[Day 27] 系统开发导入(上)

在CISA中业务应用程序开发分成两类

• 以组织为中心 - 通常使用SDLC等较详尽的开发方法
• 以最终用户为中心 - 通常为了优化绩效，比较不用较复杂的开发方法 EX.DSS决策资源系统

软件开发

接着需要了解各种开发流程，选择该流程是否合适

SDLC模型
Systems development life cycle 系统开发生命周期
较大型的专案(标案RFP、招标ITT)需要有产出文件，追踪开发流程，因此会使用SDLC保障产出

书上说到SDLC可以用瀑布模式、叠代，网路查一下现在有许多变形的应用

图片来源: https://www.behance.net/gallery/34784121/Agile-project-SDLC-Infographic

图片来源: http://www.karthikconsulting.com/white-papers/kc-enterprise-disciplined-agile-software-development/

CISA中定义为六个阶段：可行性分析，需求定义，选择采购软件(外部)/设计，配置(外部)/开发，测试与实施，实施後审查。

• 假设组织想要人脸辨识打卡系统，之後开始可行性分析，分析这系统有用吗、能带来什麽好处(swot)、技术可行吗、成本划算吗....，并设定阶段关卡，未来当执行到各个阶段时再做一次评估是否继续。

稽核如果在专案发起实有参与，就该看一下以上几点是否有做，提醒不完善的部分；事後的稽核可以从ROI查看是否合乎一开始可行性分析的评估，这阶段越成熟之後其他专案成功机率也会大增。

图片来源: https://www.managertoday.com.tw/glossary/view/15

• 在需求定义时开始提需要活体辨识、双因子验证等等，我们需要条列需要那些功能，询问使用者需求，定义该怎麽做。

稽核时需要确认是否有把安全控制纳入需求，包含资料输入输出的验证、稽核Log及符合法令法规。

图片来源:https://www.jianshu.com/p/f9bcf52f4321

• 接着开始评估是购买软件还是自行开发。在选择自行开发设计时，需评估风险，有没有能力做、该怎麽设计、用什麽技术，并定下base line，依据时间、成本、风险进行变更管理，需注意设计阶段後尽量避免更改Scope，以避免增加时间及成本导致失败

稽核时要确认变更是否都有经过上层核准，输入输出处理的控制是否恰当，系统流程架构是否符合当初设计

图片来源:http://www.dtc-tpe.com.tw/?q=node/48

• 购买软件後要做好设定，要有人会使用，常常发生设定不当导致没有发挥应有的功用。开发会选择要什麽开发方式、程序语言等等

软件开发方法

并没有哪个方法比较好或比较快

• Waterfall 瀑布模式，适合有明确流程，变更幅度极小的专案
• Software prototyping 快速开发一个原型，让用户很快能确认是否是他要的，以获得後续改善方向及资源
• Iterative and incremental development 该方法的思想是通过重复循环（叠代）并一次以较小的部分（增量）来开发系统
  
  图片来源: https://en.wikipedia.org/wiki/Iterative_and_incremental_development
• Spiral model 螺旋模型，一种风险驱动的软件开发过程模型，在每个叠代阶段构建原型是螺旋模型用以减小风险的途径。螺旋模型更适合大型的昂贵的系统级的软件应用
  
  图片来源: https://zh.wikipedia.org/wiki/%E8%9E%BA%E6%97%8B%E6%A8%A1%E5%9E%8B
• Rapid application development (RAD) 快速应用程序开发是一种类似Iterative与Software prototyping技术的程序设计方法
  
  图片来源 :https://blog.yeeflow.com/rapid-application-development-vs-agile-methodologies
• Agile 敏捷软件开发，目前多采用Scrum方式，以iterative与incremental式的方式交付工作，每个迭代称作 Sprint，快速的将每个成果展现给用户，避免偏离方向，但整体开发时间不一定比其他方式快，且用户需要花费许多时间参与。
  
  图片来源 :https://s.dou.ua/uploads/nickturunov/animescrumoverviewblue.531dc433db479a4aaf160c94c4ca6b0338c3a77f.png

能力成熟度模型整合
Capability Maturity Model Integration(CMMI)
一种改进过程的方法，其目的是协助提升组织的绩效。利用CMMI在一个专案结束做评估时判断等级，於下一个专案时要求达到下一个等级，评估之间的落差逐步改善

L1 Initial : 混乱或不稳定的环境
L2 Repeatable : 每个专案有各自流程，过程是可被重复实现
L3 Defined : 建立了一组定义的标准流程，每个专案依照此流程执行
L4 Managed : 管理人员可以有效地控制流程(可量化)
L5 Optimizing : 关注过程创新和持续优化

图片来源:https://www.artc.org.tw/chinese/03_service/03_02detail.aspx?pid=2417

参考

• Software Development Lifecycle
  https://rickhw.github.io/2017/09/14/SoftwareEngineering/Software-Development-Lifecycle/
• 用20分钟搞懂 《系统分析、软件工程、专案管理与设计模式》
  https://www.slideshare.net/ccckmit/20-57269452
• 需求规格书
  https://wiki.zbla.us/index.php?title=SE:%E9%9C%80%E6%B1%82%E8%A6%8F%E6%A0%BC%E6%9B%B8#.E5.A4.96.E9.83.A8.E4.BB.8B.E9.9D.A2.E9.9C.80.E6.B1.82