유지 관리 기준
TQS 인증을 획득한 프로젝트가 인증 상태를 유지하기 위해 준수해야 하는 기준을 정의합니다. 본 장은 인증 유효기간, 마이너/패치 업데이트 관리, CI 통과 모니터링, 정기 보고, 인증 상태 변경 사유를 포함합니다.
34.1.1. 인증 유효기간
TQS 인증의 유효기간은 인증 대상 프로젝트의 버전 수명주기에 기반하여 결정됩니다.
| 항목 | 기준 |
|---|---|
| 기본 유효기간 | 다음 메이저 버전 출시 시까지 (최대 1년) |
| 유효기간 기산일 | 인증서 발급일 |
| 유효기간 만료 시 | 갱신 심사 필요 |
| 조기 만료 사유 | 메이저 버전 출시, 인증 일시중지, 인증 취소 |
인증 유효기간은 인증서 발급일로부터 시작되며, 다음 메이저 버전이 출시되거나 최대 1년이 경과하면 만료됩니다. 메이저 버전 출시가 1년 이내에 이루어지는 경우 메이저 버전 출시 시점에 만료되고, 1년 이상 메이저 버전 출시가 없는 경우 1년 경과 시 만료됩니다.
유효기간이 만료되기 전에 갱신 심사를 신청해야 합니다. 갱신 심사는 만료일로부터 최소 2주 전에 신청해야 합니다. 만료일까지 갱신 심사를 완료하지 못한 경우, 인증이 자동으로 일시중지됩니다.
34.1.2. 마이너/패치 업데이트 관리
마이너 버전(예: v1.1 → v1.2) 또는 패치 버전(예: v1.1.0 → v1.1.1) 업데이트는 인증 유효기간에 영향을 미치지 않습니다. 별도의 갱신 심사가 필요하지 않으며, CI 파이프라인 통과를 확인하는 것으로 충분합니다.
마이너/패치 업데이트 시 준수해야 할 사항은 다음과 같습니다.
- 업데이트 후 CI 파이프라인이 전체 통과하는지 확인해야 합니다.
- 테스트 커버리지가 인증 시점의 기준(라인 80%, 브랜치 70%) 이상을 유지해야 합니다.
- 새로운 의존성 추가 시 OWASP Dependency-Check를 실행하여 보안 취약점을 확인해야 합니다.
- 기존 TQS 규격 항목을 위반하는 변경이 포함되어서는 안 됩니다.
마이너/패치 업데이트에서 기술 스택의 중대한 변경(예: 주요 라이브러리 교체, 아키텍처 변경)이 발생하는 경우, 변경 심사를 요청해야 합니다. 마이너/패치 번호에도 불구하고 실질적 변경의 범위가 큰 경우, TQS 위원회가 변경 심사를 요구할 수 있습니다.
34.1.3. CI 통과 모니터링
인증을 유지하기 위해서는 CI 파이프라인이 안정적으로 통과해야 합니다. CI 파이프라인의 지속적인 실패는 프로젝트의 품질 기준 준수가 의심되는 상황으로 간주됩니다.
34.1.3.1. 모니터링 항목
프로젝트 팀은 다음 항목을 지속적으로 모니터링해야 합니다.
| 모니터링 항목 | 기준 | 확인 주기 |
|---|---|---|
| 빌드 성공률 | 90% 이상 유지 | 주간 |
| 테스트 통과율 | 100% (전체 테스트 통과) | 매 커밋 |
| 커버리지 추이 | 인증 기준 이상 유지 | 주간 |
| 보안 스캔 결과 | CVSS 7.0 이상 취약점 0건 | 주간 |
| 포맷/린트 통과 | 위반 0건 | 매 커밋 |
34.1.3.2. 경고 및 통보
CI 파이프라인 실패가 반복되는 경우, 다음 단계의 조치가 수행됩니다.
| 조건 | 조치 |
|---|---|
| 연속 3회 실패 | 프로젝트 팀 내부 경고 (자체 관리) |
| 연속 5회 실패 | TQS 위원회에 자동 통보 |
| 연속 10회 실패 | TQS 위원회의 원인 분석 요청 |
| 30일 이상 연속 실패 | 인증 일시중지 검토 |
연속 5회 실패 시 TQS 위원회에 자동으로 통보됩니다. 통보 후 프로젝트 팀은 실패 원인과 해결 계획을 TQS 위원회에 보고해야 합니다. 30일 이상 CI가 연속으로 실패하는 경우, TQS 위원회는 인증 일시중지를 검토합니다.
34.1.4. 정기 보고
인증을 유지하는 프로젝트는 분기별 인증 유지 보고서를 제출할 수 있습니다. 정기 보고서 제출은 선택 사항이지만, 보고서를 제출하면 갱신 심사 시 심사 범위를 축소할 수 있는 혜택이 있습니다.
34.1.4.1. 보고서 포함 항목
정기 보고서에는 다음 항목을 포함해야 합니다.
| 항목 | 내용 | 데이터 출처 |
|---|---|---|
| CI 통과율 | 해당 분기의 빌드 성공률 | CircleCI 대시보드 |
| 커버리지 추이 | 라인/브랜치 커버리지 변화 추이 | JaCoCo, Vitest 리포트 |
| 보안 스캔 결과 | 해당 분기의 취약점 발견/해소 현황 | OWASP 리포트 |
| 주요 변경 사항 | 기술 스택 변경, 아키텍처 변경, 주요 기능 추가 | 프로젝트 변경 이력 |
| 인증 기준 유지 현황 | 각 필수 항목의 충족 상태 요약 | 자체 점검 결과 |
34.1.4.2. 보고서 제출 및 혜택
- 보고서 제출 주기: 분기별 1회 (3개월마다)
- 제출 방법: TQS 위원회에 서면 제출
- 보고서 제출 시 혜택: 갱신 심사 시 정기 보고서로 확인된 항목은 재검증을 생략할 수 있습니다. 이를 통해 갱신 심사 기간을 단축할 수 있습니다.
- 보고서 미제출 시 불이익은 없습니다. 다만, 갱신 심사 시 전체 항목을 재검증해야 합니다.
34.1.5. 인증 상태 변경 사유
다음 사유가 발생하면 인증 상태가 변경될 수 있습니다.
| 사유 | 결과 | 대응 방법 |
|---|---|---|
| 메이저 버전 출시 | 갱신 심사 필요 | 출시 전 갱신 심사 신청 |
| CI 장기 실패 (30일 이상) | 인증 일시중지 | 실패 원인 해결 후 복원 신청 |
| 보안 사고 발생 | 보안 항목 재심사 | 대응 조치 후 재심사 신청 |
| TQS 규격 변경 | 유예 기간 내 대응 | 변경 항목 적용 후 재확인 |
| 프로젝트 팀 자발적 요청 | 인증 일시중지 또는 취소 | TQS 위원회에 요청서 제출 |
34.1.5.1. 메이저 버전 출시
메이저 버전(예: v1.x → v2.x) 출시 시 기존 인증은 만료됩니다. 메이저 버전에 대해 갱신 심사를 통과해야 인증이 유지됩니다. 갱신 심사는 메이저 버전 출시 전에 미리 신청하는 것을 권장합니다.
34.1.5.2. CI 장기 실패
CI 파이프라인이 30일 이상 연속으로 실패하는 경우, TQS 위원회는 인증 일시중지를 결정할 수 있습니다. 일시중지 결정 전에 프로젝트 팀에 사전 통보하며, 14일의 해소 기간을 부여합니다. 해소 기간 내에 CI가 정상화되면 일시중지를 면할 수 있습니다.
34.1.5.3. 보안 사고 발생
프로젝트에서 보안 사고(데이터 유출, 무단 접근, 취약점 악용 등)가 발생한 경우, TQS 위원회는 보안 항목에 대한 재심사를 요구할 수 있습니다. 프로젝트 팀은 사고 대응 조치(원인 분석, 재발 방지 대책, 보안 설정 보강)를 완료한 후 재심사를 신청해야 합니다.
34.1.5.4. TQS 규격 변경
TQS 규격이 개정되는 경우, 기존 인증 프로젝트에 유예 기간이 부여됩니다. 유예 기간은 규격 변경의 범위와 난이도에 따라 TQS 위원회가 결정하며, 기본 유예 기간은 3개월입니다. 유예 기간 내에 변경된 규격 항목을 적용하지 않으면 인증이 일시중지될 수 있습니다.