2.2 성과 기록표 디자인
Compass를 활용하면 개발자와 거버넌스 팀 모두의 마찰이 줄어들어 소프트웨어 상태 및 품질이 향상되고 속도가 빨라집니다. 성과 기록표를 통해 개발자 커뮤니티는 기대치를 미리 파악하여 기대치가 어느 정도 충족되고 있는지 투명하게 보여줄 수 있습니다. 이렇게 하면 규정 준수 요구 사항이 제공 주기 후반에 전달되어 소프트웨어 팀에서 재작업해야 하는 상황이 줄어듭니다.
성과 기록표를 통해 투명성을 확보하면 거버넌스 팀은 규정 준수 정보를 자체적으로 제공할 수 있으므로 해당 정보가 필요한 팀을 지원할 수 있고 최상의 시나리오를 찾은 팀은 흐름을 더 빠르게 진행할 수 있습니다. 그러면 일반적으로 거버넌스 미팅 및 보고 요구 사항이 줄어들어 소프트웨어 팀이 흔히 겪는 마찰이 해소됩니다.
다음은 Compass에서 만드는 성과 기록표를 디자인하기 위한 몇 가지 권장 단계입니다.
2.2.1 기존 엔지니어링 표준 또는 거버넌스 요구 사항 식별
성과 기록표를 시작하는 가장 이상적인 방법은 기존 엔지니어링 표준 또는 거버넌스 요구 사항을 Compass로 전환하는 것입니다. 기존 표준을 사용한다는 것은 Compass 사용자 및 거버넌스 팀이 이미 익숙한 표준으로 플랫폼에 원활하게 진입할 수 있다는 뜻입니다.
소프트웨어 팀이 준수해야 하는 표준 및 거버넌스 기준을 모두 나열하고 그중 한 가지를 선택해서 시작하는 것이 좋습니다.
예시: 취약성 표준MegaBank에서는 모든 소프트웨어 컴포넌트의 미해결 “중요 취약성” 및 미해결 “높음” 취약성이 각각 10개 미만으로 유지되어야 합니다.
2.2.2 성과 기록표의 데이터 소스 식별
표준을 식별한 후에는 적절한 데이터 소스가 필요합니다. Compass 성과 기록표는 타사 앱 및/또는 API를 통해 데이터를 수집하여 조직의 요구 사항에 따라 상황에 맞는 보기를 제공할 수 있습니다.
소프트웨어 팀이 준수해야 하는 표준 및 거버넌스 기준을 모두 나열하고 그중 한 가지를 선택해서 시작하는 것이 좋습니다.
예시: 취약성 표준MegaBank는 Snyk를 사용하여 소프트웨어 자산 전반의 보안 취약성을 추적하고 관리합니다. Snyk는 취약성 정보의 데이터 출처로 식별되며 이를 활용하여 Compass의 취약성 성과 기록표를 채울 수 있습니다. Snyk 앱은 Marketplace에서 제공하며 Compass를 Snyk와 연결하는 역할을 합니다.
2.2.3 기준 및 가중치 정의
Compass 성과 기록표로 기준 및 각 기준의 가중치를 모두 정의할 수 있습니다. 가중치는 각 개별 입력에 적용된 중요도 또는 가중치를 기반으로 전체 점수를 조작하는 데 사용됩니다.
예시: 취약성 표준 MegaBank는 미해결 높음 취약성의 수보다 미해결 중요 취약성의 수를 훨씬 더 우려하고 있습니다. 따라서 중요 취약성에는 가중치 75%를 추가하고 높음 취약성에는 가중치 25%를 추가합니다.
2.2.4 성과 기록표 디자인 문서화
Compass에서 성과 기록표로 만들려는 기존 엔지니어링 표준 또는 거버넌스 요구 사항을 식별할 때 아래 형식을 사용하여 성과 기록표 디자인 세부 정보를 캡처하세요. 이렇게 하면 Compass 성과 기록표를 만들기 전에 피드백을 얻고 반복할 수 있습니다.