2.2 スコアカードの設計
Compass は、開発者とガバナンス チームの両方にとって摩擦を軽減し、ベロシティを向上させながらソフトウェアの状態と品質を向上させるのに役立ちます。スコアカードは、開発者コミュニティが期待を事前に理解し、その期待に対する進捗状況を透明化するのに役立ちます。これにより、デリバリー サイクルの後半にコンプライアンス要件が伝えられることに起因するソフトウェア チームのやり直し作業が減ることになります。
スコアカードによってもたらされる透明性により、ガバナンス チームはコンプライアンス情報をセルフサービスで利用できるようになり、それを必要とするチームをサポートし、ハッピー パス上のチームのフローを高速化できます。これにより、通常、ガバナンス会議やレポート要件が減り、ソフトウェア チームに共通する摩擦点がなくなります。
以下は、Compass 内で作成されるスコアカードを設計するための推奨手順です。
2.2.1 既存のエンジニアリング標準またはガバナンス要件を特定する
スコアカードの使用を開始するには、既存のエンジニアリング標準やガバナンス要件を Compass に移行することが理想的な方法です。既存の標準を使用することは、Compass のユーザーとガバナンス チームが、すでに慣れ親しんでいる標準でプラットフォームにスムーズに参加できることを意味します。
ソフトウェア チームが遵守する必要がある標準とガバナンス基準をすべてリストアップして、まず 1 つを選択することをお勧めします。
例: 脆弱性標準MegaBank では、すべてのソフトウェア コンポーネントで未解決の「重大な脆弱性」が 10 件未満、未解決の「高」脆弱性が 10 件未満であることが求められます。
2.2.2 スコアカード用のデータソースを特定する
標準を特定した後は、適切なデータソースが必要になります。Compass のスコアカードでは、サードパーティのアプリや API からデータを取り込み、組織のニーズに合わせてコンテキストに応じたビューが表示されます。
ソフトウェア チームが遵守する必要がある標準とガバナンス基準をすべてリストアップして、まず 1 つを選択することをお勧めします。
例: 脆弱性標準MegaBank は Snyk を使用して、ソフトウェア資産全体にわたるセキュリティの脆弱性を追跡および管理しています。Snyk は脆弱性情報に関するデータのソースであり、Compass の脆弱性スコアカードへのデータ入力に使用されます。Marketplace から入手できる Snyk アプリを使用して、Compass と Snyk を接続します。
2.2.3 基準と重み付けを定義する
Compass スコアカードを使用すると、基準と各基準の重み付けの両方を定義できます。重み付けは、個々の入力に適用される重要度または重み付けに基づいて全体のスコアを操作するために使用されます。
例: 脆弱性基準 MegaBank は、未解決の高脆弱性の数よりも、未解決の重大な脆弱性の数にはるかに重視しています。したがって、重大な脆弱性には 75%、高脆弱性には 25% の重み付けが加算されます。
2.2.4 スコアカードの設計を文書化する
スコアカードとして Compass に組み込む既存のエンジニアリング標準やガバナンス要件を特定するときは、以下の形式を使用してスコアカードの設計の詳細を取得します。これにより、Compass スコアカードを作成する前に、フィードバックを取得して反復できます。