您的更改控制流程是否对更改请求者和/或实现者进行评分？

Question

从全新的系统部署到电缆补丁，您的组织是否有一个变更流程，将每一个变更正规化？

如果是这样的话，你的过程会根据他们的优秀程度对那些要求改变的人或者/或者那些正在进行这些改变的人进行评分吗？如果是的话，你觉得怎么样-有什么建议吗？如果不是，你认为这是个好主意吗？

我们有一个过程，但是每个更改都会受到相同的检查，不管请求者/实现者以前有多小或者有多安全--我想改变这一点，但我想看看您是否遇到了这种方法的问题。

Answer 1

我们确实有一个CR过程，每件事都必须经过，但没有得分。当然，也有一些级别--例如，您指出与更改相关的风险，以及哪些环境可能受到这些风险的影响--例如，环境可能类似于“生产Oracle DB服务门户”。

如果CR说的不仅仅是一个小问题，那么CR人就必须举行一次盛大的会议。

作为CR的一部分，每个人都需要有一个完整的回退计划。

...But不，没有这样的分数，除了一旦他们了解你你会获得的声誉。

不过，我认为这并不是个坏主意，可能会激励人们去做CRs，另一个原因是CRs在我特别工作的地方毫无用处，那就是你提交CRs，但没有任何方法可以用一种有用的方式来查询CRs，所以再一次--减少激励。

我认为，让这些东西有用的最好方法是为你期望使用它们的人提供一些价值。或者通过功能，或者得分(比如服务器错误)，或者其他。

Answer 2

拥有一个具有规避额外检查的方法的变更控制流程首先绕过了变更控制过程的主要原因。让人们聚在一起讨论变化的好处之一是，你会有更多的目光和头脑来观察潜在的变化。越多的人(最好都在生产基础设施的不同领域工作)就会看到这个问题，你就能更完整地了解潜在的影响。

虽然我认为有一个得分系统(可能类似于这个网站)是一个很好的主意，甚至所有的明星也会犯错误/疏忽。一个地方的微小变化会对另一个地方产生巨大的影响。

Answer 3

这种记分系统听起来似乎很快就会受到政治和游戏的影响--事实上，听起来你是在努力做到这一点，这样，内部人群就可以绕过变更控制。不管这是不是个好主意，我不能从这个距离来判断。

如果你打算把变更控制作为风险控制的一种手段，而不是CYA，那么每件事都需要有风险和影响评估。通常情况下，由谁来执行，并不会影响某件事的风险--即使是这样的情况，有些人即使是不安全的一双手，也可以做出改变。