软件项目管理与安全复习资料

精选优质文档-----倾情为你奉上精选优质文档-----倾情为你奉上专心---专注---专业专心---专注---专业精选优质文档-----倾情为你奉上专心---专注---专业

什么是项目：项目是为了创造一个唯一的产品或提供一个唯一的服务而进行的临

时性的努力。

项目管理的定义：项目管理是以项目为对象，通过使用知识、技能、工具和方法

来组织、计划、实施并监控项目，使之满足项目目标需求的过程。

什么是需求分析：简言之就是分析软件用户的需求，细致的进行调查，把用户“做

什么”的要求最终转换为一个完全的，精细的软件逻辑模型，并写出软件的需求

规格说明，准确地表达用户的要求。

市场预测就是预测市场对产品的需求和产品供应情况，可分为市场潜量预测和发

展趋势预测；也可按时间分为长期（5年以上）、中期（3年）、短期（1年内）

合同是使卖方负有提供具体产品和服务的责任，买方负有为该产品和产品服务付

款的责任的一种双方相互负有义务的协议。

技术合同是法人之间、法人和公民之间、公民之间以技术开发、技术转让、技术

咨询和技术服务为内容，明确相互权利义务关系所达成的协议；技术合同有三种

环境：需（甲）方环境、供（乙）方环境和内部环境；

什么是软件生产率：是指每人一个月所能生产的有效代码行数。软件生产率跟软

件生存期的各个阶段有关。

基线：软件生存期的特定点把各阶段工作划分明确化，便于检查与肯定阶段成果

配置基线：由于在开发过程中不断的发现错误，更正，系统需求改变等使交付项

存在不同的版本。从所有交付项中确定一个一致的子集作为软件配置基线

软件质量：软件产品满足规定的和隐含的与需求能力有关的全部特征和特性，包

括（1）软件产品质量满足用户要求的程度（2）软件各种属性的组合程度（3）

用户对软件产品的综合反映程度（4）软件在使用中满足用户的要求的程度

ISO9000-3是什么：ISO是国际标准化组织（InternationalOrganizationfor

Standardization）多国联合组成的非政府性国际标准化机构

什么是CMM：1987年美国卡内基.梅隆大学软件工程研究所（SEI，software

engineeringinstitute）受国防部委托提出软件机构的能力成熟度模型

CMM(CapabilityMaturityModel)

软件安全：计算机软件保密性，完整性，可用性，稳固性的保持

个体软件过程（personalsoftwareprocess)简称PSP也是由美国卡内基.梅隆大学

软件工程研究所提出的，1995年第一次公布于众。

按软件的有偿、无偿性分类：

共享软件：作者对其有版权，用户可能要求付款也可不要求，使买前试用。

免费软件：有版权，对版权的保护限于对软件的修改，并通过软件传播作者

的名字。

公有软件：无版权，任何人可修改、复制。

商业软件：有版权，先买后用。

区分日常运作与项目：

①项目是一次性的，日常运作是重复进行的

②项目是以目标为导向的，日常运作是通过效率和有效性体现的

③项目是通过与项目经理及其团队工作完成的，而日常运作是职能式的线形管理

④项目存在大量的变更管理，而日常运作则基本保持持续的连贯性的

例如：野餐活动、集体婚礼、开发操作系统、神州飞船计划是项目；

上课、社区保安、每天的卫生保洁是日常运作。

PMBOK9个知识领域：ScopeMgt：项目范围管理；TimeMgt：项目时间管理；

1

CostMgt：项目成本管理；QualityMgt：项目质量管理；HRMgt：项目人力资源

管理；CommMgt：项目沟通管理；RiskMgt：项目风险管理；

ProcurementMgt：项目采购管理；IntegrationMgt：项目整体管理。

PMBOK5大过程组：项目启动、项目计划、项目执行、项目控制与项目收尾

软件项目的可行性研究目的：用最小的代价在尽可能短的时间内确定软件项目是

否能够开发，是否值得开发，它不是去开发一个软件项目，而是研究这个软件项

目是否值得开发，其中的技术等环节问题能否解决。

可行性研究的任务：①研究项目的技术可行性②经济可行性③社会可行性

软件需求的层次①业务需求②用户需求③功能需求④非功能需求、软件需求规格

说明

需求分析阶段工作分为四个方面：问题识别，分析与综合，制订规格说明，评审。

需求获取及分析的方法：1

访谈与会议2观察用户工作流程3用户和开发人

4

员共同组成联合小组鼓励用户尽早进入软件的编著队伍5分析潜在需求6注

意密切接触一线工作人员7需求变更有纪录

需求分析的写法：引言，一般性描述，特殊需求

技术合同包括主合同和合同附件

招投标的采购方式：政府采购方式，公开招标、邀请招标、竞争性谈判、单一来

源、询价、国务院政府采购监督管理部门认定的其他采购方式

评标方法：最低评标价法、综合评分法、性价比法。

软件项目技术合同的执行过程可以划分为四个阶段，即：合同准备、合同签署、

合同管理与合同终止。

软件项目规划的主要和关键工作就是估算

软件项目规划的目标是提供一个能使项目管理人员对资源、成本和进度作出合理

估算的框架。

项目的估算对象：资源，成本，进度。项目的估算方法：自顶向下，自底向上，

差别估算法

常用的分解技术有LOC和FP

影响软件生产率的因素人的因素，问题因素，过程因素，生产因素，资源因素：

软件开发中遇到的问题：按解决的问题分类：软件开发中遇到的问题主要出现在

三个级别上：程序设计级、系统合成级、项目管理级。

一个团体作为一个小组的必备条件：要完成的任务明确；小组任务，人员，及分

工相互明确；小组必须对它的项目有始终的控制。

建立高效小组的四项基本原则：内聚力，目标，反馈，共同工作框架

开发项目经理的工作：领导小组制定开发策略，领导小组给产品制定规模和时间

估计，领导软件需求细节的开发，领导小组制定高水平的设计，领导小组制定软

件设计细节，领导小组实现产品开发，领导小组制定建立、继承、测试计划，领

导小组测试，制定测试材料，用户文档

技术经理主要工作领导小组决定支持工具，获得工具与设备，主持配置控制委员

会，管理变更，维护系统词汇表，维护小组的问题和风险跟踪，参与开发的文档

报告，安全与技术保密

软件工程标准的层次：国际标准，国家标准:行业标准，企业（机构）标准，项

目（课题）标准

软件不安全表现：1数据被破坏或修改2保密的数据被公开3数据和系统不能为

用户服务或提供高质量的服务

2

怎样编写安全的代码：1使用“安全”的库函数2总是确保做边界检查

安全设计原则：

深度防御、最小特权、从过去的错误中学习、安全是一个特

性、默认安全

软件经济学的进化：1对20世纪60--70年代的前期软件方法，最恰当的描述是

手工艺，每个项目都使用定制的过程和定制的工具（传统经济学）。220世纪

80—90年代末工程更规范，此时软件项目仍然是研究密集型，结果是靠人的创

造力和规模不经济（过渡期的软件经济学）。3下一代软件过程，将向着以自动

化和规模经济为主流的更加产品密集型的方法发展（下一代软件经济学）。

软件经济学的软件成本模型抽象为5个基本参数的函数即规模、过程、人员、环

境和所要求的质量。

效益包括有形效益和无形效益。软件成本由工作量来决定

软件的定价方式取决于公司承接软件的方式：用户定制（委托开发）和通用软件

产品。

软件的高成本风险：1软件产品的成本=不变成本+可变成本=（沉没成本+可转换

成本）+（生产成本+流通成本）。2高沉没成本是软件业的最大风险所在。3软件

的价格=(软件成本+期望利润)/预计销售数量。4判断开发信息产品的风险，主要

看3个因素：不变成本、沉没成本的比例及相对垄断的时间期限。

盗版的经济学解释：1盗版的产生2软件开发成本非常高，复制成本非常低。3

软件行业固定成本不是社会型的，更多的是人力资本型。一个软件企业不需要多

少设备，最大的成本是人力成本。4软件业比传统产业面临更大的盗版侵害问题。

5软件企业一开始就面临劳动力市场上的激烈竞争。

盗版的解决之道:1软件用户分为两类，是服务导向型的用户，个是服务独立型用

户2发展能够赚钱的软件，应该是那些对服务性依赖比较大的。如：财务软件，

杀毒软件。3改善硬件与软件的价值链分配关系4规模销售正版，依靠盗版用

户软件“锁定效应”5提高质量，提高兼容性，加强服务6依靠国家政策、法律，

先解决“集团用户”再解决“个人用户”

CMM将软件机构软件过程的成熟度分为5级：初始级，可重复级，已定义级，

已管理级，已优化级

如何提高软件机构CMM级别：1:不能跳跃成熟度等级，2全部实现每个级别的

关键过程域，3关键实践（对关键过程域起重要作用的方针，规范，措施，活动

以及基础设施的建立）：包括执行约定，执行能力，执行活动，测量和分析，验

证和分析，4关注三个要素：技术，过程和人员

ISO与CMM认证的关系与区别

（1）ISO9000-3是ISO9000系列标准的追加形式，使ISO9001适用与软件开发供

应及维护的指南：全名为《ISO9000-3-97质量管理和质量保证标准-----ISO9001：

1994在计算机软件开发、供应、安装和维护中的应用指南》

ISO与CMM认证的关系

（2）二者范围不同，iso是一个静态的标准，企业只要符合要求条件并通过权威

机构的审核，就可通过认证，证明企业内部管理已达到一定水平，符合标准规范

要求，而cmm不是一套标准，它是专业机构推出的一种参考模型，其作用是评

估软件企业的软件过程成熟度，五个级别就是五个台阶，必须逐步攀登，持续改

进，永不停息

（3）适用范围不同：iso9000通用，而正因为其通用性无法满足软件企业更深

层的专业化管理要求，而cmm是专门针对软件过程的模型，可帮助软件企业、

3

项目组做好关键过程管理

（4）二者相辅相成，前者帮助企业理顺内部管理关系，规范企业的业务运作，

后者具体规范整个企业的软件过程，保证产品在质量，成本，交付期等方面满足

要求。关注cmm可以帮助获得iso9001审核，同样处于cmm初级的企业可通过

借鉴iso9001获得软件过程改善，提高级别。

（5）一个符合iso9001体系的组织不一定满足cmm2的关键过程域，但它会满

足2级和3级的许多要求。由于iso9001没有表述cmm实践，故处于cmm初级

的组织可能获得iso9001认证

（6）处于cmm2以上的组织较容易获得iso9001认证，但一定要重视产品的交

付，安装，使用等问题

一个规模为10KDSI的商