Как проводят экспертизу программного обеспечения

Программное обеспечение (ПО) – это все программы, базы данных, файлы и документы, объединенные в систему и выполняющие ряд задач на компьютере. Специфические задачи требуют собственное ПО, которое после разработки должно пройти экспертизу.

Что такое экспертиза программного обеспечения

Экспертиза программного обеспечения – это комплекс исследований и оценок для определения качества ПО. Экспертиза включает несколько этапов проверки, такие как тестирование, анализ, оценка производительности и безопасности продукта.

Отдельным шагом при проведении экспертизы является выявление возможных нарушений в области законодательства.

Основные объекты экспертизы программного обеспечения

1. Исходный код. Основа ПО, представляющая собой текст, описывающий структуру продукта, алгоритмы работы и основные функциональные возможности.
2. Бинарный код. Построен на основе исходного кода для задач, ради которых ПО было разработано.
3. Архитектура. Структура ПО, определяющая, какие задачи, в каком порядке будут решаться, а также возможности и ограничения.
4. Тестовые сценарии. Наборы инструкций, предназначенные для проверки программы и ее функционала в различных ситуациях. Сценарии включают запуск и анализ данных, по которым выявляют недочеты.
5. Базы данных. Системы хранения данных о работе ПО. Базы могут включать информацию о программе, включая журнал действий и ошибок, данные о пользователе, разработчике, смежных продуктах.
6. Интерфейс. Визуализация всех процессов в удобном для пользователя виде: кнопки, изображения, анимации и все то, что является отражением кода.
7. Документация. Комплекс, состоящий из руководства, технических требований и инструкций, дающий пользователю понимание программы, упрощающий ее использование.
8. Защита информации. Меры для безопасности данных от стороннего вмешательства, несанкционированного доступа и изменений.

Методы проведения экспертизы программного обеспечения

В процессе экспертизы ПО, специалисты применяют несколько подходов, чтобы получить полную оценку характеристик. Вот ключевые методы:

1. Статический анализ. Изучение ПО без его запуска, только на основе исходного или бинарного кода. Такой метод позволяет оценить риски продукта в самой его структуре.
2. Динамический анализ. Запуск ПО в контролируемых условиях и отслеживание поведение: функционирование, перегрузки, сбои и ошибки.
3. Анализ безопасности. Метод затрагивает базы данных и позволяет оценить степень их защиты от внешнего вмешательства: шифрование, аутентификация, передача и хранение.
4. Сравнение с нормами и стандартами. Любая программа должна соответствовать как государственным, так и отраслевым требованиям. Эти требования включают доступность, совместимость, соблюдение законодательства и корректность отображения элементов интерфейса, а также этичность.
5. Оценка производительности. Соответствие программы и ее работы с указанными системными требованиями.

Иные специализированные инструменты. Обширная группа методов, которая может включать оценку работы ПО с помощью других программ на наличие ошибок, пробелов безопасности, других проблем.

Вопросы для экспертизы

1. Программа выполняет все задачи в полном объеме?
2. Работает ли ПО в нормальном режиме даже с дополнительной нагрузкой?
3. В разработке соблюдены все государственные и отраслевые стандарты?
4. Продукт защищен от внешнего вмешательства, и защищены ли базы данных?
5. Работает ли корректно совместно с другими?
6. Правильно ли выстроены CI/CD, были ли проведены тестирование, отладка?
7. На какой срок рассчитано использование продукта, будут ли обновления?
8. На сколько просто вносятся изменения в код для исправления возможных ошибок?

Основные задачи

1. Анализ требований. Специалисты проверяют, соответствует ли ПО требованиям заказчика и на сколько качественно программа выполняет задачи.
2. Тестирование. Проведение различных видов тестов, чтобы в условиях повышенной нагрузки проверить работоспособность.
3. Безопасность. Выявление возможных уязвимостей: устойчивость к взломам, утечкам данных. В случае выявление проблем, специалистами будет разработаны рекомендации.
4. Производительность. Проверка работы на разных устройствах: есть ли перегрузки, может ли программа перестать работать.
5. Совместимость. Оценка работы ПО на с различными операционными системами и сторонними программами. Этот пункт особенно важен для корпоративных решений.
6. Архитектура и код. Анализ структуры приложения для понимания стабильности его работы и масштабирования.
7. Разработка. Эксперты участвуют в разработке, давая технические рекомендации по оптимизации работы.
8. Экспертное заключение. Разработчику будет представлен подробный документ, содержащий оценку по всем ключевым пунктам, заключение комиссии, рекомендации для суда.

Какие материалы необходимо предъявить для экспертизы программного обеспечения?

Для проведения экспертизы ПО необходимо представить исходный код программы, а также (если ПО распространяется физическим способом) диски: DVD и Blu-ray. Важно, чтобы все компоненты были в рабочем состоянии, поскольку на их основе будут делаться выводы и заключения.

Этапы проведения экспертизы программного обеспечения

Проводится в несколько этапов:

1. Технологические испытания. Оценка на соответствие стандартов и нормативов.
2. Проверка исходного кода. Эксперты проводят детальный анализ на наличие ошибок, уязвимостей и несоответствий заявленным требованиям и стандартам.
3. Оценка информационной безопасности. Проверка программного обеспечения на наличие таких уязвимостей, как SQL-инъекции, XSS, CSRF и иных угроз, которые приведут к утечке данных или вмешательства третьих лиц в функционирование ПО.
4. Тестирование на возможности взлома. Моделирование кибер-атак для выявления возможных уязвимостей, имитирующие действия злоумышленников.
5. Функциональное тестирование. Проверка и анализ, сравнение требований заказчика с итоговыми характеристиками.
6. Отчет о результатах. Экспертиза программного обеспечения заканчивается составлением специалистами подробного отчета, в котором указываются выявленные проблемы, общая оценка продукта, а также рекомендации по устранению уязвимостей и возможностей оптимизации работы.

Отчет обязательно включает цели и задачи исследования, использованные методики, результаты тестирования, описание найденных дефектов, предложения по улучшению и рефакторингу кода, а также выводы по качеству и производительности программного обеспечения.