# openSDLC
**Repository Path**: SteveRocket/openSDLC
## Basic Information
- **Project Name**: openSDLC
- **Description**: 自动化研发安全测试运维一体化平台(DevSecTestOps)-安全开发生命周期(SDLC)平台
http://www.mdrsec.com
- **Primary Language**: Unknown
- **License**: Not specified
- **Default Branch**: master
- **Homepage**: https://mp.weixin.qq.com/s/V5Axn-ZWi22ubh5Jiocb9g
- **GVP Project**: No
## Statistics
- **Stars**: 2
- **Forks**: 0
- **Created**: 2023-09-28
- **Last Updated**: 2026-07-03
## Categories & Tags
**Categories**: Uncategorized
**Tags**: None
## README
# 软件开发生命周期管理系统(SDLC)
## 关于我们
- 官网:
http://www.mdrsec.com
我们的技术文章和产品概述欢迎浏览我们的门户。
- 公众号:CTO Plus
最新的动态欢迎关注我们官方唯一公众号。
- 作者QQ
更详细更具体的需求,或者项目合作,或者问题 欢迎联系我。
- QQ群
我们官方组建的QQ群,如果您有兴趣也可以加入我们。
- 请喝咖啡
如果感兴趣,也可以请我喝杯咖啡
## 产品核心功能模块




我们自研的企业级软件开发生命周期管理(SDLC)系统不仅仅是单纯的“项目管理工具”、“需求文档仓库”,还是连接业务战略与技术交付的桥梁。我们的SDLC系统,具备从**战略规划、研发交付、质量保障到运维反馈**的全链路闭环管理能力,核心任务在于**降低软件交付的复杂性、提升端到端的价值流动效率,并确保交付物与业务目标的对齐**。
不同于面向小团队的轻量级工具,我们企业级SDLC系统能应对多团队协作、复杂产品线、严格的合规监管以及存量系统集成等需求。这里我将从**全生命周期覆盖、端到端可追溯性、企业级治理与度量、以及智能化演进**四个维度,介绍下我们的SDLC管理系统核心功能与特性。
## 全生命周期管理
我们的SDLC系统首先是一个“全生命周期”的管理平台,可以无缝连接软件交付的每一个关键环节,消除信息孤岛。
### 1. 战略规划与需求管理:构建业务与技术的连接点
需求是软件交付的源头,混乱的需求管理是项目失败的首要原因。我们SDLC系统的需求管理模块具备以下核心能力:
- **多层次需求结构化**:支持从高层级的业务史诗、特性到具体的用户故事进行逐级分解与映射,确保业务目标能够无损转化为技术任务 。
- **可视化路线图与版本规划**:能够将需求池与产品路线图、发布计划动态关联,支持基于时间线或版本的拖拽式规划,直观展示“何时交付何种价值”。
- **需求依赖与影响分析**:当某一底层需求变更时,系统应能自动高亮受影响的关联功能、测试用例及代码模块,提供决策支持。
### 2. 敏捷项目管理与团队协作:从瀑布到大规模敏捷的适配
企业级环境往往混合了多种项目管理模式。我们SDLC系统提供灵活的协作框架,而非强制推行单一方法论:
- **多模式项目支持**:系统需同时兼容**传统瀑布模式**(适合需求明确、流程固定的强合规项目)和**敏捷开发模式**(Scrum与Kanban)。高级系统还应支持**大规模敏捷框架(SAFe)** ,能够管理跨团队的“敏捷发布火车”,实现跨项目群的任务依赖映射与进度同步 。
- **精细化迭代与看板管理**:提供可视化的迭代看板与任务面板,支持WIP限制、状态流转自定义,实时呈现团队速率与燃尽/燃起图。
- **多层次协同**:不仅是任务分配,更要支持跨团队、跨职能(业务、开发、测试、运维)的透明化协作,打破部门墙。
### 3. 开发与版本控制:代码资产与工程能力的统一调度
代码是软件的核心资产,我们SDLC系统对开发环节的管理不局限于代码托管,更关注工程效率的调度:
- **代码托管与分支策略标准化**:无缝集成Git等主流版本控制系统,系统应能可视化管理代码仓库,并支持强制执行规范化的分支策略(如Git Flow或GitHub Flow),通过规则限制不合规的代码合并 。
- **代码评审与质量门禁**:将代码评审作为流水线的必选环节,支持MR/PR的模板化与自动触发。结合SonarQube等静态代码扫描工具,在合并前自动检测代码异味、安全漏洞与复杂度,设置**质量门禁**拦截不达标代码入库 。
- **组件化与制品库管理**:具备对构建产物的统一管理能力,支持Docker镜像、Maven/JAR包等制品的版本化存储与安全扫描,为后续的持续部署提供可靠物料。
### 4. 测试管理与质量保障:全流程的质量内建
质量不是测出来的,而是从需求阶段“内建”的。我们的SDLC系统将测试活动贯穿始终:
- **全流程测试追溯**:实现从**需求-用例-缺陷-代码提交**的双向追溯。任何一个测试失败,都应能快速定位到对应的需求变更和代码提交记录 。
- **多元化测试类型覆盖**:支持管理手工测试、API自动化测试、UI自动化测试、性能测试及安全测试等多种类型。系统应能集成Selenium、JUnit、Postman等主流测试框架,统一收集与解析测试报告 。
- **缺陷全生命周期闭环**:不仅仅是记录Bug,更强调基于分支的缺陷修复流程。当缺陷状态变更为“已解决”时,系统应校验是否有对应的代码提交记录与回归测试结果,防止“假修复”。
### 5. 持续集成与持续部署(CI/CD):打通价值的交付流
CI/CD是SDLC系统的“动脉”,负责自动化地流转代码与制品。系统提供强大的流水线编排能力,将构建、测试、部署动作串联为可视化的工作流,支持阶段间的条件触发与审批机制。对于容器化环境,系统深度集成Kubernetes,支持蓝绿部署、金丝雀发布、滚动升级等高级部署策略,并具备部署失败时的自动/手动回滚能力 。
### 6. 运维监控与反馈闭环:以终为始的数据回流
软件生命周期不止于上线。我们的SDLC系统建立**Ops-to-Dev**的反馈链路:一方面,通过对接APM工具实时监控应用性能与可用性,一旦触发告警阈值,系统能在看板中高亮标记受影响的版本,甚至自动创建故障工单回流向待办事项;另一方面,建立从用户反馈到产品待办列表的自动化管道,将客服工单、NPS评分或应用商店评论经AI分类后,自动转化为待评审的需求条目,形成“开发-交付-反馈”的完整闭环 。
## 端到端的可追溯性与流程编排:从被动记录到主动治理
**可追溯性与流程编排**贯穿整个系统。
### 1. 全链路对象关联与溯源
我们的SDLC系统建立一张覆盖所有研发对象的**关系图谱**。任何一个需求ID,都能向下关联到具体的代码提交、构建记录、测试用例、缺陷单和部署环境。当发生生产事故时,管理员无需人工询问,即可在系统的追溯视图中一键定位:**是哪个版本(Deployment)引入了由哪个需求(Requirement)导致的代码变更(Commit)** 。这种强大的可追溯性不仅是技术排查的需要,更是通过ISO、CMMI、SOC2等审计的必要条件 。
### 2. 灵活的安全与合规卡点(Security & Compliance Gates)
在企业级生产场景下,流程自动化不等于自由放任。我们的SDLC系统支持在CI/CD流水线中定义**人工审批节点**与**自动化合规检查点**。例如,在部署至生产环境前,系统可强制检查是否存在未修复的高危漏洞、是否完成合规性检查(如数据隐私保护条款确认)、是否经过指定负责人的电子签名审批 。这种流程编排能力确保了在追求速度的同时不牺牲企业的安全底线。
### 3. 跨工具链的元数据聚合
企业研发工具链往往由Jira、GitHub、Jenkins、SonarQube、Snyk等多款异构产品组成。我们的SDLC系统作为**元数据的聚合层**,通过REST API将散落在各工具的进度、质量、安全数据抓取整合,在一个统一的仪表盘上呈现“单一事实来源”,避免项目经理在不同工具间切换寻找真相 。
## 企业级度量、治理与开放生态
当企业拥有数百乃至数千人的研发队伍时,我们的SDLC系统具备强大的**企业级治理能力**和**可扩展性**。
### 1. 多维度的效能度量与洞察
“没有度量就没有改进”。我们的SDLC系统内置强大的数据分析和效能度量引擎:
- **DORA指标体系落地**:系统需天然支持部署频率、变更前置时间、平均恢复时间、变更失败率四项核心指标的自动化采集与计算,帮助企业量化评估DevOps成熟度 。
- **多视角效能看板**:支持从**组织级、项目群级、项目级、个人级**四个维度逐层下钻。高管关注交付吞吐量与ROI,项目经理关注进度与阻塞项,技术经理关注代码质量与复用率 。
- **AI辅助洞察**:利用AI分析历史数据,预测潜在延期风险,识别团队瓶颈。例如,系统可自动提示“该需求在评审阶段停留时间超过平均周期200%,存在阻塞风险” 。
### 2. 平台开放性(API优先与插件架构)
我们在实施时,发现没有一套SDLC系统能完全覆盖所有企业的特有场景(包括一套CMDB也不完全适用于某个行业)。因此,强大的**API开放能力**和**插件/扩展架构**是企业级平台的必选项。我们的SDLC系统允许企业通过Webhook、REST API甚至自定义脚本,将内部的特定规则(如独特的成本核算逻辑、特定架构的部署脚本)嵌入SDLC流程中,实现“平台标准化”与“企业个性化”的平衡 。
### 3. 统一权限与访问控制
针对大规模组织架构,我们的SDLC系统支持基于RBAC的精细化权限管理。支持与企业的LDAP/AD域或单点登录(SSO)集成,并能区分“项目管理员”、“只读审计员”、“外包开发人员”等不同角色的数据可见性与操作权限,确保核心代码与数据资产的安全受控 。
## 系统功能模块
- 仪表盘:项目概览、统计卡片、进度图表、待办任务、最近活动
- 项目管理:项目列表、时间线、里程碑
- 需求管理:需求列表、待办、追踪
- 设计管理:架构设计、数据库设计、接口设计、UI设计
- 开发管理:开发任务、代码库、分支管理、代码评审
- 测试管理:测试计划、用例、执行、缺陷管理
- 缺陷管理:缺陷跟踪,状态流转
- 部署管理:环境配置、部署流水线、版本管理、发布记录
- 运维管理:系统监控、告警管理、日志管理、备份恢复
- 报表中心:各类统计报表
## 后面规划
目前大模型盛行的时期,我们的SDLC系统的核心竞争力正在向**智能化(AI-Native)** 与**开发者体验(DevEx)** 转移。
### 1. AI智能副驾的深度介入
生成式AI正在重塑SDLC的每一个环节,后面我们的SDLC系统将是AI原生的:
- **需求精炼与生成**:AI可根据一句话的业务意图,自动生成符合INVEST原则的标准用户故事与验收标准,并辅助进行需求排重与优先级排序 。
- **代码与测试辅助**:在IDE插件中提供上下文感知的代码补全与解释,自动生成单元测试用例,甚至根据API文档自动构建端到端的测试脚本 。
- **智能排障与修复建议**:当流水线构建失败或出现生产告警时,AI Copilot能根据日志分析自动给出修复建议或归因分析,显著缩短故障平均修复时间。
### 2. 开发者体验的量化与优化
生产力竞争是研发效能的竞争,而研发效能的根基在于开发者体验。我们的SDLC系统将引入**开发者体验指数(DXI)** ,通过量化开发者编码时的等待时间、工具切换频率、构建排队时长等“摩擦点”,为管理层提供优化工具链的依据。例如,系统可量化证明“采用新的AI编码工具后,开发者无效等待时间减少了30%”,从而将工具投入与业务产出直接挂钩 。
## 最后
我们的SDLC系统是一个**重流程、强关联、可追溯、能度量、有智慧**的一体化平台。不仅要解决“怎样把软件做出来”的工程问题,更要解决“怎样高效、合规、高质量地做正确的事”的管理问题。对于寻求数字化转型突破的企业而言,选择一个合适的SDLC系统并非简单的软件采购,而是**一场关于研发理念与组织协作模式的深度变革**。唯有将系统功能与组织流程深度融合,才能真正释放软件交付的澎湃动力。
---
- 官网:http://www.mdrsec.com
- 产品文档:http://www.docs.mdrsec.com
- 系统演示环境:http://www.play.mdrsec.com
*本文由 http://www.mdrsec.com 官方出品,如需转载或深度讨论,请联系作者。* 更多需求问题、功能特性和定制化开发欢迎联系我们咨询。
## 产品清单
### 企业网络安全运营中心产品
- 资产安全配置管理系统(SCMDB)
- 终端侦测与响应系统(EDR)
- 网络侦测与响应系统(NDR)
- 企业网络资产攻击面管理系统(CAASM)
- 资产暴露面管理系统(AEMS)
- 网络安全蜜罐管理系统(HoneyPot)
- 安全事件收集与告警管理系统(SIEM)
- 扩展侦测与响应系统(XDR)
- 多引擎脆弱性扫描系统(VAS)
- 多源日志审计监测系统(LAS)
- 网络安全威胁情报中心(TIS)
- 网络安全漏洞库管理系统(VDBS)
- 网络安全编排与自动化响应(SOAR)
- 威胁狩猎系统(THS)
- 数据库安全审计系统(DSAS)
- AI智能体安全态势管理系统(AISPM)
- Web防火墙(WAF)
- 网站安全监测平台(WSM)
- 网络安全态势感知平台(SSAP)
- 网络安全自动化应急响应工具系统(NSRT)
- 企业网络安全运维工具系统(SecTools)
- 网络安全自动化等保测评系统(ASES)
- 浏览器安全监测防护系统(BSMPS)
- 网络安全用户实体行为分析系统(UEBA)
- 互联网电信诈骗预警防护系统(TPFWS)
- 云原生安全管理平台(CNAPP)
- 自动化渗透测试系统(PTS)
- 工业企业信息安全监测中心(IoT SOC)
- 企业智能安全运营中心(AISOC)
### 企业自动化运维产品
- 运维智能监控告警管理平台(AIMAMS)
- 企业网络工具系统(NTools)
- 自动化测试系统(AutoTest)
- 自动化运维系统(AutoOps)
- 企业运维工具系统(OpsTools)
- 物联网管理系统(IoTS)
- 软件开发生命周期管理系统(SDLC)
- IT流程管理系统(ITSM)
### 企业数字化运营资源管理系统产品
- 制造执行管理系统(MES)
- 运输管理系统(TMS)
- 跨境电商企业资源管理系统(ERP)
- 企业客户关系管理系统(CRM)
- 跨境电商仓库管理系统(WMS)
- 企业财务管理系统(FMS)
- 企业质量管理系统(QMS)
- 企业精准营销管理系统(PMS)
- 企业智能生产管理系统(SPMS)
- 电商BI系统(BI)
- 智能互联网分布式爬虫系统(AISpider)
## ABOUT
**【关于我们】**
* [主页:http://116.205.137.183/index_pro.html](http://116.205.137.183/index_pro.html)
* [Articulate v1.0](https://mp.weixin.qq.com/s/0yqGBPbOI6QxHqK17WxU8Q)
* [Articulate v2.0](https://mp.weixin.qq.com/s/V5Axn-ZWi22ubh5Jiocb9g)
[](https://github.com/zrf-rocket)
[](https://gitee.com/SteveRocket/)
 🥰
## Contact

**< 微信公众号 >**

**< QQ技术交流群 >**

**< 联系作者 >**
## **【代码工程系列】**
* [Python和Go的设计模式](https://github.com/zrf-rocket/DesignPattern)
* GitHub:https://github.com/zrf-rocket/DesignPattern
* Gitee:https://gitee.com/SteveRocket/design_pattern
* [Python、Go的编码技巧cookbook](https://github.com/zrf-rocket/CookBook)
* GitHub:https://github.com/zrf-rocket/CookBook
* Gitee:https://gitee.com/SteveRocket/cook-book
* [Go代码示例](https://github.com/zrf-rocket/PracticeGo)
* GitHub:https://github.com/zrf-rocket/PracticeGo
* Gitee:https://gitee.com/SteveRocket/practice_go
* [Python代码示例](https://github.com/zrf-rocket/PracticePython)
* GitHub:https://github.com/zrf-rocket/PracticePython
* Gitee:https://gitee.com/SteveRocket/practice_python
* [Python Web框架的示例代码](https://github.com/zrf-rocket/PythonFramework)
* GitHub:https://github.com/zrf-rocket/PythonFramework
* Gitee:https://gitee.com/SteveRocket/python_framework
* Django:https://github.com/zrf-rocket/PythonFramework/tree/master/django_framework
* Flask:https://github.com/zrf-rocket/PythonFramework/tree/master/flask_framework
* [Python 爬虫框架和技术](https://github.com/zrf-rocket/PracticeSpider)
* GitHub:https://github.com/zrf-rocket/PracticeSpider
* Gitee:https://gitee.com/SteveRocket/practice_spider
* [Rust代码示例](https://github.com/zrf-rocket/PracticeRust)
* GitHub:https://github.com/zrf-rocket/PracticeRust
* Gitee:https://gitee.com/SteveRocket/practice_rust
* [Vue代码示例](https://github.com/zrf-rocket/PracticeVue)
* GitHub:https://github.com/zrf-rocket/PracticeVue
* Gitee:https://gitee.com/SteveRocket/practice_vue
* [前端代码示例](https://github.com/zrf-rocket/PracticeFronted)
* GitHub:https://github.com/zrf-rocket/PracticeFronted
* Gitee:https://gitee.com/SteveRocket/practice_fronted
* [Python自动化测试框架](https://github.com/zrf-rocket/PythonTestAutomationFramework)
* GitHub:https://github.com/zrf-rocket/PythonTestAutomationFramework
* Gitee:https://gitee.com/SteveRocket/python_test_automation_framework
* [Python和Go的算法代码示例](https://github.com/zrf-rocket/Algorithms)
* GitHub:https://github.com/zrf-rocket/Algorithms
* Gitee:https://gitee.com/SteveRocket/Algorithms
* [Python和Go的数据结构代码示例](https://github.com/zrf-rocket/DataStructure)
* GitHub:https://github.com/zrf-rocket/DataStructure
* Gitee:https://gitee.com/SteveRocket/data_structure
* [编码规范](https://github.com/zrf-rocket/DevGuide)
* GitHub:https://github.com/zrf-rocket/DevGuide
* Gitee:https://gitee.com/SteveRocket/develop_guide
* [编码安全规范](https://github.com/zrf-rocket/SecGuide)
* GitHub:https://github.com/zrf-rocket/SecGuide
* Gitee:https://gitee.com/SteveRocket/security_guide
## **【产品系列】**
* [主机监控系统-日志收集与报警管理系统(SIEM)](https://github.com/zrf-rocket/SIEM)
* GitHub:https://github.com/zrf-rocket/SIEM
* Gitee:https://gitee.com/SteveRocket/siem
* [安全运营中心(SOC)-终端侦测与响应系统(EDR)](https://github.com/zrf-rocket/EDR_SOC)
* GitHub:https://github.com/zrf-rocket/EDR_SOC
* Gitee:https://gitee.com/SteveRocket/edr_soc
* [安全运营中心(SOC)-信息资产采集与安全评估系统(ICSA)](https://github.com/zrf-rocket/SOC_ICSA)
* GitHub:https://github.com/zrf-rocket/SOC_ICSA
* Gitee:https://gitee.com/SteveRocket/SOC_ICSA
* [DevSecTestOps-SDLC-自动化研发安全测试运维一体化平台(DevSecTestOps)](https://github.com/zrf-rocket/DevSecOps-SDLC)
* GitHub:https://github.com/zrf-rocket/DevSecOps-SDLC
* Gitee:https://gitee.com/SteveRocket/dev-sec-ops-sdlc
* [Penetration Test-自动化渗透测试平台(PT)](https://github.com/zrf-rocket/PenetrationTest)
* GitHub:https://github.com/zrf-rocket/PenetrationTest
* Gitee:https://gitee.com/SteveRocket/penetration_test
* [cicd-持续集成持续部署系统(CI/CD)](https://github.com/zrf-rocket/CICD)
* GitHub:https://github.com/zrf-rocket/CICD
* Gitee:https://gitee.com/SteveRocket/cicd
* [AI图像识别-智能缺陷检测系统]()
* [基于AI图像识别的工业缺陷检测应用系统(GPU&FPGA)](https://mp.weixin.qq.com/s/04qefQFg-Pg1Gcqq1vBLQQ)
* [基于AI图像识别的智能缺陷检测系统,在钢铁行业的应用-技术方案](https://mp.weixin.qq.com/s/dSHbnuOwQZzE4CvPr1JYjg)
# 自动化研发安全测试运维(DevSecTestOps)一体化平台-安全开发生命周期(SDLC)平台
> ### Dev
#### 编码规范
代码规范检测与自动编排
* 前端:Vue、HTML、CSS、JavaScript
* 后端:Golang、PHP、Python、C/C++、Java
> ### Sec
#### 编码安全
代码安全扫描
1. 隐私泄露(敏感信息)扫描
2. 安全配置
3. 代码漏洞
**对应平台系统**
* **安全扫描自动化检测平台**
* **黑白盒代码审计系统(SDLC)**
> ### Test
#### 系统测试
1. 单元测试
2. 性能测试
3. 接口测试
4. UI测试
5. 安全测试
**对应平台系统**
* **自动化测试平台**
> ### Ops
1. 工程构建
2. 打包
3. 制品
4. 发布
5. 部署
6. 服务组件安全配置规范扫描
* MySQL
* Redis
* Linux
* Windows
* K8S
* ......
**对应平台系统**
* **作业平台**
* **监控平台**
* **CI/CD系统**
* **安全合规平台**
* **资产安全管理平台/自动化运维(CMDB)平台**
### 附录:开源组件
#### Docker
#### Kubernetes
#### Jenkins
#### Ansible
#### SnoreQube
#### Zabbix
#### Prometheus
#### Gitlab