レトロスペクティブサマリー

レトロスペクティブ

このページには、Secure::static analysis グループが実施したレトロスペクティブのエグゼクティブサマリーが掲載されています。これらのサマリーの目的は、レトロスペクティブのプロセスで得られた教訓を外部に共有することです。

社内のレトロスペクティブドキュメントへのアクセスは、チームと直接の関係者のみに限定されています。

17.0

このマイルストーンでは、各種 SAST アナライザーから semgrep ベースのアナライザーへの機能の非推奨化と移行に焦点を当てました。

このマイルストーンでは、以下の懸念事項が(順不同で)提起されました:

  1. マイルストーンの最終段階で失敗した QA プロセスへの認識不足が混乱を招いた。

  2. sast-rules と semgrep のペアのリリースプロセスが煩雑であり、効率化が必要である。

  3. 実装計画がマイルストーン中に更新されておらず、レビュープロセスで不必要な困難を引き起こした。

議論の中で提起された具体的な改善策:

  1. semgrep と sast-rules のリリースの複雑さを軽減するためのメンテナンスタスクを実施する。

  2. 実装計画に対して厳格なレビュープロセスを適用し、MVC 原則 をより頻繁に参照する。

17.1

このマイルストーンでは、IDE での SAST とさまざまなメンテナンスタスクに焦点を当てました。レトロスペクティブの議論では、以下の点が提起されました:

  1. 週次チームミーティングの形式が非効率である。2 回目のミーティングは 1 回目と同じ議論を繰り返すことが多い。これに対処するため、ミーティングの形式を変更し、次のタイムゾーンでさらに議論が必要な「キャリーオーバー」アイテムを含めることにした。それ以外のアイテムはすべて読み取り専用としてマークされる。

  2. 脆弱性の処理に関するポリシーが不明確である。これを改善するため、必要な手順を詳述したランブックを作成する。

17.2-17.3

これらのマイルストーンでは、チームは IDE での SAST の作業を継続しました。レトロスペクティブは 1 つの主要な項目に焦点を当てました:

  1. ブロッカーをどのように提起し、どのように対処すべきかについて議論しました。状況をより適切に反映できるよう、スタンダップの形式をより簡潔にし、引き続き状況を監視することにしました。
最終更新 May 6, 2026: Merge pull request #100 from kyama0/fix/upload-images-tolerate-upstream-missing (70970e1a)
ページのソースコードを見る - ページの編集 - please contribute. Creative Commons License