблон элементов работ Development Team - Construction Iteration для наполнения плана итерации типичными задачами планирования, разработки и тестирования.
3. Затем он использует шаблон элементов работ Application Vulnerability Self-Assessment для добавления в этот план задач тестирования безопасности.

После наполнения плана всеми задачами Rational Method Composer, которые группа разработки должна выполнить в итерации Construction (включая новые задачи тестирования безопасности), редактор плана должен выглядеть так, как показано на рисунке 4.

Рисунок 4. План итерации Construction, наполненный задачами

Учитывая, что тестирование безопасности - это новая задача, группе потребуется помощь. К счастью, все созданные элементы работ имеют ссылки на практические рекомендации Rational Method Composer, поэтому члены группы имеют под рукой все необходимое для успешного внедрения новой методики.

Заключение

В статье описано быстрое обновление процесса при внедрении новой методики. Показано, насколько легко можно создать план итерации, содержащий новую методику, и как члены группы могут получить контекстно-зависимые рекомендации по ее внедрению.