Compliance zwischen architektonischen Entwurfsentscheidungen und Implementierungen

IT-Anwendungen müssen Compliance gewährleisten, also die Übereinstimmung mit Gesetzen und Verordnungen, die wiederum den Architekturentwurf und die Laufzeit einer Anwendung beeinflussen. In diesem Rahmen beeinflussen nur einige Compliance-Anforderungen die funktionalen Aspekte der Anwendungen, da sie z.B. auf die unterstützten Geschäftsprozesse abzielen. Zum Beispiel könnten diese Anforderungen eine Reihenfolge der Aktivitäten oder eine gewisse Zeitabhängigkeit von aufeinander folgenden Tätigkeiten spezifizieren. Eine beträchtliche Anzahl anderer Compliance-Anforderungen beeinflusst eher die nicht- funktionalen Eigenschaften der Anwendungen, wie z.B. Ort des Hostings, physische Zugänglichkeit der eingesetzten Hardware, erforderliche Speicherintervalle, etc. Solche Compliance-Anforderungen sind deutlich schwieriger zu gewährleisten, da sie sich nicht in den Funktionen und dem leicht überwachbaren Verhalten der Anwendungen manifestieren. Im Allgemeinen führen Compliance-Anforderungen daher zu Architekturentscheidungen (ADD), die Design, Implementierung und Laufzeit der Anwendung beeinflussen. Bisher gibt es jedoch keinen Ansatz, der die konsequente Umsetzung von ADDs hinsichtlich der Compliance-Aspekte während der Entwurfszeit und Laufzeit überprüft oder sogar sicherstellt. Als Mittel zur Formalisierung von ADDs sind Muster bereits verwendet worden. Muster dokumentieren erfolgreiche, wiederkehrende Lösungen zu wiederkehrenden Problemen in menschlich-lesbarer Form. Die Auswahl eines Musters für die Realisierung in einer IT- Anwendung kann als eine ADD angesehen werden. Allerdings fokussieren die existierenden Ansätze zur Musterformalisierung auf strukturelle Aspekte und haben Schwierigkeiten mit der inhärente Variabilität von Mustern, die bei der Implementierung durch den Menschen auftritt, umzugehen. Das ADDCompliance-Projekt wird Compliance-Muster als Möglichkeit, erfolgreiche Strategien für die Umsetzung von Compliance-Anforderungen zu dokumentieren, untersuchen. Im Gegensatz zu existierenden IT-Ansätzen für Compliance werden die Compliance-Muster nicht Spezialisierungen von spezifischen Gesetzen und Verordnungen betrachten, sondern eine Anwendung unterstützen, mit sich ändernden Compliance- Anforderungen umzugehen. Um die Einhaltung dieser Muster in dem Design und der Laufzeit von Anwendungen sicherzustellen, werden die Muster mit Struktur- und Verhaltensmodellen formalisiert werden. Auf Basis dieser Modelle, wird das ADDCompliance-Projekt Methoden und Werkzeuge entwickeln, um die Architekturentscheidungen, die gemacht wurden, um Compliance umzusetzen, nachzuvollziehen und ihre Einhaltung sicherzustellen. Diese Lösungen werden in die existierende Compliance-Infrastruktur, die im DFG Co.M.B. entwickelt wurde, integriert werden, um die Compliance-Checks während der Prozessmodellierung, dem Applikationsentwurf und der Laufzeit deutlich zu verbreitern.

Im Projekt ADDCompliance unter der Leitung von Univ.-Prof. Dr. Uwe Zdun wurden systematische Methoden erforscht, wie Konformität von Software-Architekturen mit sogenannten Architecture Design Decisions (ADDs) und Architekturmodellen gewährleistet werden kann. Das Projekt wurde in Zusammenarbeit mit der Forschungsgruppe von Prof. Dr. Dr. h. c. Frank Leymann (Universität Stuttgart) durchgeführt. Den Anstoß zum Projekt gab die Tatsache, dass formale Vorgaben für die Überprüfung und Gewährleistung von Architekturkonformität fehlten. Bestehende Modelle konnten nicht sicherstellen, dass die optimalen ADDs für konformes Systemdesign gewählt wurden. ADDCompliance sollte daher Grundlagen von zu ADDs sicher konformen Architekturen erforschen. Im Laufe des Projekts haben wir eine Reihe an Studien über die systematische Ableitung von ADDs sowie Mustern und Methoden durchgeführt. Diese Studien führten zu einem neuartigen Forschungsansatz: Dafür werden bewährte Praktiken als ADD-Modelle formuliert. Die Metriken, die aus diesen Modellen gewonnen werden, werden dann empirisch überprüft und Überarbeitungen aufgrund der Metriken vorgeschlagen. Dieser neue Ansatz ist von großem Nutzen in mehreren weiteren Forschungsstudien, u.a. auch in unserem ADDCompliance-Nachfolgeprojekt IAC2. Während des Projekts wurden die Ergebnisse laufend mehreren Industriepartnern präsentiert. Dadurch konnte qualitatives Feedback aus Sicht der Industrie bezüglich der Umsetzbarkeit unserer entwickelten Methoden und Tools eingeholt und dieses Feedback in unserer weiteren Forschung verwendet werden. Es fand auch ein reger Austausch mit dem Team der Universität Stuttgart statt. Die Forschungsergebnisse wurden als wissenschaftliche Veröffentlichungen im Rahmen mehrerer renommierter, internationaler Konferenzen veröffentlicht und präsentiert (z.B. International Conference on Service Oriented Computing 2018 & 2020, European Conference on Software Architecture 2019, ACM/IEEE International Conference on Model Driven Engineering Languages and Systems 2018). Zudem führten sie zu Artikeln in angesehenen Fachjournalen wie International Journal on Software and Systems Modeling (SoSyM) und IEEE Transactions on Software Engineering (TSE). Durch die enge Zusammenarbeit mit der Universität Stuttgart entstanden auch mehrere gemeinsame Publikationen, die ebenfalls auf Konferenzen präsentiert wurden (z.B. IEEE International Conference on Services Computing 2019). Eine Liste mit sämtlichen Publikationen und weitere Informationen über das Projekt finden sich auf der Projektseite: https://addcompliance.cs.univie.ac.at/