项目发布评估

From OWASP
Jump to: navigation, search


该网页由OWASP中文项目组维护,以帮助OWASP中文项目的领导人和项目参与人员,依据《2.0版评估标准》(Assessment Criteria v2.0),在项目发布以前,对项目进行评估。

Contents

质量等级

对于项目的发布,OWASP建立了一套拥有三个指定质量等级(Alpha,Beta和稳定发布)的评估标准。随着项目发布的质量从Alpha到Beta再到稳定的等级,评估的要求也越来越严格。总体而言,项目领导确定其项目的目标质量等级,然后向着该等级工作。一旦项目领导人完成了目标等级的前提条件和标准,他们就将要求审核他们的项目。质量等级将确定谁来审核发布,并以什么样的方式来审核。

  • Alpha发布:审核包括完成由全球项目委员会(GPC)确定的项目“评估前的检查列表”。由于参与项目的任何人员都可以根据“评估前的检查列表”自我评估其参与的项目,项目的Alpha发布是最容易到达的。
  • Beta发布:由项目领导人完成“评估前的检查列表”。然后,由一名该项目的专门审核人员执行审核。当审核人员完成发布的审核以后,GPC将验证项目的审核。
  • 稳定发布:由项目领导人完成“评估前的检查列表”。然后,由两名该项目的专门审核人员执行审核。当审核人员完成审核以后,GPC和OWASP董事会将验证项目的审核。


“评估前的检查列表”和“审核人员检查项目”:

  • “评估前的检查列表”应当由项目领导人在评估开始以前完成。
  • “评估前的检查列表”是为了能在短短几分钟时间内确认所有列表中的项目是否完成而设计的。
  • “审核人员检查项目”应当由项目审核人员在项目领导人明确项目已准备好进行评估,并且在“评估前的检查列表”已完成后,进行。
  • “审核人员检查项目”是为了使审核人员在花费了大量时间后,能根据主观的问题得到很好的理解,并审核项目的发布。


项目发布评估的先决条件

根据质量等级标准,项目领导人可能需要先决条件,以在项目发布以前采用以下的标准进行评估。

  • Alpha发布:无需先决条件。
  • Beta发布:需要1名审核人员。
  • 稳定发布: 需要2名审核人员。第二审核需要特殊的要求。


关于审核人员的备注

  • 理想的是,对于每个项目的发布,项目领导人需要选择相应的审核人员。
  • 理想的是,审核人员应当是现有OWASP项目的领导人或OWASP分部领导人。
  • 如果项目领导人无法找到需要的审核人员,全球项目委员会可以协助项目确定审核人员。
  • 对于稳定发布的第二审核人员,推荐的人选是一名OWASP董事会成员或全球项目委员会成员。董事会有优先审核项目的权利,其次是全球项目委员会。
  • 全球项目委员会确认为项目分配的审核人员。
  • 对于特殊的情况(比如:大型文档),可能需要使用多名审核人员将审核工作划分为几个小部分。最重要的原则是只需一组人员为Beta发布进行审核,而需两组人员为稳定发布同时进行审核。比如,一个大型项目的稳定发布可能需要4个审核人员,每个审核人员大概需要审核内容的一半。


级别评定系统

尚未审核 Alpha发布 Beta发布 稳定发布
Yellow button.JPG Greenlight.png Greenlight.pngGreenlight.png Greenlight.pngGreenlight.pngGreenlight.png


发布评估标准

OWASP不同项目类型的特定发布评估标准:


中文项目评估方法

根据以上项目发布评估的描述,OWASP中文项目组根据自身情况,对项目评估的原有方法进行了适当调整。而具体评估标准保持不变。具体评估方法如下:

  • 中文项目的Alpha发布:由参与该项目组的人员对该项目进行内部自我审核。
  • 中文项目的Beta发布:先由该项目组的组长完成Beta发布中的“评估前的检查列表”,再由一名为该项目组专门指派的审核人员(非直接翻译人员)对该项目进行的外部审核。
  • 中文项目的稳定发布:先由该项目组的组长完成稳定发布要求中的“评估前的检查列表”,再由一名为该项目组专门指派的审核人员(OWASP中文项目领导人)对该项目进行的外部审核。