为进一步构建学习型组织、培塑“一专多能、一岗多用”的复合型人才，5月8日，2025年度熙菱大讲堂第三期正式开讲，熙菱信息集团质量与安全中心总监郭超娜围绕“产品质量与安全管理：全流程质量赋能，打造可信交付体系”这一主题展开，着重强调了质量是企业的生命线，并分享了 “如何实现全流程管理”“如何构建端到端安全防线”以及“如何用好工具链支撑”等内容，为大家提供了全面、深入且具有可操作性的质量与安全管理思路和方法。集团董事长何岳、总裁岳亚梅以及集团高管、五地300余名员工线下线上出席会议。

会上，郭超娜指出，全流程质量的底层逻辑，就是如何通过全员的协作和工具的赋能，让质量从被动应付变成主动防御。对于熙菱信息这类专注于大数据智能应用服务的科技企业而言，质量更是企业发展的生命线，具体体现在高质和低质的生死博弈：高质量项目可增强客户黏性、减少维护成本，提升利润空间，实现企业与客户双赢；低质量项目则会造成口碑崩塌、成本失控以及客户流失。然而，质量问题绝非某个个体的责任，而是流程中存在的“系统性漏洞”，如同修路工程，设计、施工、监理、运维等任何一个环节出现纰漏，最终都会导致整个工程的全线崩溃。要实现全流程质量管理，每个环节都应扮演好“质量守门员”的角色：

一是需求阶段，要画好“路线图”，拒绝模糊地带。针对需求模糊或频繁变更；开发功能偏离预期，返工，测试场景覆盖不全等痛点，要实现需求模板化，明确功能、性能、安全指标，评审，会签，同时从提变更到评估，再到更新最后到同步，控制好流程，特别是需求变更需经过内部评估并同步团队，涉及内容多的需重新发起需求讲解。

二是开发阶段，要“按图施工”，代码就是质量。针对系统开发中出现的部分代码质量低，未遵循代码规范，缺陷、安全漏洞等问题反复出现，且忘记单元测试等，要实现开发自检，保证单元测试覆盖率≥80%，同时开展代码质量检查；针对信息不统一，协作不通畅，代码与测试用例不一致，效率低，矛盾频发的问题，要做到信息同步、统一协作、缺陷闭环以及每日例会，打破信息孤岛。

三是测试阶段，别等“路塌了”才想起检查。测试介入过晚，就如同路修完了才进行验收，若此时发现地基不稳，只能炸掉重来，这无疑会大幅提升修复成本。因此，要提早介入测试检查工作。同时，由于部分深层问题在短时间内难以暴露，可能导致缺陷覆盖不足，这就要求我们实现充分测试，确保产品质量。

郭超娜总结道，质量不是任何单个人的责任，是全流程协作的结果。无论任何角色，每一次的评审，每一次代码的自测，每一次的验证，都是在为质量“上锁”。但安全是一切工作的基础，必须构建端到端的防护体系。要实现安全左移，从需求阶段就开始植入安全DNA，明确安全需求基线，确保在需求阶段就充分考虑安全因素，特别是产品经理要负责安全需求的调研与规划，确保安全需求清晰明确；在开发阶段，严格遵循安全编码标准，减少安全漏洞的产生，并利用相关工具实时检查代码安全，及时发现并修复漏洞，同时通过安全组件库为熙菱的代码构筑起一道道坚固的防线；在测试阶段，开展渗透测试，模拟黑客攻击，发现潜在的安全漏洞，同时要建立完善的漏洞管理流程，确保漏洞得到及时修复。

为了提高质量和安全管理效率，工具链的支撑不可或缺。郭超娜向大家展示了熙菱全流程工具图谱：采用Jira实时跟踪需求、缺陷等各类进度，使流程清晰透明；利用Svn和wiki（文档协同工具），方便团队成员共享和协作；使用GitLab规范代码管理，提升代码质量；运用Jenkins（CI/CD工具）实现持续集成和持续交付；选用SonarQube（质量扫描工具）实时检查代码质量，及时发现潜在问题；通过安全工具（组件扫描）和预警推送（监控）及时发现开源组件漏洞，降低安全风险，确保系统稳定运行。

最后，郭超娜警示大家：质量是必答题，不是选择题；无论你是产品经理、开发或是测试，都是质量的“第一责任人”；流程是“红绿灯”，不遵守规则，迟早出事故；工具是超级外挂，用好了效率翻倍，用不好加班翻倍！