Процесс сертификации программ на базе информации об их использовании.
Это новый подход к сертификации, который, по утверждению его разработчиков, дает надежные гарантии качества для коммерческих программных пакетов.
Методов сертификации качества программного обеспечения становится все больше и больше. Популярные подходы, основанные на процессах, такие как ISO 9000 и SEI-CMM, вынуждают создателей программного обеспечения жестко придерживаться выбранных стандартов и процессов разработки. Такие подходы зачастую требуют участия аудиторов, которые проверяют документацию производителя и то, как он выполняет данное им обещание. Но даже если аудитор по сертификации может убедиться в чистоте намерений производителя, одна эта проверка вовсе не гарантирует, что созданное программное обеспечение будет высокого качества.
Принимая во внимание эту проблему, можно предложить методологию сертификации, которая не требует, чтобы производитель давал клятвы, а аудиторы проверяли, насколько эти клятвы выполняются. Можно с уверенностью сказать, что только полностью независимая сертификация продукта и есть тот подход, которому могут доверять потребители.
Пригласив третью сторону для выдачи сертификатов качества на программное обеспечение, разработчики снимут с себя ответственность, как это делает врач, приглашая для консультации другого доктора или проводя еще один анализ. Конечные пользователи тоже выиграют от того, что беспристрастная оценка продукту будет даваться независимыми организациями. Таким образом, есть разумные причины для появления учреждений, которые будут сертифицировать качество программного обеспечения.
Организации, выполняющие такую сертификацию, называются лабораториями по сертификации программного обеспечения (Software Certification Laboratories — SCL). Их достоинство в том, что они смогут предоставить равные возможности всем производителям, если, конечно, каждый продукт будет тестироваться в равных условиях.
SCL до сих пор не получили широкого распространения именно из-за ответственности, которую берет на себя организация, выдающая сертификат. Если сертифицированное ПО не оправдывает ожиданий при использовании его в реальном производственном процессе, удостоверитель, выдавший сертификат, несет за это определенную ответственность. Суды в США печально известны своей исключительной требовательностью к тем, кто называет себя профессионалами, будь то врачи, юристы и инженеры.
Вот и SCL могут потерять свое реноме и лишиться права заниматься сертификацией в случае ошибки. Чтобы несколько снизить этот риск, необходимо использовать точные методы при принятии решений о сертификации — в идеале автоматизированные. К сожалению, даже если SCL использует лучшие методики статистического анализа и динамического тестирования, не всегда можно понять, какому реальному воздействию подвергнется программа в руках пользователей. Таким образом, SCL сталкивается с проблемой точного определения того, как будет вести себя программная система — самое главное, что требуется от уполномоченных по выдаче сертификатов.
Процесс сертификации, о котором идет речь, использует автоматизированные процедуры, что позволяет отказаться от услуг аудиторов. Этот процесс использует ресурсы тестирования конечными пользователями, полагаясь на доказавшие свою состоятельность методы, подобные тем, благодаря которым Linux стала самой популярной и надежной из всех разновидностей Unix. Предлагаемый процесс, полностью основанный на продуктах, как таковых, оценивает качество работы программного обеспечения, а не качество процессов создания кода.