新钛云服已为您服务1242
随着数字化转型的深入,企业的应用越来越多,为了能够适应企业的实际情况,往往需要进行二次开发。目前许多传统企业和外资企业使用第三方供应商来进行应用的开发工作。
作为甲方经常会对研发供应商开发质量、规范和安全感到头疼不已。每家供应商都有自己的开发模式和规范标准,要做统一的日志收集,统一的代码管理,统一的交付物标准等是难上加难
有些研发供应商往往可以随意登录生产环境,可以随意访问许多数据,造成许多数据泄漏的隐患。随着供应商的增多这些矛盾也变得成倍增长。
在数字时代,如何做好研发供应商管理是企业一个重要课题。为此本人根据自己在多家企业的亲身实战,进行了经验总结分享。希望能对大家有所帮助。也欢迎大家在评论区留言与我一起讨论。

项目准入制度

所有的应用开发公司如果要进入企业供应商列表。第一步就要先符合项目接入的规范。

项目接入规范

这个规范要根据企业的实际情况和技术能力制定。大致的规范我这里罗列一下供大家参考。
  • 要有应用部署文档,应用部署文档中需要包含应用环境的要求、应用架构图
  • 应用必须接入企业的发布体系,按照企业制定的不同语言发布模版来适配
  • 所有资源申请必须走企业的审批流程,并在申请前根据资源申请的规范来填写申请表
  • 所有应用在上线前需要经过架构和安全的评审,评审通过才允许上线
  • 所有项目开发需要符合企业敏捷开发管理的制度
  • 所有项目定期做质量及安全考核,考核结果和支付的应用开发费用做挂钩
备注:上述准入制度规范需写进合同中,写进合同中,写进合同中。重要的事情说三遍。

项目评审

项目评审需要在合同签订完成后就进行评审工作,便于在开发阶段就按照标准进行规范操作。项目评审的标准主要是针对交付物进行一个标准评审。下面将例举需要对哪些方面进行项目的标准评审。
  • 根据应用架构图进行应用架构评审
  • 微服务架构标准
  • 产品功能标准
  • 配置标准
  • 日志标准
  • 安全标准
每一项标准都有许多细节需要去确认。同时这些标准并非一成不变的,随着业务发展和架构的变化是需要同步做出修订的。
在做评审之前需要把这些已有的标准发给开发供应商去看,让开发供应商作成一个完备的PPT来进行这些评审工作。通常至少需要两个角色参加评审工作。一个是安全员另一个是架构师。
简单总结为:开发供应商先要经过架构评审然后要过安全评审,符合这些标准后才允许进行开发工作。

项目规范标准落地

制定了规范标准如果开发供应商正式上线的时候还是不遵守怎么办?这就需要通过工具和流程去进行项目标准的落地。让开发人员无法绕过这些规范和标准。
如资源申请的标准,可以通过工单系统让开发供应商在申请资源时走这个工单系统,如果不符合规范则打回。

安全标准中的代码安全可以在CI/CD流水线过程中添加安全扫描工具,如有不符合安全规范的则在测试环境进行整改直至通过后才允许走预发和生产环境。
项目规范和标准落地中有少数是需要人工检查的,就需要运维人员准备一份人工检查的CheckList,在项目上预发环境前进行一次全面的检查。
如果上了生产还发现有不符合规范的,开发人员的责任则对开发供应商进行考核,考核标准写进合同里。如果是运维人员人工检查不到位导致的则对运维人员进行考核。

总结

通过以上的规范和标准我们能够很好的管理好研发供应商,让供应商研发出来符合我们规范和标准的产品。这样做不仅会让我们减少管理成本,同时因为产品质量的提高而减少了生产事故的发生,为企业创造出巨大价值。
了解新钛云服
往期技术干货
点👇分享
戳👇在看
继续阅读
阅读原文