Recentemente mi sono impegnato in una discussione sulla sicurezza con il piombo per la sicurezza informatica della mia azienda, discutendo i controlli di sicurezza e gli standard a cui avrebbero tenuto il progetto. L'aspettativa del Risk Lead era che questi controlli riconducevano ai Requisiti non funzionali definiti dall'architettura per il progetto. Sarebbe una mia responsabilità definire questi Requisiti Non Funzionali per il team di sviluppo da realizzare in Design o in Sprint.
Ciò ha avuto senso per molti dei controlli definiti, tuttavia alcuni controlli sono meno relativi a qualità e proprietà del sistema e maggiori informazioni sulle aspettative e sui requisiti del processo SDLC stesso. Per esempio. I dati di produzione devono essere mascherati e resi anonimi prima di passare a un sistema di test o controllo qualità.
Ho sostenuto sulla chiamata che non ha senso che un requisito non funzionale definisca qualcosa che non sia un attributo di qualità del sistema e che il processo di sviluppo del software non sia un componente del sistema ma del progetto squadra.
La loro reazione è stata che non ho idea di cosa sto parlando e che dovrei fare più ricerche sui Requisiti Non Funzionali.
La loro condanna mi ha portato a chiedermi se comprendo correttamente i Requisiti Non Funzionali? La letteratura che ho letto non menziona mai la portata degli attributi di qualità che si estendono ai processi SDLC come la produzione ciclica di dati su un sistema di test. Non sto dicendo che catturare tali requisiti del processo SDLC NON è importante, stavo solo sostenendo che questi non sono Requisiti Non Funzionali. Mi sbaglio?