CMMI同行评审(PR)实践域概述

CMMI V3.0同行评审实践域是CMMI全部视图的通用实践域

CMMI同行评审实践域必需的实践域信息

意图
通过生产者同行或行业或领域专家 (SME) 的评审来识别并解决过程性能和工作产品的问题。

价值
及早发现问题或缺陷，以降低成本和减少返工。

其他必需的实践域信息

本部分留作空白，以待未来加入内容。

CMMI同行评审实践域解释性实践域信息

CMMI同行评审实践总结

第 1 级

PR 1.1 对工作产品进行评审并记录问题。

第 2 级

PR 2.1 开发并持续更新用于准备和执行同行评审的程序与支持资料。
PR 2.2 选择要进行同行评审的工作产品。
PR 2.3 使用既定程序准备和执行选定工作产品的同行评审。
PR 2.4 解决同行评审中发现的问题。

第 3 级

PR 3.1 分析从同行评审得到的结果和数据。

CMMI同行评审其他实践域解释性信息

执行同行评审有助于及早发现问题并消除工作产品中的缺陷。同行评审是一项重要且有效的验证、确认和保证活动。同行评审可以通过检查、结构化的演练、审计或其他评审方法来实施。同行或相关主题专家通过系统客观的方式检查工作产品，以识别要消除的缺陷。

执行同行评审的团队可从以下方面受益：
• 确定选择标准，以聚焦在最重要的领域
• 选择要进行同行评审的对象
• 从多个观点彻底地进行同行评审
• 分析数据以识别质量趋势和改进项

同行评审中发现的问题可能包括：
• 与工作产品有关的缺陷
• 性能或功能问题
• 与过程相关的问题
• 成本、风险和进度问题

进行同行评审的过程包括：
• 准备评审
• 选择方法或技术
• 对工作产品进行评审
• 记录数据

随着工作产品的开发，逐步执行同行评审。同行评审是结构化的，而非管理或状态评审。
同行评审可以应用于任何工作产品，无论工作产品由谁制作。同行评审的重点应放在工作产品上，而不是在作者上。在同行评审过程中发现缺陷时，通知作者以进行纠正。
最有效的同行评审须确保参与者进行客观、坦率评价。保护收集的同行评审数据以防止不当使用，例如：

• 用于对人员进行纪律处分或给予奖励
• 用于公开批评或表扬性能
• 违反数据安保和隐私法律

与CMMI同行评审相关的实践域

验证和确认 (VV)

与CMMI同行评审相关的特定背景

敏捷开发

背景标签：敏捷开发
背景：将敏捷技术和实践与其他过程整合在一起。

在敏捷项目中，可以执行同行评审的典型示例包括：
• 待办列表梳理
• 在每次迭代期间与产品负责人一起评审已完成的故事
• 在每次迭代期使用结对编程、团队编程或群体编程
• 拉取请求
• 设计、测试计划、测试用例和代码等工作产品的评审
同行评审的结果通常会被记录在自动化工具中。

DevSecOps

背景标签：DevSecOps
背景：DevSecOps 是一种思维方式、一种文化和一套实践，可促进开发、运营和安保部门之间的密切合作，从而规划、开发、测试、部署、发布和保持更新安全的解决方案。

DevSecOps 团队通常结合使用自动代码评审和手动代码评审来维护软件质量。静态代码分析工具通常用于检测和纠正常见的编码错误和漏洞，这些工具基于工具中设置的标准进行检测和纠正。团队可以随着时间的推移调整这些设置，因为他们对代码有了更深入的研究并且了解趋势或误报情况。DevSecOps 需要进行的另一项关键评审工作是对工具自身配置的评审。定制选项很容易导致缺陷和漏洞的泄露。因此，在DevSecOps中，对流水线 (Pipeline) 设置配置、自动化脚本等进行同行评审非常重要。有几种常用工具可用于执行此类分析。DevSecOps 团队还将静态应用程序安保测试纳入到其持续集成/持续交付 (CI/CD) 流水线中，以识别安保漏洞和热点 (Hotspots)。安保漏洞通常会对运营构成直接威胁或风险，因此需要持续关注安保热点，当安保热点中存在安保敏感代码时，可能需要开展手动同行评审以立即采取行动。这些手动同行评审通常作为设计或代码评审请求的一部分完成，并使用一组编码规范和安全编码实践来评估代码的缺陷或漏洞。

CMMI-DEV V1.3中对同行评审（PR）的说明。