M 2.486 Dokumentation der Architektur von Webanwendungen
Verantwortlich für Initiierung: Leiter Entwicklung, Verantwortliche der einzelnen Anwendungen
Verantwortlich für Umsetzung: Entwickler, Administrator
Das Verständnis der Software-Architektur der Webanwendung ist notwendig, um sie effizient und fehlerfrei zu warten, zu entwickeln und zu erweitern. Neben der systemspezifischen Dokumentation (siehe z. B. M 2.25 Dokumentation der Systemkonfiguration , M 2.31 Dokumentation der zugelassenen Benutzer und Rechteprofile und M 2.34 Dokumentation der Veränderungen an einem bestehenden System ) sind bei der Dokumentation von Webanwendungen einige Besonderheiten zu berücksichtigen.
Die Dokumentation muss alle Bestandteile der Webanwendung berücksichtigen. Dabei sollten mindestens folgende Punkte durch die spezifische Dokumentation der Webanwendung abgedeckt werden:
- Alle Abhängigkeiten (z. B. zu Frameworks, Bibliotheken, Betriebssystemen, Hardware) und Schnittstellen (z. B. zu Hintergrundsystemen) der Webanwendung sollten dokumentiert werden.
- Für den Betrieb notwendige Komponenten, die nicht Bestandteil der Webanwendung sind, müssen als solche gekennzeichnet werden (z. B. Hintergrundsysteme wie eine Datenbank).
- Aus der Dokumentation muss hervorgehen, welche Komponenten Sicherheitsmechanismen umsetzen. Im Folgenden sind die Sicherheitsfunktionen von Webanwendungen aufgeführt, die mindestens berücksichtigt werden sollten:
- Benutzermanagement,
- Rollen- und Berechtigungskonzept,
- Authentisierung,
- Autorisierung,
- Session-Management,
- Protokollierung und
- Transportsicherheit.
- Die Integration der Webanwendung in eine gegebenenfalls bestehende Netzinfrastruktur muss in der Dokumentation behandelt werden. Hierbei ist die Maßnahme M 5.169 Systemarchitektur einer Webanwendung zu beachten.
Die Dokumentation sollte während des Projektverlaufs aktualisiert und angepasst werden, sodass sie schon während der Entwicklungstätigkeit genutzt werden kann und Entscheidungsfindungen dokumentiert sind.
Prüffragen:
- Wird die Software-Architektur der Webanwendung dokumentiert?
- Werden alle Bestandteile und Abhängigkeiten der Webanwendung dokumentiert?
- Werden für den Betrieb notwendige Komponenten, die nicht Bestandteil der Webanwendung sind, als solche gekennzeichnet?
- Ist eine Zuordnung umgesetzter Sicherheitsmechanismen zu den Komponenten der Webanwendung dokumentiert?
- Berücksichtigt die Dokumentation eine Integration der Webanwendung in bestehende Netzinfrastruktur?
- Erfolgt die Dokumentation der Architektur einer Webanwendung bereits während der Entwicklungstätigkeit?