CMMI V3.0验证和确认实践域是CMMI开发视图的通用实践 域

CMMI验证和确认实 践域必需的实践域信息  

意图

确认所选的解决方案和组件符合各自的要求，并证明所选的解决方案和组件能够在目标环境中实现预期用途。

价值

提高解决方案满足客户需求的可能性。

其他必需的实践域信息

本部分留作空白，以待未来加入内容。

CMMI验证和确认实践域解 释性实践域信息

CMMI验证和确认实 践总结

第 1 级
 

VV 1.1 执行验证来确保需求得到实现并记录和传达结果。
VV 1.2 执行确认来确保解决方案在目标环境下按预期运行并记录和传达结果。

第 2 级
 

VV 2.1 选择用于验证和确认的组件和方法。
VV 2.2 开发、使用并持续更新支持验证和确认所需的环境。
VV 2.3 制定、持续更新并遵循验证和确认程序。

第 3 级
 

VV 3.1 制定、使用并持续更新验证和确认标准。
VV 3.2 分析和沟通验证和确认结果。

CMMI验证和确认其他实 践域解释性信息

验证和确认活动包括识别纠正措施并跟踪它们直到结束。
 

验证和确认从不同的角度来解决问题：
• 验证针对的是工作产品和解决方案是否能正确地反映指定的需求，即“创建方式是正确的”。
• 确认针对的是解决方案是否能在目标环境下实现其预期用途，即“创建对象是正确的”。

验证和确认活动通常包括渐进式、迭代式或并行的过程，这些过程：
•从需求开始
•之后针对开发当中的工作产品和已完成的解决方案
•最后迁移到运营和维护
 

确认活动可应用于解决方案在任何目标环境下的所有方面，包括：
•开发
•测试
•运营
•培训
•制造
•维护
•支持
确认活动采用类似验证的方法，如测试、分析、检查、展示和模拟。通常，最终用户和其他受影响的干系人都参与项目的确认活动。

与CMMI验证和确认相关的实践域

需求开发和管理 (RDM)

与CMMI验证和确认相关的特定背景

敏捷开发
 

背景标签：敏捷开发
背景：将敏捷技术和实践与其他过程整合在一起。

敏捷团队通常会为每个用户故事或需求定义“完成之定义”。执行工作，直到满足每个用户故事的“完成之定义”。在冲刺评审中使用定义好的验收准则获得产品负责人的认可。
敏捷团队考虑通过测试和演示来解决用户将如何在预期环境中运行解决方案的问题。记录的结果显示了验证和确认活动的状态，并提供了分析机会。有关敏捷验证和确认活动的示例，请参阅表 VV-1：敏捷验证和确认活动示例。

表 VV-1：敏捷验证和确认活动示例

安全

背景标签：CMMI-SAF
背景：利用过程将安全注意事项整合为解决方案、工作、项目和组织不可或缺的一部分。
 

确保在验证和确认安全要求和所记录的安全目标时，考虑采用适当的技术。考虑以下技术：
•通过模拟来验证组件和产品
•测试技术，需要对指定的结构层级、数据或路径覆盖进行测试
•使用现场使用的数据，包括参考站点和服务历史
•原型测试
•压力测试
•加速的使用寿命测试
•测试与潜在的运营故障点一致的用例和脚本
•利用数学模型验证高安全保证用例，例如通过模拟验证医疗设备法规
这些活动依赖于其他验证和确认，以证明产品能够在预期用途环境中发挥其指定功能，而且不存在非预期功能。
如果发现新的危害，或者认定已知的危害具有高于此前评估结果的风险类别，请确保审批机构正式接受风险。
如果无法消除所识别的危害，则将相关风险降至最终用户或审批机构视为可接受的水平。

安保

背景标签：CMMI-SEC
背景：利用过程将安保注意事项整合为解决方案、工作、项目和组织不可或缺的一部分。

将安保注意事项整合到验证和确认活动的所有方面，例如环境设置、测试程序、测试用例和安装检查清单。确保验证和确认环境和技术符合所定义的安保标准。
计划应当为验证和确认活动选择哪些安保工作产品。例如，选择适当的安保要求、设计和原型，它们应当最准确地表明解决方案或解决方案组件在何种程度上满足最终用户的安保需求。及早执行验证和确认活动，例如在概念和探索阶段，并在整个解决方案生命周期中增量式地执行这些活动，包括移交给运维和停止使用。要考虑的验证和确认活动的类型包括：
•渗透测试
•模糊测试
•侧重于安保的同行评审
•基于工具的安保代码评审
•静态代码分析
•动态分析
•安保威胁分析评审
•模拟
•白盒、灰盒和黑盒测试
•评审标记的使用、密码散列验证或数字签名

在验证和确认活动期间，让安保代表参与，确保评估安保风险、威胁和漏洞，而且符合安保要求。确保管理层接受与解决方案相关的任何残余安保风险和缓解措施。如果认为风险或缓解措施不可接受，则必须对所设计的解决方案和相关技术进行返工。
在执行验证和确认活动时考虑使用专用的测试环境来控制整体安保测试参数。环境应当反映预期的运营环境，如果在验证或确认期间使用了运营数据，则应移除或净化敏感信息，例如个人身份信息 (PII)、个人健康信息 (PHI) 和用户特定密码。在安保验证和确认期间进行更改时，出于安保目的对测试和评审的解决方案进行跟踪，并将其至于相应的配置控制级别下。考虑如何将解决方案与安全解决方案和解决方案组件的内部和外部接口或连接管理工作整合在一起，以确保接口或连接的兼容性。

服务

背景标签：CMMI-SVC
背景：使用过程来交付、管理和改善服务，以满足客户需求。
 

用于验证和确认的方法和过程包括：
•服务运营的每个阶段，例如准备、运行和监督、维护、增强 (Enhancements)、停止使用
•服务环境的清晰描述，包括服务开发和设置、运营服务方法和目标
•服务系统的组件和过程
•用于试点或原型化服务运营的开发环境、预发布环境 (Staging) 和生产环境
•用于验证和确认服务交付和运营的不同方法、系统及过程

CMMI-DEV V1.3中，对验证（VER）和确认（VAL）的说明。

CMMI相关资料下载

• 下载CMMI V1.3模型中文版

• 下载CMMI V3.0快速参考手册英文版