Kompleksiteten i de forretningskritiske applikationer stiger i takt med den teknologiske udvikling. Det offentlige anvender flere og flere applikationer – og samtidig bliver både udviklingen og driften ofte outsourcet. En international teknologivirksomhed med nordisk base i København har specialiseret sig i at analysere og dokumentere kvaliteten og sikkerheden i de mange forskellige IT-løsninger, og kobler dette med specialiseret konsulentviden og rådgivning.
Der er fuld fart på digitaliseringen af den offentlige sektor – og med udviklingen følger en høj vækst i nye digitale løsninger, som ofte bliver mere og mere specialiserede og kræver konstant ny og opdateret viden. En viden, som de offentlige forvaltninger ikke altid kan forventes at være i besiddelse af. De offentlige forvaltninger må derfor i stadig højere grad outsource udviklingen og driften af IT-løsninger til tredjepart, og i denne sammenhæng er det vitalt at sikre, at kvaliteten af de valgte løsninger er tilstrækkelig høj og omkostningseffektiv. Det gør sig også gældende i de tilfælde, hvor det offentlige selv står for driften af en given IT-løsning.
Software Improvement Group (SIG) tilbyder at analysere kvaliteten og sikkerheden i de IT-løsninger, som kunden har valgt enten selv at udvikle eller købe hos en leverandør. Formålet er at sikre lavest mulige vedligeholdsomkostninger, højere sikkerhed – og ikke mindst størst mulig agilitet i løsningen, så tilpasning i forhold til nye lovkrav eller andre integrationer kan foretages hurtigst muligt. SIG tilbyder både enkeltstående analyser og platformen Sigrid, hvor kunderne løbende over en flerårig periode får monitoreret kvaliteten og sikkerheden i deres applikationer, med direkte anvisninger til forbedringer på en række parametre.
Åbner softwaren for at forstå risici
”Vi sammenligner det med at besøge lægen for en kontrol af helbredet. Det er ikke sikkert, at du selv ved, at du fejler noget. Men det kan et lægecheck afsløre, at du gør. På samme måde med vores service. Vi tilbyder at kvalitetskontrollere de mange applikationer, som kunden benytter i det daglige, med henblik på at optimere, give bedre service til kundens brugere og forbedre effektiviteten, forklarer Luc Brandts, CEO for Software Improvement Group, der har hovedkontor i Holland.
”Vi så at sige åbner softwaren for at forstå de risici, der er forbundet med den givne software. Små problemer kan vise sige at være noget, der på sigt er mere alvorligt – som toppen af et isbjerg,” siger Luc Brandts.
Det gør SIG bl.a. ved hjælp af en gigantisk software analysedatabase, som indeholder målepunkter og analyseresultater fra mere end 50 milliarder kodelinjer. Analysen kan føre til identifikation af fejl og mangler ved eksisterende applikationer.
”Det er kun naturligt, at der vil være visse mangler ved en applikation. Det er nærmest umuligt at udvikle en helt fejlfri applikation. Desuden kan der ske ændringer i omgivelserne, der bevirker, at applikationer visse steder er blevet overhalet af udviklingen, uden at applikationen som helhed af den grund dog kan siges at være forældet, understreger Luc Brandts.
Egentlig burde bestræbelserne på at afdække fejl og mangler være en win-win for alle parter. Leverandøren bør være glad for at få påpeget fejl og mangler, så de kan blive udbedret. Og så er der også en anden sidegevinst.
Ravish Gopal, der med base i København er chef for Software Improvement Groups nordiske forretninger. Kontakt: r.gopal@softwareimprovementgroup.com
”Vores indspil i processen hjælper softwareleverandørerne med at underbygge facts og dokumentation i meget specifikke delprocesser overfor deres kunder,” siger Ravish Gopal, der med base i København er chef for Software Improvement Groups nordiske forretninger.
Men analysen har ikke nødvendigvis til hensigt kun at identificere fejl og mangler. Den dybere kiggen-ind i software kan også give indsigter i muligheder ved applikationen, som kunden ikke fuldt ud kapitaliserer på i dag. Den bagvedliggende tanke i forhold til at lade sin software analysere er, at skabe en større indsigt for kunden, således at beslutninger vedrørende løsningen kan tages på et oplyst grundlag. Så hvad end man har til hensigt at tilføje nye funktionaliteter, flytte applikation op i skyen eller øge belastningen, så vil der gennem analysearbejdet være indsigtsfuld viden på plads for at træffe de rette beslutningerne for ledelsen.
Som en hel naturlig og integreret del af softwareudvikling anvendes open source-biblioteker – og ved brugen af disse ligger der potentielle farer og venter, med mindre både kunde og leverandør har en god håndtering af disse. Bag disse 3. parts biblioteker ligger der en licens, som afhængigt af typen kan betyde, at man skal dele sin kode med open source-miljøet – noget som de færreste kunder er interesseret i. Det kræver desuden, at man har processer på plads i forhold til at holde denne type software opdateret, når nye versioner lanceres for eksempelvis at tage højde for sikkerhedsbrister.
Vigtigt med bedre IT-governance
Et andet aspekt af den stadige (og nødvendige) outsourcing til tredjepart, er, styrkeforholdet mellem kunden (det offentlige) og leverandøren risikerer at tippe over i sidstnævntes favør. Det er ikke så godt for IT-governancen. Også derfor er det af værdi for kunden at benytte en uafhængig bistand.
”Med outsourcingen af drift af IT-systemer følger nærmest uundgåeligt også en outsourcing af viden. Du kan sige, at det er tabet af denne viden, vi forsøger at kompensere for, og rådgive ud fra,” siger Ravish Gopal.
”Brugen af vores viden skulle gerne i den sidste ende føre til højere kvalitet i løsningerne, der kan udføres billigere og hurtigere til gavn for skatteborgerne og samfundet som helhed,” slutter Ravish Gopal.
Eksempler på opgaver, Software Improvement Group, har løst for offentlige kunder i Danmark:
Monitorering af kvalitet af IT-løsninger
En dansk offentlig ejet organisation monitorerer kvaliteten af dets IT-løsninger til markedet med SIG’s Software Assurance platform; Sigrid. Sigrid og rådgivningen fra SIG er vigtige parameter i de udviklingsforløb, som er igangværende for at have en dyb indsigt og kunne indgå i en dialog med leverandører om kodekvalitet, arkitektur-beslutninger og kompleksitet med mere. Disse parametre har en afgørende rolle i de digitale løsningers levetid lige fra kravspecificering og udbud til endelig implementering, og hjælper til at sikre lavest mulige vedligeholdsomkostninger og bedst mulige agilitet i softwaren. Derved kan ændringer implementeres hurtigere og mere optimalt end for software med en lavere kvalitet.
Gennemgribende kvalitetsanalyse
SIG har gennemført en gennemgribende kvalitetsanalyse hos en dansk statslig organisation på én af dens kerneapplikationer i forbindelse med et udbud på vedligehold og videreudvikling af applikationen. For kunden betød analysen, at de fik et præcist billede af applikationens tilstand i forhold til en lang række parametre herunder kode kvaliteten, arkitekturen, cloud-readiness med mere. Et andet aspekt i analysen var at vurdere hvor nemt eller udfordrende det ville være, at overføre viden om og indsigt i applikationen, hvis udbuddet blev vundet af en anden virksomhed end den, som havde ansvaret for den før udbuddet. Med analysen i hånden havde kunden endvidere værdifuld viden som kunne vedlægges i udbuddet, således at alle bydende virksomheder ville have samme indsigt i den pågældende applikation.
Monitorerer portefølje af samfundskritiske systemer
En dansk statslig organisation monitorerer med SIG’s Software Assurance platform; Sigrid, kvaliteten af en portefølje af samfundskritiske systemer, som udvikles og drives af eksterne leverandører. Kunden er organiseret således at denne er kravstiller, mens leverandører gennem udbud udvikler og driver systemerne. For kunden er monitoreringen af kodekvaliteten med mere en vigtig parameter for at have indsigt i systemernes tilstand og om de udvikles i den kvalitet, som er aftalt og forventet.
Monitoreringen med Sigrid fungerer derfor som et værktøj, der kan påpege udfordringer i applikationerne for både kunden og dennes underleverandører – og dermed også som et værktøj, som skaber et objektivt fundament for dialog mellem kunde og leverandør på baggrund af aftalte kvalitetsmål.
Sigrid
Sigrid kombinerer kodeanalyse baseret på ISO 25010 (software produkt kvalitet) med SIG-konsulenternes ekspertise til at komplementere platformens kontinuerlige monitorering af byggekvaliteten i software, herunder arkitektur, vedligeholdelsesgraden, sikkerhed og agilitet. Platformen gør det muligt, at have én kilde til information om kvalitet og risici i applikationsporteføljen, således at CIO’en, produkt-ejeren, arkitekten og udvikleren (leverandøren) har samme grundlag at arbejde med – og samarbejde ud fra. Offentlige kunder i Danmark kan få adgang til Sigrid via SKI’s rammeaftale; 02.06 standardsoftware.
