2.2 Scorecard-Design
Compass kann Reibung sowohl für Entwickler als auch für Governance-Teams verringern und dazu beitragen, den Zustand und die Qualität der Software zu verbessern und gleichzeitig die Geschwindigkeit zu erhöhen. Scorecards helfen der Entwickler-Community, die Erwartungen im Voraus zu ermitteln, und bieten Einblick in den Fortschritt im Hinblick auf diese Erwartungen. Das bedeutet weniger Nacharbeit für Softwareteams, weil Compliance-Anforderungen nicht erst spät im Lieferzyklus mitgeteilt werden.
Die durch Scorecards entstehende Transparenz sorgt dafür, dass Governance-Teams Compliance-Informationen selbst verwalten können. So können sie Teams unterstützen, die diese Informationen benötigen, und die Teams kommen auf dem Weg zum Erfolg schneller voran. Dadurch sind in der Regel weniger Governance-Meetings und Berichtspflichten erforderlich, sodass ein häufiger Reibungspunkt für Softwareteams entfällt.
Im Folgenden findest du einige empfohlene Schritte zum Entwerfen von Scorecards, die in Compass erstellt werden sollen.
2.2.1 Bestehende technische Standards oder behördliche Anforderungen identifizieren
Die Übertragung vorhandener technischer Standards oder behördlicher Anforderungen in Compass ist der ideale Weg, um mit Scorecards zu beginnen. Die Verwendung eines bestehenden Standards bedeutet, dass Compass-Nutzer und Führungsteams einen sanften Einstieg in die Plattform erhalten, mit einem Standard, mit dem sie bereits vertraut sind.
Es ist eine gute Idee, alle Standards und Verwaltungskriterien aufzulisten, die Softwareteams einhalten müssen, und zunächst eines auszuwählen.
Beispiel: Standard für SicherheitsrisikenDie MegaBank gibt vor, dass in Softwarekomponenten weniger als 10 offene Sicherheitsrisiken mit dem Schweregrad "Kritisch" und weniger als 10 offene Sicherheitsrisiken mit dem Schweregrad "Hoch" vorliegen dürfen.
2.2.2 Datenquellen für Scorecards ermitteln
Wenn du den Standard identifiziert hast, wird eine entsprechende Datenquelle benötigt. Compass-Scorecards können Daten aus Drittanbieter-Apps und/oder per API aufnehmen, um eine Ansicht mit Kontext zu bieten, die den Anforderungen deines Unternehmens entspricht.
Es ist eine gute Idee, alle Standards und Verwaltungskriterien aufzulisten, die Softwareteams einhalten müssen, und zunächst eines auszuwählen.
Beispiel: Standard für SicherheitsrisikenDie MegaBank nutzt Snyk, um Sicherheitsrisiken in ihrem gesamten Softwarebestand zu verfolgen und zu verwalten. Snyk wird daher als Datenquelle für Informationen über Sicherheitsrisiken ermittelt und zum Ausfüllen einer entsprechenden Scorecard in Compass herangezogen. Eine Snyk-App ist im Marketplace verfügbar und wird verwendet, um Compass mit Snyk zu verbinden.
2.2.3 Kriterien und Gewichtung definieren
Mit Compass-Scorecards kannst du sowohl Kriterien als auch eine Gewichtung für jedes Kriterium festlegen. Die Gewichtung wird verwendet, um die Gesamtpunktzahl basierend auf der Wichtigkeit oder Gewichtung, die jedem einzelnen Input zugewiesen wird, zu manipulieren.
Beispiel: Standard für Sicherheitsrisiken Die MegaBank befasst sich stärker mit der Anzahl offener "kritischer" Sicherheitsrisiken als mit der Anzahl offener "hoher" Sicherheitsrisiken. Daher erhalten kritische Sicherheitsrisiken eine Gewichtung von 75 % und hohe Sicherheitsrisiken eine Gewichtung von 25 %.
2.2.4 Das Scorecard-Design dokumentieren
Benutze das folgende Format, um Details zum Scorecard-Design festzuhalten, während du bestehende Entwicklungsstandards oder Governance-Anforderungen identifizierst, die du als Scorecards in Compass erstellen möchtest. So kannst du vor dem Erstellen von Compass-Scorecards Feedback erhalten und Iterationen durchführen.