Comments 15
Понимания все же зачем это нужно, хотелось бы представлять стоимость такого аудита, по отношению к стоимости разработки проекта. По описанию выглядит, что аудит стоит примерно процентов 50 от разработки, судя по описанным косякам. А реальности какой процент?
к сожалению, стоимость разглашать не можем (в процентном соотношении это куда меньше). Но вот если говорить про сроки, то потратили около 2,5 месяцев.
Стоимость не нужно. Нужно какой процент стоимость аудита состовляет от стоимости проекта. Потому что если это 50%+ то его смысл от меня ускользает. Учитывая, что судя по всему по результатам аудита нужно еще добаить +50% к стоимости проекта. А вот если это 10% от стоимости проекта, то класс - можно к вам обращаться. Опять же вот эти 2.5 месяца по отношению к времени разработки проекта - какое отношение? Если проект делался 2.5 месяца и аудит делался 2.5 месяца - то опять же смысл в аудите не понятен. А если проект делался 2.5 года и вы сделали на него аудит за 2.5 месяца - вы молодцы, можно к вам обращаться.
Хорошо Аудит, кто проверяет исправления? или это уже новый аудит?
Аудит же предоставляет рекомендации к исправлениям, ну а разработчики имеют право сопротивляться и оспаривать. Смысл аудита не в "накосячить еще на один аудит", а исключить косяки и помочь исправлять уже существующие. И, да, у аудитора нет выгоды в "накосячить еще больше".
После аудита мы связывались с разработчиками чтобы обсудить рекомендации, интересующие вопросы и т.д.
Вы не ответили, вы принимаете исправления? Или это не включено?
Если вы имеете ввиду, исправляем ли мы чужие косяки, то да, но это уже не аудит, а разработка. Аудит подразумевает "найти" любой косяк, а не "решить" его. Все зависит от договоренности: если клиент уволил первого разработчика и договорился с аудиторами на переоформление работы - то да, конечно.
Я имею ввиду проверить работу над ошибками. Найти ошибку это одно, а проверить, что ее исправили это другое.
Понял. Да, проверка по исправлению возможна, только уже в последующем аудите, то есть новом. Первый, изначальный, подразумевает только "найти" ошибки уже существующие, а не то, как их подлатали после тыка на них.
Но, предполагаю, что бывает и тот случай, когда договоренность есть и на последующую проверку по исправлению в контексте изначального аудита. В общем, это уже индивидуально все, а так, как и писал ранее, - аудит проверяет, разработчик исправляет, а аудитор в дальнейшем готовит новый аудит, если он требуется.
*Для избежания подобных косяков нужна изначально хорошая команда, кьюа-ребята, ну и внимательность, конечно. Но у любого проекта есть некая требовательность к аудиту, особенно в случае масштабирования крупного, который по срокам и деньгам весит прилично.
Какие языки знаете? Уровень знания?
У хороших сайтов после третьей попытки будет вылетать капча или как-то блочиться юзер на n-минут, а у плохих нет, что фактически означает то, что можно будет подобрать пароль к аккаунту),
Уровень знания информационной безопасности? Забыли шифрование баз, хранение ключей и ...
SonarQube можно развернуть в бесплатной версии, прогнать проект и получить почти ту же информацию самим разработчикам. У меня был опыт экспресс аудита Big Data системы от подрядчика за полтора дня, где были тесты без assert и куча закоментированных участков кода. После четких цифр, их PM прям проникся уважением. На их проекте команда разбегалась и собиралась новая(могу даже понять их почему).
И был опыт когда мой проект проходил дорогой аудит у одной индийской компании, вот тут SonarQube(который и так был мной интегрирован в CI сборку) и статический анализ кода IntelliJ Idea справился лучше их изысканий длиной в месяц. Все общение сводилось к парированию ложноположительного срабатывания анализатора)
Есть аудиты с целью реально помочь, а есть с целью потратить деньги организации.
ЗаDRY-ли ценой связанности? Вынесли все в общий "клей"-функционал? :)
Разработка документированного кода очевидно стоит дорого потому что на коменты нужно потратить время + время на тесты + время на архитектуру + время на ER диаграмму и что-то из полезного. Очевидно что стоимость разработки будет 3N x 3. А если за это не платили и ждать собственного нечего. В коммерческой разработке всегда так.
Как мы заKISSили и заDRYили огромный аудит 🫠