読んでみた：ソフトウェア品質に関する業界の現状調査

どうも、イケてるIT品質管理です。

前回の記事「低品質ソフトウェアの総コスト(CPSQ)」に続いて、ITソフトウェア品質コンソーシアム（CISQ : The Consortium for Information & Software Quality™）の「ソフトウェア品質に関する業界の現状調査レポート」を読んでみました（住所・氏名・メルアドなどの登録が必要ですが、誰でも無料でDownloadできます）。

調査目的

調査期間は2019年7月～2020年1月、調査対象はツールベンダー・SIer・エンドユーザー組織のマネージャー・エンジニア。
CISQの調査目的は
・アジャイル開発やDevOpsがソフトウェア品質や開発者の行動にどう影響しているか
・SIerやエンドユーザー組織で、どんなソフトウェア品質標準がどのように使われているか
で、「ソフトウェア品質標準」とはOWASPやMITRE CWE等のことを指しているようです。結果は「ENGINEERING」「SYSTEM INTEGRATORS」「VENDOR MANAGEMENT」の３セクションでまとめられています。

エンジニアリング

ソフトウェア品質分析に関して、１１の質問が用意されています。
「ソフトウェア品質分析」について詳細な説明がないですが、コードの脆弱性スキャンなどのことを指しているようです。そしてこの調査から「プロダクトオーナーらにとって、非機能要件は機能要件より優先度が下がっているのでは？という仮説を検証したい」とあります。

質問全てを書き出すと長くなるので割愛しますが、開発者たちの

・ソフトウェア品質分析の重要性は理解している。特に信頼性、保守性、パフォーマンス面（＝非機能要件）でメリットがあると考えている
・然しながら、ソフトウェア品質分析の恩恵を受けるのは主にQA/Testerや開発者であり、ビジネスユーザーであるとはあまり考えていない
・時間的な制約や誤検知の多さから、ソフトウェア品質分析の結果を無視することがある

という思考・行動が明らかになりました。
仮説の通り、非機能要件の優先度が低い、という結論です。

これはアジャイル開発での品質保証に関する書籍や記事でもよく言われていることです。プロダクトオーナーは必ずしもITスキルがあるわけではないので、非機能要件を満たさないことによるインパクトを把握できていない場合が多いと思います。非機能要件対応の重要性をプロダクトオーナーに説明できるスキルが求められますね。

システムインテグレーター

SIerから見て「顧客のソフトウェア品質分析に対する意識がどう変化しているか」を確認するための１１の質問が用意されています。
分かったことは

・ソフトウェア品質分析、ソフトウェア品質標準の需要は増加している
・実際に顧客に対しソフトウェア品質分析を行った割合は、必ずしも高くない
・ソフトウェア品質分析を契約に含めていない顧客のほうが、含めている顧客より多い

でした。SIer、顧客ともに成熟度を上げる必要がある、と纏めています。

ベンダーマネジメント

・・・・すいません、力尽きました。「契約にソフトウェア品質分析を含めよ」「標準を活用しろ」くらいしか引っかかるワードが無くて。

感想

冒頭にあげた調査目的の１つめ「アジャイル開発やDevOpsがソフトウェア品質や開発者の行動にどう影響しているか」について、エンジニアリングのセクションに纏められていたことは、開発現場の実情を表しているなと思いました。アジャイル開発では、リリース速度を優先するあまり、保守性の優先度が下げられる傾向があると私は感じています。これらは将来的に技術的負債となって、開発速度や品質の低下となって顕在化してくるのでしょうね。

ではまた！