Analisi del rischio in progetti guidati da comunità open source

Naviga le tue risposte
0

Sto cercando delle prospettive su come viene eseguita l'analisi del rischio quando non c'è esattamente un "valore in dollari" associato al rischio, come in un progetto Open Source. Tradizionalmente, l'analisi del rischio assume la forma di

Valore patrimoniale X Probabilità annuale di perdita X Probabile esito della perdita = Rischio

I progetti guidati dalla comunità open source offrono un grande valore alle persone, e il loro sviluppo affronta rischi significativi, sia dal punto di vista del progetto (che vanno da cicli di sviluppo sprecati a mancate consegne) e dal punto di vista del prodotto (agli utenti non piacerebbe il prodotto e l'aggiornamento potrebbe far uscire le persone o un buco di sicurezza potrebbe lasciare milioni di sistemi vulnerabili a un attacco di malware sgradevole). Tuttavia, non si presta a questa formula.

Chi è responsabile per l'identificazione e la gestione di questi rischi nei progetti guidati dalla comunità Open Source? In che modo il team decide quali sono i rischi più significativi per il risultato del progetto? Esistono standard o approcci ufficiali in questo settore?

Nel caso di adottare Open Source, credo che questa domanda abbia alcune risposte solide:

link link

D'altra parte, non vedo alcuna letteratura o voce che parli di questo aspetto della creazione di tale software. Qualche input da parte di persone attivamente coinvolte in questa community?

    
posta Purpose CyberSpace 09.07.2017 - 23:08
fonte

1 risposta

1

Nell'analisi del rischio, il valore non è necessariamente espresso in valore in dollari. Spesso il rischio è espresso nel tempo. È possibile utilizzare l'analisi del rischio per far fronte al rischio nel programma del progetto. Ho appreso che l'esposizione al rischio è calcolata da: 

risk exposure = loss * probability

Dove la perdita e l'esposizione al rischio possono essere espresse in $ o tempo (o qualche altra misura di valore). Ad esempio, se il contributore principale si ammala circa una volta all'anno e si sta lavorando su una stima per una pietra miliare di 3 mesi, l'esposizione al rischio di danno da parte del contribuente potrebbe essere espressa come: 

2 weeks * .25 = .5 weeks

Per i progetti open source in cui il denaro non è investito direttamente, è più utile analizzare il rischio in termini di tappe del progetto.

Il motivo per cui penso che non sia molto comune per i progetti open source condurre analisi dei rischi sono:

  • Non tutti gli sviluppatori di software sanno che cos'è l'analisi del rischio, come farlo o perché è utile.
  • Se confrontato con tutte le possibili attività, gli sviluppatori open source danno priorità alle altre attività rispetto all'analisi del rischio. Semplicemente ci sono risorse per gli sviluppatori limitate e tempo limitato, quindi è più utile fornire codice, test e documenti sull'analisi dei rischi.
  • Molti progetti open source mancano di un'organizzazione sufficiente. Questa è la stessa ragione per cui penso che molti progetti open source non abbiano un processo.

Who is responsible for identifying and managing these risks in Open Source community driven projects?

I progetti open source sono eterogenei. I rischi verrebbero probabilmente gestiti da un membro della comunità che comprende bene il progetto e le pietre miliari. Probabilmente il proprietario del progetto o il creatore del progetto lo farebbero.

How does the team decide which risks are most significant to the outcome of the project?

Ecco dove entra in gioco la formula dell'esposizione al rischio. Tutti i rischi hanno una certa importanza per il risultato del progetto, ma sono ponderati in base alla loro probabilità. È possibile identificare i rischi principali elencando tutti i rischi e la loro esposizione e ordinamento riducendo l'esposizione al rischio.

    
risposta data 10.07.2017 - 02:55
fonte

Leggi altre domande sui tag

Modo efficiente per cercare i dati in base a più attributi Quando l'applicazione non si avvia?