配置審計是指在配置標識、配置控制、配置狀態(tài)記錄的基礎上對所有配置項的功能及內容進行審查，以保證軟件配置項的可跟蹤性。

配置審計是對軟件進行驗證的一種方法，其目的是檢查軟件產品和過程是否符合標準、規(guī)格說明和規(guī)程。配置審計的對象既可以是軟件產品，又可以是軟件過程；既可以是整個軟件產品或過程，又可以是部分軟件產品或過程。其主要任務是：

a．檢查配置項是否完備，特別是關鍵的配置項是否遺漏；

b．檢查所有配置項的基線是否存在，基線產生的條件是否齊全；

c．檢查每份技術文檔作為某個配置項版本的描述是否精確，是否與相關版本一致；

d．檢查每項已批準的更改是否都已實現(xiàn)；

e．檢查每項配置項更改是否按配置更改規(guī)程或有關標準進行；

f．檢查每個配置管理人員的責任是否明確，是否盡到了應盡的責任；

g．檢查配置信息安全是否受到破壞，評估安全保護機制的有效性。

配置審計的類型包括功能配置審計和物理配置審計等。

功能配置審計是驗證一個配置項的實際工作性能是否符合它的需求規(guī)格說明的一項審查，以便為軟件的設計和編程建立一個基線。即，通過對軟件測試方法、測試流程及測試報告的評價，鑒定軟件配置項的實際功能、性能是否達到了軟件設計文檔所規(guī)定的要求。

物理配置審計是對照設計規(guī)格說明檢驗已建立的某個配置項，其目的是為軟件的設計和編碼建立一個基線。即，通過對軟件配置項交付版本的檢測，鑒定文、圖、物的一致性，并保證軟件更改的完整性，所有要求的程序、數(shù)據(jù)、規(guī)程和文檔都包括其中。

配置審計活動應證實產品的完整性，規(guī)定每次配置審計的時機、要求和解決發(fā)現(xiàn)的問題的工作規(guī)程。此外，還應考慮軟件配置項的存放媒體、保存和使用的安全保護方法和設施，防止非法存取、意外損壞或自然老化。例如，可規(guī)定如下：

a．配置管理系統(tǒng)所用計算機專人專用，不得進行與配置管理工作無關的活動。

b．計算機硬盤上的配置項必須有軟盤(或光盤)作為副本，而且每隔半年應重新拷貝。

c．軟件配置管理小組要對所有由第三方提供的軟件進行物理配置審計。

d．軟件研制周期中轉段時對系統(tǒng)及其各個子系統(tǒng)的每一個新的釋放(所提供的上一階段的產品)進行功能配置審計和物理配置審計。

e．對宿主計算機系統(tǒng)所提供的軟件和硬件配置要每隔半年審計一次；軟件驗收前要對宿主計算機系統(tǒng)、各個子系統(tǒng)及其專用支持軟件的配置進行綜合審計。

f．在軟件開發(fā)周期各階段的評審和審計工作中，要對該階段所進行的配置管理工作進行必要的評審和審計。

g．在型號轉段和軟件參加飛行試驗之前，應對配置項進行功能配置審計和物理配置審計。

為確保變更的實現(xiàn)，有兩種措施：正式技術復審和軟件配置審計。正式技術復審主要考慮所變更對象在技術上的正確性。軟件配置審計作為一種補充，主要考慮那些通常不在復審過程考慮的因素。例如，是否遵循了軟件工程標準，是否說明了變更日期和作者等。

配置審計的主要作用是作為變更控制的補充手段，來確保某一變更需求已被切實實現(xiàn)。在某些情況下，它被作為正式的技術復審的一部分，但當軟件配置管理是一個正式的活動時，該活動由軟件質量管理人員單獨執(zhí)行。審計機制保證修改的動作被完整地記錄，也就是說，記錄了誰修改了這個工件，什么時候做的修改，為什么原因作出這個改動以及修改了哪些地方。在版本控制過程中，如果利用一些配置管理工具(或者版本控制工具)的支持，則可以自動地記錄審計工作所需的4個W(Who、When、Why、What)。同時配置審計工作應當可以說明如下信息：

·變更要求被完成，并且對附加的修改已經執(zhí)行了。

·采用了正確的正式驗證手段。

·遵循了標準的要求。

·變更的4W信息被完整記錄，并和相關配置項關聯(lián)。