7.5  知識子域：軟件安全開發(fā)重要管理過程

7.5.1 變更管理

任何一個項(xiàng)目，從開始就處于不停地變化之中，用戶需求發(fā)生變化需要調(diào)整計(jì)劃或者設(shè)計(jì)。測試發(fā)現(xiàn)了問題需要對錯誤的代碼進(jìn)行修正，也會引發(fā)變更。甚至人員流失了，也需要項(xiàng)目進(jìn)行一定的調(diào)整以適應(yīng)這種情況。Bug管理、需求管理、風(fēng)險(xiǎn)控制等本質(zhì)上都是變更管理的一種方式，它們都是為了保證項(xiàng)目在變化過程中始終處于可控狀態(tài)，并隨時可跟蹤回溯到某個歷史狀態(tài)。所有的變更都必須遵循一個正式的變更管理過程：

提交變更申請

項(xiàng)目團(tuán)隊(duì)中任何成員都可以提交變更申請，但需要完成以下工作：

變更申請人識別項(xiàng)目中任何方面的變更需求（如范圍、可交付成果、時限、組織）；

變更申請人完成變更申請表( CRF)，并將其呈交項(xiàng)目管理委員會(CCB)變更申請表中需要對變更的需求進(jìn)行概括性描述，包括變更描述、變更原因（包括商業(yè)驅(qū)動）、變更利益、變更成本、變更帶來的影響、支持性文件。

審核變更申請

項(xiàng)目管理委員會( CCB)對變更申請進(jìn)行審核，以決定是否需要一份充分的可行性研究報(bào)告以評估變更可能帶來的全部影響。

批準(zhǔn)變更申請

本階段涉及項(xiàng)目委員會對變更申請的正式審核。CCB可能做出以下結(jié)論：拒絕變更請求、要求與變更相關(guān)的更多信息、批準(zhǔn)變更申請、在特定條件下批準(zhǔn)變更。

實(shí)施變更

本階段開始對變更進(jìn)行實(shí)施，包括更新文檔、代碼等，并進(jìn)行相應(yīng)的測試，以確保變更被正確實(shí)施。

報(bào)告組織領(lǐng)導(dǎo)層

對變更進(jìn)行詳細(xì)的記錄，并將結(jié)果報(bào)告給組織的領(lǐng)導(dǎo)層。