为进一步构建学习型组织、培塑“一专多能、一岗多用”的复合型人才,5月8日,2025年度熙菱大讲堂第三期正式开讲,熙菱信息集团质量与安全中心总监郭超娜围绕“产品质量与安全管理:全流程质量赋能,打造可信交付体系”这一主题展开,着重强调了质量是企业的生命线,并分享了 “如何实现全流程管理”“如何构建端到端安全防线”以及“如何用好工具链支撑”等内容,为大家提供了全面、深入且具有可操作性的质量与安全管理思路和方法。集团董事长何岳、总裁岳亚梅以及集团高管、五地300余名员工线下线上出席会议。
会上,郭超娜指出,全流程质量的底层逻辑,就是如何通过全员的协作和工具的赋能,让质量从被动应付变成主动防御。对于熙菱信息这类专注于大数据智能应用服务的科技企业而言,质量更是企业发展的生命线,具体体现在高质和低质的生死博弈:高质量项目可增强客户黏性、减少维护成本,提升利润空间,实现企业与客户双赢;低质量项目则会造成口碑崩塌、成本失控以及客户流失。然而,质量问题绝非某个个体的责任,而是流程中存在的“系统性漏洞”,如同修路工程,设计、施工、监理、运维等任何一个环节出现纰漏,最终都会导致整个工程的全线崩溃。要实现全流程质量管理,每个环节都应扮演好“质量守门员”的角色:
一是需求阶段,要画好“路线图”,拒绝模糊地带。针对需求模糊或频繁变更;开发功能偏离预期,返工,测试场景覆盖不全等痛点,要实现需求模板化,明确功能、性能、安全指标,评审,会签,同时从提变更到评估,再到更新最后到同步,控制好流程,特别是需求变更需经过内部评估并同步团队,涉及内容多的需重新发起需求讲解。
二是开发阶段,要“按图施工”,代码就是质量。针对系统开发中出现的部分代码质量低,未遵循代码规范,缺陷、安全漏洞等问题反复出现,且忘记单元测试等,要实现开发自检,保证单元测试覆盖率≥80%,同时开展代码质量检查;针对信息不统一,协作不通畅,代码与测试用例不一致,效率低,矛盾频发的问题,要做到信息同步、统一协作、缺陷闭环以及每日例会,打破信息孤岛。
三是测试阶段,别等“路塌了”才想起检查。测试介入过晚,就如同路修完了才进行验收,若此时发现地基不稳,只能炸掉重来,这无疑会大幅提升修复成本。因此,要提早介入测试检查工作。同时,由于部分深层问题在短时间内难以暴露,可能导致缺陷覆盖不足,这就要求我们实现充分测试,确保产品质量。
郭超娜总结道,质量不是任何单个人的责任,是全流程协作的结果。无论任何角色,每一次的评审,每一次代码的自测,每一次的验证,都是在为质量“上锁”。但安全是一切工作的基础,必须构建端到端的防护体系。要实现安全左移,从需求阶段就开始植入安全DNA,明确安全需求基线,确保在需求阶段就充分考虑安全因素,特别是产品经理要负责安全需求的调研与规划,确保安全需求清晰明确;在开发阶段,严格遵循安全编码标准,减少安全漏洞的产生,并利用相关工具实时检查代码安全,及时发现并修复漏洞,同时通过安全组件库为熙菱的代码构筑起一道道坚固的防线;在测试阶段,开展渗透测试,模拟黑客攻击,发现潜在的安全漏洞,同时要建立完善的漏洞管理流程,确保漏洞得到及时修复。
为了提高质量和安全管理效率,工具链的支撑不可或缺。郭超娜向大家展示了熙菱全流程工具图谱:采用Jira实时跟踪需求、缺陷等各类进度,使流程清晰透明;利用Svn和wiki(文档协同工具),方便团队成员共享和协作;使用GitLab规范代码管理,提升代码质量;运用Jenkins(CI/CD工具)实现持续集成和持续交付;选用SonarQube(质量扫描工具)实时检查代码质量,及时发现潜在问题;通过安全工具(组件扫描)和预警推送(监控)及时发现开源组件漏洞,降低安全风险,确保系统稳定运行。
最后,郭超娜警示大家:质量是必答题,不是选择题;无论你是产品经理、开发或是测试,都是质量的“第一责任人”;流程是“红绿灯”,不遵守规则,迟早出事故;工具是超级外挂,用好了效率翻倍,用不好加班翻倍!
021-61620210-2001
上海市浦东新区龙东大道3000号7号楼
021-61620219
sailing-china@sit.com.cn
dongmiban@sit.com.cn
Copyright © 2000 - 2021 Sailing. All Rights Reserved. 熙菱信息 版权所有