‘Softwarekwaliteit is grijpbaar te maken’

"Men zegt vaak ‘onze IT is een black box’, maar daar kan het management zich niet achter blijven verschuilen", zegt Marjo Wildvank, directeur van Software Improvement Group. Inmiddels licht zijn vijftien mensen tellende bedrijfje al de systemen door van een aantal financiële instellingen - juist die bedrijven die zich bijzonder verantwoordelijk moeten opstellen als het om IT-beslissingen gaat. De belangrijkste activiteit van SIG is het ‘scannen’ van de broncode van grote softwaresystemen met het eigen gereedschap DocGen. Dat gereedschap ‘ziet’ de gebruikelijke verbanden in een systeem, zoals database, applicatiemodules, lees- en schrijfrelaties, et cetera. Het kan ook met de eigenaardig-heden van een groeiend aantal programmeertalen overweg. Uniek zijn dergelijke hulpmiddelen al niet meer - vooral de millenniumproblematiek maakte duidelijk hoe weinig bedrijven soms van de details van hun software weten. Maar dergelijke zaken goed visualiseren en daar vervolgens gefundeerde conclusies uit kunnen trekken, daar is volgens Wildvank grote behoefte aan. Zeker nu de discussies over het belang van IT en ‘IT governance’ toenemen. Zijn collega Alex van den Bergh toont een plaatje dat de onderlinge afhankelijkheden in een gescand systeem laat zien en dat letterlijk gelijkenis toont met een bord spaghetti. "Gelukkig is dit doorgaans niet wat we tegenkomen. Je ziet hier bijvoorbeeld ook een paar systemen die helemaal los staan van de rest. Dat kunnen testsys-temen zijn die per ongeluk in de productieomgeving terecht zijn gekomen. Of oude systemen die men nooit heeft durven uitzetten." De eerste klant van de Software Improvement Group was ABN-Amro. Vanuit het Centrum voor Wiskunde en Informatica probeerden onderzoekers midden jaren negentig samen met PinkRoccade uit broncode van de bank technische documentatie te genereren. De technologie werd een gereedschap dat nu door SIG op zelfstandige manier verder wordt ontwikkeld. Belangrijk is daarbij de visualisatie van gegevens en het leggen van verbanden tussen technische en functionele documentatie. DocGen is als gereedschap te verkrijgen, maar dient ook als basis voor de ‘assessments’ die Wildvank cum suis zelf uitvoeren. "Dan gaan we bijvoorbeeld op zoek naar gedeelten van het systeem die eventueel risico’s kunnen vormen. Bijvoorbeeld op het gebied van performance. Er zit ook nog wat extra interpretatie in van onze experts, die veel systemen zien. Wildvank ziet ook behoefte aan het continu in de gaten houden van de softwareportfolio van een bedrijf. "Veel IT- en EDP-auditors doen dat op basis van een proces-audit of interviews met gebruikers en programmeurs. Maar ze kijken niet naar de code." SIG kan dat iedere maand of ieder kwartaal doen. Ook een technisch doel met een lange termijn, zoals een migratie van IMS naar een moderner systeem, is zo te volgen. Van den Bergh: "Dan wil je als management kunnen volgen of nieuwe dingen niet in IMS worden gebouwd en eventuele wildgroei op tijd signaleren." Wildvank vindt met name ook de uitbestedingstrend belangrijk. "Je kunt kiezen voor outsourcen, maar de verantwoordelijkheid voor de softwarekwaliteit moet je gewoon zelf in de gaten blijven houden." Een goede ‘nulmeting’ en regelmatige controle is volgens hem de oplossing.