Web软件项目的风险管理配置文件?

时间:2009-03-06 18:40:21

标签: project-management risk-management

我即将开始研究“软件即服务”网站项目。这是我将要开展的第一个此类项目,所以当我试图预测任何可能的风险时,我相信会有更多我不会考虑的。

有没有人知道这种项目的合适风险简介样板?

谢谢,

阿德里安

4 个答案:

答案 0 :(得分:3)

“风险”(基本上)都是糟糕的管理或糟糕的设计。很少或根本没有概率理论。

首先,从任何软件开发项目的任何“风险”配置文件开始。用户购买,赞助,要求,测试,承诺等标准连续性等。没有任何改变。

基于Web的SaaS不会添加任何新的管理或用户“风险”。用户仍然撒谎,经理仍然有不切实际的时间表,客户要求不切实际的价格。

你必须有时间学习这项技术。这不是“风险”,而是成本。

  1. 除非您之前使用过该框架,否则请在框架中构建一些小东西,然后将其丢弃。 “自我测试”或“概念验证”或“演示”。你不会尝试演变成最终生产代码的东西。这不是风险领域。如果你不构建一些小东西并把它扔掉,那么你就会对技术产生困难,无法按时按预算交付。

  2. 除非您拥有坚如磐石的安全模型,否则计划在安全问题上花费大量时间。有许多威胁情况,许多技术差距成为安全漏洞,可能还有一些垃圾软件无法解决您的使用案例。

    每个人都喜欢假装安全很容易。 “这只是密码,对吧?”

    给自己足够的项目时间来列出实际威胁并找出解决方案。大多数情况下,这很容易 - 使用SSL和摘要身份验证以及正确的编码实践来防止所有OWASP漏洞。但是你的情况可能有一些奇怪的事情。

    如果您没有时间为所有层(数据库,Web服务器,应用程序,操作程序等)提供安全性的架构支持,您将创建具有安全漏洞的软件。

  3. 除非您具有法律约束力的性能目标,否则请留出时间进行性能测试,发现问题并解决问题。在软件构建之后和使用验收测试之前,性能测试不是2周的努力。性能测试是与众多可配置项目的持续斗争。

    所有各种组件的配置很难;它需要很长时间,需要一个良好的负载模拟器。如果你没有时间来摆弄所有项目的配置(反向代理服务器,Web服务器,应用程序,数据库),你将最终提供无法正确扩展的软件。

  4. 此外,请留出时间来设计(并重新设计)消息架构。如果使用RESTful Web服务,则需要多次尝试才能正确定义资源。如果你使用SOAP / XML,你将不得不花费大量时间来获取消息和WSDL是正确的。你会在这里做出令人遗憾的决定,所以留出时间来后悔并通过改变信息来修复它们。

  5. 为单元测试留出大量时间并创建可用的单元测试套件。 Web服务可能很难测试,因为您有适当的独立单元测试,以及应该是单个,全面的套件的简单Web服务集成测试。

    您需要构建一个测试套件,允许您使用已知夹具为数据库设定种子,启动服务器,执行一些客户端请求,关闭服务器并处置数据库。听起来很复杂,但是你开始第一轮严肃的重构时,你真的很想要它。

  6. 这些不是“风险”。这些都是你需要留出时间的难题。具体来说,您需要留出时间进行返工。在第一次项目中,您将做出不是最佳的决策。您需要时间,许可和技术支持才能取消它们。

答案 1 :(得分:1)

在不知道服务类型的情况下,公众消费的“可用性”等等 - 我认为您可以将其分解为标准组:

安全

  • 仅限注册用户
  • 完整审核记录
  • 入侵检测和报告
  • 安全连接

质量

  • 表现 - 返回结果符合要求的表现
  • 以商定格式提供的返回结果

维护

  • 定义升级路径(通信,向后兼容等)

模板应包含风险,进入日期,状态(开放,受影响,已关闭,已解决),缓解计划,分配给谁

答案 2 :(得分:0)

我刚刚收到了本月的web designer magazine,似乎有类似的东西。你的意思是实际运行服务还是只是建立一个项目?我发现这很有趣:

  

“Interdirect避免网页设计灾难的九个步骤”

     
      
  1. 遵循预定义的项目交付方法。
  2.   
  3. 从新客户/项目问题审核/核对清单开始。
  4.   
  5. 举行“发现会议”以分析要求。
  6.   
  7. 定义团队成员职责。
  8.   
  9. 创建功能规范“蓝图”文档。
  10.   
  11. 让客户签名并同意规范。
  12.   
  13. 确保持续的客户定期沟通。
  14.   
  15. 尽快完成客户批准的完成工作。
  16.   
  17. 从一开始就建立客户信任并将其作为优先事项。
  18.   

答案 3 :(得分:0)

看看这些six steps to managing project risk,其中列出了一些做点和不做的事,不同类型的风险,并指出并非所有风险都是坏事。