M16 verplaatst naar het hoofdstuk met productmaatregelen. Closes #808.

ICTU · Nov 16, 2023 · e20c008 · e20c008
1 parent 51240ec
commit e20c008
Show file tree

Hide file tree

Showing 5 changed files with 33 additions and 30 deletions.
diff --git a/Content/Maatregelen/M16/Definitie.md b/Content/Maatregelen/M16/Definitie.md
@@ -1,6 +1,6 @@
 <!-- begin: measure composite=true -->
 **$M16$**
-ICTU stelt het gebruik van tools verplicht voor:
+ICTU stelt het gebruik van tools verplicht voor de volgende taken:
 
 1. backlog management en agile werken,
 2. inrichten en uitvoeren van een continuous delivery pipeline,
@@ -11,10 +11,13 @@ ICTU stelt het gebruik van tools verplicht voor:
 7. maken van kwaliteitsrapportages,
 8. controleren van de configuratie op aanwezigheid van bekende kwetsbaarheden,
 9. controleren van door de applicatie gebruikte versies van externe software op aanwezigheid van bekende kwetsbaarheden,
-10. controleren van de software op aanwezigheid van kwetsbare constructies,
-11. controleren van container images op aanwezigheid van bekende kwetsbaarheden,
-12. testen van performance en schaalbaarheid,
-13. testen op toegankelijkheid van de applicatie,
-14. produceren van een "software bill of materials" (SBoM) en
-15. opslaan van artifacten.
+10. statische controle van de software op aanwezigheid van kwetsbare constructies,
+11. dynamische controle van de software op aanwezigheid van kwetsbare constructies,
+12. controleren van container images op aanwezigheid van bekende kwetsbaarheden,
+13. testen van performance en schaalbaarheid,
+14. testen op toegankelijkheid van de applicatie,
+15. produceren van een "software bill of materials" (SBoM),
+16. opslaan van artifacten,
+17. registratie van incidenten bij gebruik en beheer, en
+18. bij het uitvoeren van operationeel beheer; uitrollen van de software in de productieomgeving.
 <!-- end: measure -->
diff --git a/Content/Maatregelen/M16/Maatregel.md b/Content/Maatregelen/M16/Maatregel.md
@@ -6,24 +6,24 @@ Onder het ondersteunen van "agile werken" vallen het opvoeren van eisen, het opv
 
 ICTU adviseert en ondersteunt voor de genoemde taken onderstaande tools. Projecten gebruiken deze tools, of gelijkwaardige alternatieven:
 
-1. Backlogmanagement en agile werken: Azure DevOps of Jira,
-2. Continuous delivery pipeline: Jenkins, GitLab CI/CD (Continuous Integration, Delivery, and Deployment) of Azure DevOps,
-3. Kwaliteit van broncode: SonarQube,
-4. Versiebeheer: GitLab of Azure DevOps,
-5. Release van software: Releaseserver in het ontwikkelplatform,
-6. Testrapportages: JUnit, Robot Framework, TestNG, of hiermee compatible tools,
-7. Kwaliteitsrapportages: Quality-time,
-8. Kwetsbaarheden in configuratie: OpenVAS (Vulnerability Assessment System),
-9. Kwetsbaarheden in externe software: OWASP (Open Web Application Security Project) Dependency Checker,
-10. Kwetsbaarheden in software (statische analyse): SonarQube,
-11. Kwetsbaarheden in software (dynamische analyse): OWASP ZAP (Zed Attack Proxy),
-12. Kwetsbaarheden in container images: Trivy,
-13. Performancetesten en performancetestrapportages: JMeter en Performancetestrunner,
-14. Toegankelijkheid: Axe,
-15. Software bill of materials: tools die een SBoM in CycloneDX-formaat (zie https://cyclonedx.org) genereren,
-16. Artifact repository: Nexus of Harbor,
-17. Registratie van incidenten bij gebruik en beheer: Jira,
-18. Bij het uitvoeren van operationeel beheer; uitrollen in de productieomgeving: Ansible.
+1. backlog management en agile werken: Azure DevOps of Jira,
+2. inrichten en uitvoeren van een continuous delivery pipeline: Jenkins, GitLab CI/CD (Continuous Integration, Delivery, and Deployment) of Azure DevOps,
+3. monitoren van de kwaliteit van broncode: SonarQube,
+4. versiebeheer van op te leveren producten: GitLab of Azure DevOps,
+5. release van software: Releaseserver in het ontwikkelplatform,
+6. maken van testrapportages: JUnit, Robot Framework, TestNG, of hiermee compatible tools,
+7. maken van kwaliteitsrapportages: Quality-time,
+8. controleren van de configuratie op aanwezigheid van bekende kwetsbaarheden in configuratie: OpenVAS (Vulnerability Assessment System),
+9. controleren op aanwezigheid van bekende kwetsbaarheden in externe software: OWASP (Open Web Application Security Project) Dependency Checker,
+10. statische controle van de software op aanwezigheid van kwetsbare constructies: SonarQube,
+11. dynamische controle van de software op aanwezigheid van kwetsbare constructies: OWASP ZAP (Zed Attack Proxy),
+12. controleren van container images op aanwezigheid van bekende kwetsbaarheden: Trivy,
+13. testen van performance en schaalbaarheid: JMeter en Performancetestrunner,
+14. testen op toegankelijkheid van de applicatie: Axe,
+15. produceren van een "software bill of materials" (SBoM): tools die een SBoM in CycloneDX-formaat (zie https://cyclonedx.org) genereren,
+16. opslaan van artifacten: Nexus of Harbor,
+17. registratie van incidenten bij gebruik en beheer: Jira, en
+18. bij het uitvoeren van operationeel beheer; uitrollen van de software in de productieomgeving: Ansible.
 
 ### Rationale
 

diff --git a/Content/Wijzigingsgeschiedenis.md b/Content/Wijzigingsgeschiedenis.md
@@ -6,7 +6,7 @@
 * In M01 "Het project levert in elke fase vastgestelde producten en informatie op": De testplannen uitgesplitst naar MTP en detailtestplannen zodat deze apart kunnen worden ingevuld in de self-assessment. Onder het kopje Vrijgaveadvies, opgenomen dat het de verantwoordelijkheid van de opdrachtgever is om te organiseren dat betrokken partijen informatie aanleveren voor het vrijgaveadvies.
 * De titel van maatregel M02 is veranderd van "Het project zorgt dat het product continu aan de kwaliteitsnormen voldoet" in "Het project bewaakt continu dat het product aan de kwaliteitsnormen voldoet". Continue aan alle kwaliteitsnormen voldoen is in de praktijk onmogelijk (zie ook M08 "Het project maakt technische schuld inzichtelijk en lost deze planmatig op"). Hiermee is de overlap met M06 "Het project meet kwaliteitsnormen geautomatiseerd en frequent" zo groot dat deze laatste maatregel is komen te vervallen.
 * In maatregel M14 "Het project bereidt samen met opdrachtgever en belanghebbenden de realisatie voor" toegevoegd dat bij significante wijzigingen aan de projectkader de voorfase geheel of deels opnieuw wordt uitgevoerd.
-* In maatregel M16 "Het project gebruikt tools voor vastgestelde taken" toegevoegd dat projecten de genoemde tools *of gelijkwaardige alternatieven* gebruiken. Verder GitLab SAST verwijderd uit de lijst van tools en SonarQube en OWASP ZAP over twee regels verspreid zodat ze apart kunnen worden ingevuld in de self-assessment.
+* In maatregel M16 "Het project gebruikt tools voor vastgestelde taken" toegevoegd dat projecten de genoemde tools *of gelijkwaardige alternatieven* gebruiken. Verder GitLab SAST verwijderd uit de lijst van tools en SonarQube en OWASP ZAP over twee regels verspreid zodat ze apart kunnen worden ingevuld in de self-assessment. Daarnaast M16 verplaatst naar het hoofdstuk "Producten".
 * De scope van maatregel M29 "ICTU zorgt dat een project verantwoord kan starten" gereduceerd tot het organiseren van de interne dienstverlening voor aanvang van een project en de titel hieraan aangepast: "ICTU organiseert voor aanvang van een project de interne dienstverlening".
 * De naam van maatregel M31 "Het project beschikt over vastgestelde informatie" veranderd in "Het project beschikt over actuele vastgestelde informatie" en de tekst van de maatregel hieraan aangepast.
 * Maatregel M35 "Het project hanteert een agile architectuuraanpak" toegevoegd.

diff --git a/DocumentDefinitions/Kwaliteitsaanpak/ICTU-Kwaliteitsaanpak-samenvatting.md b/DocumentDefinitions/Kwaliteitsaanpak/ICTU-Kwaliteitsaanpak-samenvatting.md
@@ -28,6 +28,8 @@ Hieronder zijn alle maatregeldefinities uit de Kwaliteitsaanpak opgenomen. Zie d
 
 #include "Content/Maatregelen/M07/Definitie.md"
 
+#include "Content/Maatregelen/M16/Definitie.md"
+
 #include "Content/Maatregelen/M08/Definitie.md"
 
 #include "Content/Maatregelen/M26/Definitie.md"
@@ -46,8 +48,6 @@ Hieronder zijn alle maatregeldefinities uit de Kwaliteitsaanpak opgenomen. Zie d
 
 #include "Content/Maatregelen/M10/Definitie.md"
 
-#include "Content/Maatregelen/M16/Definitie.md"
-
 #include "Content/Maatregelen/M28/Definitie.md"
 
 #include "Content/Maatregelen/M30/Definitie.md"

diff --git a/DocumentDefinitions/Kwaliteitsaanpak/ICTU-Kwaliteitsaanpak.md b/DocumentDefinitions/Kwaliteitsaanpak/ICTU-Kwaliteitsaanpak.md
@@ -22,6 +22,8 @@
 
 #include "Content/Maatregelen/M07/Maatregel.md"
 
+#include "Content/Maatregelen/M16/Maatregel.md"
+
 #include "Content/Maatregelen/M08/Maatregel.md"
 
 #include "Content/Maatregelen/M26/Maatregel.md"
@@ -40,8 +42,6 @@
 
 #include "Content/Maatregelen/M10/Maatregel.md"
 
-#include "Content/Maatregelen/M16/Maatregel.md"
-
 #include "Content/Maatregelen/M28/Maatregel.md"
 
 #include "Content/Maatregelen/M30/Maatregel.md"