WEB·攻城志

软件项目交付相关国家标准规范文件下载：

1、GB/T 8567-2006 计算机软件文档编制规范文件

2、GB/T 28035-2011 软件系统验收规范文件  在线预览

3、GB/T 9385-2008 计算机软件需求规格说明规范文件   在线预览

4、GB/T 15532-2008 计算机软件测试规范  在线预览

5、GB/T 9386-2008 计算机软件测试文档编制规范  在线预览

6、GB/T 38634.3-2020 系统与软件工程 软件测试 第3部分：测试文档   在线预览

7、GB/T 25070-2019 信息安全技术 网络安全等级保护安全设计技术要求  在线预览

ITTO是一种输入输出工具法，类似于思维导图。用于项目管理中各种工作内容的计划的过程梳理，能够帮助人们在工作中理清工作思路，做好项目中的优先级排序。ITTO在《PMBOK®指南》中有很多应用。

项目中，一个生产阶段的质量管理，用ITTO工具分析的过程如下：

1、先输入，输入质量管理计划;输入项目文件，包括教训经验登记册、质量控制测量结果、质量测量指标、风险报告;输入组织过程资产。

2、然后再使用工具与技术，包括数据搜集、数据分析、数据图表表现、决策、审计、质量改进的方法。

3、最后就是输出，输出质量报告、记录风险登记册、更新项目管理计划等。

质量成本（cost of quality）指项目生命周期中，为防止项目产品不符合要求、评估产品或服务是否符合要求以及因未达到要求而发生的所有成本。

一致性成本（cost of conformance），该成本是预防出现质量问题所花费的成本，在缺陷实际发生之前支出，用于产品或服务的质量与要求或规范一致而付出的成本。

非一致性成本（cost of non-conformance），是由于项目执行实际已经出现产品或服务的质量与要求或规范不一致而造成的成本支出，如需要返工、报废，因质量问题客户要求赔偿、保修或因此而导致失去相关业务造成的损失。

引用：

PMP-质量成本：一致性成本和非一致性成本对比

项目进度管理包含以下六个过程

1. 规划进度管理
   制定进度管理计划，通过制定政策、程序和文档等方式，规定如何开展进度管理的其他五个过程，为如何管理项目进度提指指南和方向。
   本过程输出进度管理计划，包括规定、制度及要求，详细阐述进度如何管理的问题，通常包括以下内容：
   1）项目进度模型制定（甘特图/燃尽图）
   2）进度计划发布长度和迭代长度
   3）准确度、计量单位、组织程序链接、项目进度模型维护、控制临界值、报告格式、过程描述
   4）绩效测量规则：确定完成百分比的规则、拟用的挣值测量技术（基准法、固定公式法、完成百分比法等）、进度绩效测量指标（SV、SPI）
2. 定义活动
   识别为完成项目所必须要开展的具体活动，将工作包分解为活动（工作分解得到的是成果，只有再分解为实现成果而要进行的活动，才能够更加准确地为活动匹配资源），作为项目进行估算、进度规划、执行、监督和控制的基础。
3. 排列活动顺序
   记录活动之间的关系和顺序，定义活动之间的逻辑顺序，以便在既定的所有项目制约因素下获得最高效率。
   通常使用单代号网络图或双代号网络图工具来排列活动顺序。
4. 估算活动持续时间
   估算完成单个活动所需要的时间。
5. 制定进度计划
   制定出进度表，即进度计划文件，经过签字确认的进度计划表即项目计划的进度基准，作为整个项目进度管理的标尺。
6. 控制进度
   控制和管理项目进度计划安排、基准变更、更新状态，在整个项目期间保持对进度基准的维护。

项目范围管理的工作内含是确保项目做且只做成功完成项目所需的全部工作，它涉及两个范围，即产品范围（结果产出）和项目范围（过程）。

产品范围：定义某项产品、服务或成果所具有的特征和功能

项目范围：为交付具有规定特性与功能的产品、服务或成果而必须完成的工作。项目范围有时包括产品范围。

项目范围管理包含以下六个过程 阅读全文…

敏捷方法（Agile）

四个价值观

1. 个人与互动胜于过程和工具
2. 可用的软件胜于复杂的文档
3. 与客户协作胜于合同谈判
4. 相应变更胜于遵循计划

十二条原则

1. 我们的最高优先级任务是通过尽早交付有价值的软件满足客户的需要
2. 即便到了开发的后期也要欢迎需求变更
3. 经常交付可工作软件，交付周期从几星期到几个月不等，时间间隔超短越好
4. 业务人员和开发人员必须自始至终共同完成项目的日常工作
5. 围绕积极的个体构建项目，给他们所需要的支持和环境，相信他们能够完成工作
6. 面对面交谈是开发团队中最有效的信息交流方式
7. 可工作的软件是项目进展状况的主要度量
8. 敏捷过程提倡可持续的系统开发，发起人、开发者及用户能不断维持稳定步调
9. 对卓越技术和良好设计的持续关注有助于提高项目的敏捷性
10. 简化是致关重要的
11. 最佳的构架、需求和设计源于自我管理的团队
12. 在有规律的时间间隔中项目团队要思考如何提高后面的工作效率，然后相应地调整自己的行为

SMART 原则：

1. Specific 具体的
2. Measurable 可测量的
3. Achievable 可实现的
4. Relevant 相关联的
5. Time Bond 有期限的

启用SSL已经有段时间了，使用的是 Let’s Encrypt 免费证书，除了需要每季度更新一次维护外，一切正常使用，包括WEB和iOS，因为历史原因Android还没有完全切到HTTPS协议，也正因为漏掉Android这一块无意间避过了中间证书的问题，一直到微信小程序开发过程中发现接口访问报 request fail 错误，由此填坑的过程揭开SSL中间证书的面纱

先来认识一下中间证书

中间证书，其实也叫中间CA（中间证书颁发机构，Intermediate certificate authority, Intermedia CA），对应的是根证书颁发机构（Root certificate authority ，Root CA）。为了验证证书是否可信，必须确保证书的颁发机构在设备的可信 CA 中。SSL的验证机制是由一级一级追溯验证，当前CA不可信则向上层CA验证，直到发现可信或没有可信CA为止，注意有时候Intermedia CA也有可能在设备的可信CA中，这样不用一直追溯到Root CA，即可认证完成。

根证书，必然是一个自签名的证书，“使用者”和“颁发者”都是相同的，所以不会进一步向下检查，如果根 CA 不是可信 CA ，则将不允许建立可信连接，并提示错误。

一般Root CA是要求离线保存的，如果要签发证书也是通过人工方式签发，这样能最大程序保证Root CA的安全，而Intermedia CA则相对宽松，允许在线签发证书的，这样方便高效，安全性灵活，即便通过Root CA签发的Intermedia CA发生意外泄露，也可以通过Root CA进行撤销

中间证书的运行机制
阅读全文…

运行在后台，每天不动声色地完成工作，完美的解决备份、同步问题，这个就是 Resilio Sync，文件同步软件，从第一次接触到现在就一直默默地帮我们完成文件同步。然而最近因为『众所周知的原因』我们要跟它说再见了 阅读全文…

大家都知道网站启用SSL数字证书后使用HTTPS协议可以保证服务器与浏览器端数据加密，但与此同时不可避免另外一个问题，总存在部分用户会直接输入域名的方式访问网站，默认浏览器是使用HTTP协议访问网站的，此时即便网站启用了SSL数字证书，此时用户与服务器端的数据交互仍然使用的是明文传输方式，用户数据得不到保护，因为SSL数字证书没有生效。

可能你会说那不如直接关闭80端口吧（好吧，如果你是API等后台服务大可不必考虑前台用户访问的问题）或HTTP访问的时候直接跳转到HTTPS协议吧（直接跳转其实也存在『中间人』攻击风险），其实这个问题有更好的方案，这就是下面要介绍的

HSTS（HTTP Strict Transport Security），它是一个Web安全策略机制（web security policy mechanism），它通过服务器为HTTP响应增加如下一个Header 来让浏览器强制使用HTTPS与网站进行通信，以减少会话劫持风险：

Strict-Transport-Security:max-age=63072000; includeSubdomains; preload

只要在服务器返回给浏览器的响应头中，增加 Strict-Transport-Security这个HTTP Header 浏览器都将直接强制性的发起HTTPS请求，现在访问机制如下

阅读全文…