---

Hej Ng
Er der nogen der kan hjælpe med subj.?
(hvis emnet er OT, så ville jeg sætte pris på et venligt hint om hvor det så
hører hjemme..)

Jeg arbejder i en større organisation hvor vi er ved at nyudvikle et stort
system (5000 brugere, 24 timers drift, oppetid så tæt på de 100% som det
overhovedet er muligt).

Det meste af udviklingsarbejdet er lagt ud til eksterne leverandører,
men vi er en lille enklave der arbejder med lidt af udviklingen, og test.
Indtil nu har vi kørt dette i et separat testmiljø, driftsenheden er ikke
klar endnu.
Men nu er der forslag om at lægge testmiljøet over på en af de to
produktionsservere i løbet af det næste halve år.

Umiddelbart synes jeg det lyder ret vanvittigt at køre test og produktion på
samme server (Unix, med egen partition til test), men muligvis er jeg bare
paranoid
Vi skal anstrenge os for at få testmaskinerne til at gå helt ned (det er
ikke sket endnu), men muligheden er der, og vi har da været nødt til at
genstarte.
Og vi regner med at videreudvikle og ditto teste de næste 3-4 år. Mindst.

Nogen der har en holdning til ovenstående (gerne med henvisninger til
officielle rapporter eller lignende), eller praktiske erfaringer???

Mvh Mona

-fjern x og z i mailen, hvis...

---

"Mona F. Holm" wrote:

> Umiddelbart synes jeg det lyder ret vanvittigt at køre test og produktion på
> samme server (Unix, med egen partition til test), men muligvis er jeg bare
> paranoid --

Hej

Det kommer vel an på hvad du mener med egen "partition". Hvis det f.eks. er en
Linux "partition" på en S/390 maskine, kan man vel adskille partitionerne og
genstarte uden det berører andre partitioner, men hvis det du mener er en test
database på en produktions maskine, så er det en anden sag.

Grundlæggende kommer det vel an på, hvor meget en "oppetid tæt på 100%" er værd
i forhold til prisen på et testsystem. Egentligt kan man vel lave en kvantitativ
risikoanalyse på hændelsen: Testsystemet forårsager fejl, så man skal genstarte
systemet.

Analysen vil omfatte:

Hvad er sansynligheden for at hændelsen indtræffer?
Hvad er frekvensen?
Hvor længe vare nedbruddet ?
Hvormange brugere er berørt af hændelsen?
Hvormeget er brugerne berørt?
Hvad er prisen per år per bruger (timeløn, forretningstab, imagetab)?
Hvad er den samlede årlige udgift?

Og hvad betyder det så i forhold til anskaffelse af testmiljø.




Med venlig hilsen

Lars P. Møller

Ringvænget 1A
8722 Hedensted
Tlf. 22 49 97 58 - 76 74 04 14
mailto://larsmo@post3.tele.dk
http://www.wmsecurity.dk

---

On Mon, 10 Sep 2001 13:02:49 +0200 skrev "Mona F. Holm"
<mfxh@poszt8.texle.dk> ...:

>Hej Ng
>Er der nogen der kan hjælpe med subj.?
>(hvis emnet er OT, så ville jeg sætte pris på et venligt hint om hvor det så
>hører hjemme..)

Passer fint herinde !

>Jeg arbejder i en større organisation hvor vi er ved at nyudvikle et stort
>system (5000 brugere, 24 timers drift, oppetid så tæt på de 100% som det
>overhovedet er muligt).
>
>Det meste af udviklingsarbejdet er lagt ud til eksterne leverandører,
>men vi er en lille enklave der arbejder med lidt af udviklingen, og test.
>Indtil nu har vi kørt dette i et separat testmiljø, driftsenheden er ikke
>klar endnu.
>Men nu er der forslag om at lægge testmiljøet over på en af de to
>produktionsservere i løbet af det næste halve år.

I mine øjne er det ikke klogt at lægge test og prod miljøer på samme
server. Er der tale om 'virtuelle' linuxboxe på en S/390 ville jeg
ikke være nervøs, men det fornemmer jeg ikke vi taler om.

>Umiddelbart synes jeg det lyder ret vanvittigt at køre test og produktion på
>samme server (Unix, med egen partition til test), men muligvis er jeg bare
>paranoid

Spørgsmålet er ikke om du er paranoid...men om du er paranoid NOK !

>Vi skal anstrenge os for at få testmaskinerne til at gå helt ned (det er
>ikke sket endnu), men muligheden er der, og vi har da været nødt til at
>genstarte.
>Og vi regner med at videreudvikle og ditto teste de næste 3-4 år. Mindst.
>
>Nogen der har en holdning til ovenstående (gerne med henvisninger til
>officielle rapporter eller lignende), eller praktiske erfaringer???

Er der tale om fysiske servere, bør en organisation med den størrelse
jeg fornemmer du sidder i kunne levere en testserver dedikeret til
testformål (men evt. med et dummy prodmiljø kørende for at se om
miljøerne KAN blandes). Alt andet ville i mine øjne være at spare en
skilling og lade dalerne rulle...

Martin

---

Mona F. Holm <mfxh@poszt8.texle.dk> wrote:
> Er der nogen der kan hjælpe med subj.?
> (hvis emnet er OT, så ville jeg sætte pris på et venligt hint om hvor det så
> hører hjemme..)

Spoergsmaalet lader til at handle om sikkerhedspolitik med en lille
komponent af quality assurance. Jeg ved ikke om QA hoerer til i
dk.edb.programmering?

> Det meste af udviklingsarbejdet er lagt ud til eksterne leverandører,
> men vi er en lille enklave der arbejder med lidt af udviklingen, og test.
> Indtil nu har vi kørt dette i et separat testmiljø, driftsenheden er ikke
> klar endnu.
> Men nu er der forslag om at lægge testmiljøet over på en af de to
> produktionsservere i løbet af det næste halve år.

Hvis der ikke allerede findes regler i jeres virksomhed der daekker disse
omraader vil du nok faa meget svaert ved modsaette dig det. I stedet for at
finde paa en acceptabel loesning for hver eneste tilfaelde af disse skal man
have et dokument som bliver fulgt.

Der er forskel paa den sikkerhedsklassificering og lovmaessige hensyn der
laegges paa data der maa bruges i hhv. udvikling, test og produktion. Der er
f.eks. krav til hvordan man behandler kundedata. Ligeledes vil jeg gaette
at der internt i virksomheden findes interesser som vil vaere imod at en
haandfuld udviklere og maaske en stoerre samling testere faar adgang til
hvad data det nu er I arbejder med.

> Nogen der har en holdning til ovenstående (gerne med henvisninger til
> officielle rapporter eller lignende), eller praktiske erfaringer???

En ret vigtig kilde kunne her vaere Registerloven[1] og jeg kunne levende
forestille mig at baade ISO 9001 og CMM[2] har relevante beskrivelser af
omraader der vedkommer denne situation -- men det kommer an paa hvilket
miljoe det drejer sig om.

Hvis det drejer sig specifikt om software testing kan [3] maaske vaere en
inspiration, men ellers er du velkommen til at kigge paa [4] hvor jeg linker
til baade QA og sikkerhedssites.


[1] http://www.drs.dk/lovgivning/registerlov.htm
[2] http://www.sei.cmu.edu/cmm/cmm.html
[3] http://www.usenix.org/events/usenix-win2000/invitedtalks/lucovsky_html/
[4] http://a.area51.dk/recommended
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Hej a@area51.dk (Alex Holst)

>En ret vigtig kilde kunne her vaere Registerloven[1]

Hvis jeg ikke husker meget galt er den erstattet med noget nyt.

--
Lars Kim Lund
http://www.net-faq.dk/

---

Lars Kim Lund <larskim@mail.com> wrote:
>>En ret vigtig kilde kunne her vaere Registerloven[1]
>
> Hvis jeg ikke husker meget galt er den erstattet med noget nyt.

Hm, jeg har vaeret vaek i for lang tid. Hvad hedder afloeseren?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

a@area51.dk (Alex Holst) skrev i <slrn9ps7t1.2cqp.a@C-Tower.Area51.DK>:

>Lars Kim Lund <larskim@mail.com> wrote:
>>>En ret vigtig kilde kunne her vaere Registerloven[1]
>>
>> Hvis jeg ikke husker meget galt er den erstattet med noget nyt.
>
>Hm, jeg har vaeret vaek i for lang tid. Hvad hedder afloeseren?

Vistnok "loven om persondata"

Den gør bla. at man skal have tilladelse fra personer for at man må
offentliggøre adresse og telefon nummer.