# openSDLC **Repository Path**: SteveRocket/openSDLC ## Basic Information - **Project Name**: openSDLC - **Description**: 自动化研发安全测试运维一体化平台(DevSecTestOps)-安全开发生命周期(SDLC)平台 http://www.mdrsec.com - **Primary Language**: Unknown - **License**: Not specified - **Default Branch**: master - **Homepage**: https://mp.weixin.qq.com/s/V5Axn-ZWi22ubh5Jiocb9g - **GVP Project**: No ## Statistics - **Stars**: 2 - **Forks**: 0 - **Created**: 2023-09-28 - **Last Updated**: 2026-07-03 ## Categories & Tags **Categories**: Uncategorized **Tags**: None ## README # 软件开发生命周期管理系统(SDLC) ## 关于我们 - 官网:logo http://www.mdrsec.com 我们的技术文章和产品概述欢迎浏览我们的门户。 - 公众号:CTO Plus 最新的动态欢迎关注我们官方唯一公众号。 微信公众号 - 作者QQ 更详细更具体的需求,或者项目合作,或者问题 欢迎联系我。 我的QQ - QQ群 我们官方组建的QQ群,如果您有兴趣也可以加入我们。 QQ群 - 请喝咖啡 如果感兴趣,也可以请我喝杯咖啡 请我喝咖啡 ## 产品核心功能模块 ![](index.jpg) ![](数据库设计.jpg) ![](部署流水线.jpg) ![](里程碑.jpg) 我们自研的企业级软件开发生命周期管理(SDLC)系统不仅仅是单纯的“项目管理工具”、“需求文档仓库”,还是连接业务战略与技术交付的桥梁。我们的SDLC系统,具备从**战略规划、研发交付、质量保障到运维反馈**的全链路闭环管理能力,核心任务在于**降低软件交付的复杂性、提升端到端的价值流动效率,并确保交付物与业务目标的对齐**。 不同于面向小团队的轻量级工具,我们企业级SDLC系统能应对多团队协作、复杂产品线、严格的合规监管以及存量系统集成等需求。这里我将从**全生命周期覆盖、端到端可追溯性、企业级治理与度量、以及智能化演进**四个维度,介绍下我们的SDLC管理系统核心功能与特性。 ## 全生命周期管理 我们的SDLC系统首先是一个“全生命周期”的管理平台,可以无缝连接软件交付的每一个关键环节,消除信息孤岛。 ### 1. 战略规划与需求管理:构建业务与技术的连接点 需求是软件交付的源头,混乱的需求管理是项目失败的首要原因。我们SDLC系统的需求管理模块具备以下核心能力: - **多层次需求结构化**:支持从高层级的业务史诗、特性到具体的用户故事进行逐级分解与映射,确保业务目标能够无损转化为技术任务 。 - **可视化路线图与版本规划**:能够将需求池与产品路线图、发布计划动态关联,支持基于时间线或版本的拖拽式规划,直观展示“何时交付何种价值”。 - **需求依赖与影响分析**:当某一底层需求变更时,系统应能自动高亮受影响的关联功能、测试用例及代码模块,提供决策支持。 ### 2. 敏捷项目管理与团队协作:从瀑布到大规模敏捷的适配 企业级环境往往混合了多种项目管理模式。我们SDLC系统提供灵活的协作框架,而非强制推行单一方法论: - **多模式项目支持**:系统需同时兼容**传统瀑布模式**(适合需求明确、流程固定的强合规项目)和**敏捷开发模式**(Scrum与Kanban)。高级系统还应支持**大规模敏捷框架(SAFe)** ,能够管理跨团队的“敏捷发布火车”,实现跨项目群的任务依赖映射与进度同步 。 - **精细化迭代与看板管理**:提供可视化的迭代看板与任务面板,支持WIP限制、状态流转自定义,实时呈现团队速率与燃尽/燃起图。 - **多层次协同**:不仅是任务分配,更要支持跨团队、跨职能(业务、开发、测试、运维)的透明化协作,打破部门墙。 ### 3. 开发与版本控制:代码资产与工程能力的统一调度 代码是软件的核心资产,我们SDLC系统对开发环节的管理不局限于代码托管,更关注工程效率的调度: - **代码托管与分支策略标准化**:无缝集成Git等主流版本控制系统,系统应能可视化管理代码仓库,并支持强制执行规范化的分支策略(如Git Flow或GitHub Flow),通过规则限制不合规的代码合并 。 - **代码评审与质量门禁**:将代码评审作为流水线的必选环节,支持MR/PR的模板化与自动触发。结合SonarQube等静态代码扫描工具,在合并前自动检测代码异味、安全漏洞与复杂度,设置**质量门禁**拦截不达标代码入库 。 - **组件化与制品库管理**:具备对构建产物的统一管理能力,支持Docker镜像、Maven/JAR包等制品的版本化存储与安全扫描,为后续的持续部署提供可靠物料。 ### 4. 测试管理与质量保障:全流程的质量内建 质量不是测出来的,而是从需求阶段“内建”的。我们的SDLC系统将测试活动贯穿始终: - **全流程测试追溯**:实现从**需求-用例-缺陷-代码提交**的双向追溯。任何一个测试失败,都应能快速定位到对应的需求变更和代码提交记录 。 - **多元化测试类型覆盖**:支持管理手工测试、API自动化测试、UI自动化测试、性能测试及安全测试等多种类型。系统应能集成Selenium、JUnit、Postman等主流测试框架,统一收集与解析测试报告 。 - **缺陷全生命周期闭环**:不仅仅是记录Bug,更强调基于分支的缺陷修复流程。当缺陷状态变更为“已解决”时,系统应校验是否有对应的代码提交记录与回归测试结果,防止“假修复”。 ### 5. 持续集成与持续部署(CI/CD):打通价值的交付流 CI/CD是SDLC系统的“动脉”,负责自动化地流转代码与制品。系统提供强大的流水线编排能力,将构建、测试、部署动作串联为可视化的工作流,支持阶段间的条件触发与审批机制。对于容器化环境,系统深度集成Kubernetes,支持蓝绿部署、金丝雀发布、滚动升级等高级部署策略,并具备部署失败时的自动/手动回滚能力 。 ### 6. 运维监控与反馈闭环:以终为始的数据回流 软件生命周期不止于上线。我们的SDLC系统建立**Ops-to-Dev**的反馈链路:一方面,通过对接APM工具实时监控应用性能与可用性,一旦触发告警阈值,系统能在看板中高亮标记受影响的版本,甚至自动创建故障工单回流向待办事项;另一方面,建立从用户反馈到产品待办列表的自动化管道,将客服工单、NPS评分或应用商店评论经AI分类后,自动转化为待评审的需求条目,形成“开发-交付-反馈”的完整闭环 。 ## 端到端的可追溯性与流程编排:从被动记录到主动治理 **可追溯性与流程编排**贯穿整个系统。 ### 1. 全链路对象关联与溯源 我们的SDLC系统建立一张覆盖所有研发对象的**关系图谱**。任何一个需求ID,都能向下关联到具体的代码提交、构建记录、测试用例、缺陷单和部署环境。当发生生产事故时,管理员无需人工询问,即可在系统的追溯视图中一键定位:**是哪个版本(Deployment)引入了由哪个需求(Requirement)导致的代码变更(Commit)** 。这种强大的可追溯性不仅是技术排查的需要,更是通过ISO、CMMI、SOC2等审计的必要条件 。 ### 2. 灵活的安全与合规卡点(Security & Compliance Gates) 在企业级生产场景下,流程自动化不等于自由放任。我们的SDLC系统支持在CI/CD流水线中定义**人工审批节点**与**自动化合规检查点**。例如,在部署至生产环境前,系统可强制检查是否存在未修复的高危漏洞、是否完成合规性检查(如数据隐私保护条款确认)、是否经过指定负责人的电子签名审批 。这种流程编排能力确保了在追求速度的同时不牺牲企业的安全底线。 ### 3. 跨工具链的元数据聚合 企业研发工具链往往由Jira、GitHub、Jenkins、SonarQube、Snyk等多款异构产品组成。我们的SDLC系统作为**元数据的聚合层**,通过REST API将散落在各工具的进度、质量、安全数据抓取整合,在一个统一的仪表盘上呈现“单一事实来源”,避免项目经理在不同工具间切换寻找真相 。 ## 企业级度量、治理与开放生态 当企业拥有数百乃至数千人的研发队伍时,我们的SDLC系统具备强大的**企业级治理能力**和**可扩展性**。 ### 1. 多维度的效能度量与洞察 “没有度量就没有改进”。我们的SDLC系统内置强大的数据分析和效能度量引擎: - **DORA指标体系落地**:系统需天然支持部署频率、变更前置时间、平均恢复时间、变更失败率四项核心指标的自动化采集与计算,帮助企业量化评估DevOps成熟度 。 - **多视角效能看板**:支持从**组织级、项目群级、项目级、个人级**四个维度逐层下钻。高管关注交付吞吐量与ROI,项目经理关注进度与阻塞项,技术经理关注代码质量与复用率 。 - **AI辅助洞察**:利用AI分析历史数据,预测潜在延期风险,识别团队瓶颈。例如,系统可自动提示“该需求在评审阶段停留时间超过平均周期200%,存在阻塞风险” 。 ### 2. 平台开放性(API优先与插件架构) 我们在实施时,发现没有一套SDLC系统能完全覆盖所有企业的特有场景(包括一套CMDB也不完全适用于某个行业)。因此,强大的**API开放能力**和**插件/扩展架构**是企业级平台的必选项。我们的SDLC系统允许企业通过Webhook、REST API甚至自定义脚本,将内部的特定规则(如独特的成本核算逻辑、特定架构的部署脚本)嵌入SDLC流程中,实现“平台标准化”与“企业个性化”的平衡 。 ### 3. 统一权限与访问控制 针对大规模组织架构,我们的SDLC系统支持基于RBAC的精细化权限管理。支持与企业的LDAP/AD域或单点登录(SSO)集成,并能区分“项目管理员”、“只读审计员”、“外包开发人员”等不同角色的数据可见性与操作权限,确保核心代码与数据资产的安全受控 。 ## 系统功能模块 - 仪表盘:项目概览、统计卡片、进度图表、待办任务、最近活动 - 项目管理:项目列表、时间线、里程碑 - 需求管理:需求列表、待办、追踪 - 设计管理:架构设计、数据库设计、接口设计、UI设计 - 开发管理:开发任务、代码库、分支管理、代码评审 - 测试管理:测试计划、用例、执行、缺陷管理 - 缺陷管理:缺陷跟踪,状态流转 - 部署管理:环境配置、部署流水线、版本管理、发布记录 - 运维管理:系统监控、告警管理、日志管理、备份恢复 - 报表中心:各类统计报表 ## 后面规划 目前大模型盛行的时期,我们的SDLC系统的核心竞争力正在向**智能化(AI-Native)** 与**开发者体验(DevEx)** 转移。 ### 1. AI智能副驾的深度介入 生成式AI正在重塑SDLC的每一个环节,后面我们的SDLC系统将是AI原生的: - **需求精炼与生成**:AI可根据一句话的业务意图,自动生成符合INVEST原则的标准用户故事与验收标准,并辅助进行需求排重与优先级排序 。 - **代码与测试辅助**:在IDE插件中提供上下文感知的代码补全与解释,自动生成单元测试用例,甚至根据API文档自动构建端到端的测试脚本 。 - **智能排障与修复建议**:当流水线构建失败或出现生产告警时,AI Copilot能根据日志分析自动给出修复建议或归因分析,显著缩短故障平均修复时间。 ### 2. 开发者体验的量化与优化 生产力竞争是研发效能的竞争,而研发效能的根基在于开发者体验。我们的SDLC系统将引入**开发者体验指数(DXI)** ,通过量化开发者编码时的等待时间、工具切换频率、构建排队时长等“摩擦点”,为管理层提供优化工具链的依据。例如,系统可量化证明“采用新的AI编码工具后,开发者无效等待时间减少了30%”,从而将工具投入与业务产出直接挂钩 。 ## 最后 我们的SDLC系统是一个**重流程、强关联、可追溯、能度量、有智慧**的一体化平台。不仅要解决“怎样把软件做出来”的工程问题,更要解决“怎样高效、合规、高质量地做正确的事”的管理问题。对于寻求数字化转型突破的企业而言,选择一个合适的SDLC系统并非简单的软件采购,而是**一场关于研发理念与组织协作模式的深度变革**。唯有将系统功能与组织流程深度融合,才能真正释放软件交付的澎湃动力。 --- - 官网:http://www.mdrsec.com - 产品文档:http://www.docs.mdrsec.com - 系统演示环境:http://www.play.mdrsec.com *本文由 http://www.mdrsec.com 官方出品,如需转载或深度讨论,请联系作者。* 更多需求问题、功能特性和定制化开发欢迎联系我们咨询。 ## 产品清单 ### 企业网络安全运营中心产品 - 资产安全配置管理系统(SCMDB) - 终端侦测与响应系统(EDR) - 网络侦测与响应系统(NDR) - 企业网络资产攻击面管理系统(CAASM) - 资产暴露面管理系统(AEMS) - 网络安全蜜罐管理系统(HoneyPot) - 安全事件收集与告警管理系统(SIEM) - 扩展侦测与响应系统(XDR) - 多引擎脆弱性扫描系统(VAS) - 多源日志审计监测系统(LAS) - 网络安全威胁情报中心(TIS) - 网络安全漏洞库管理系统(VDBS) - 网络安全编排与自动化响应(SOAR) - 威胁狩猎系统(THS) - 数据库安全审计系统(DSAS) - AI智能体安全态势管理系统(AISPM) - Web防火墙(WAF) - 网站安全监测平台(WSM) - 网络安全态势感知平台(SSAP) - 网络安全自动化应急响应工具系统(NSRT) - 企业网络安全运维工具系统(SecTools) - 网络安全自动化等保测评系统(ASES) - 浏览器安全监测防护系统(BSMPS) - 网络安全用户实体行为分析系统(UEBA) - 互联网电信诈骗预警防护系统(TPFWS) - 云原生安全管理平台(CNAPP) - 自动化渗透测试系统(PTS) - 工业企业信息安全监测中心(IoT SOC) - 企业智能安全运营中心(AISOC) ### 企业自动化运维产品 - 运维智能监控告警管理平台(AIMAMS) - 企业网络工具系统(NTools) - 自动化测试系统(AutoTest) - 自动化运维系统(AutoOps) - 企业运维工具系统(OpsTools) - 物联网管理系统(IoTS) - 软件开发生命周期管理系统(SDLC) - IT流程管理系统(ITSM) ### 企业数字化运营资源管理系统产品 - 制造执行管理系统(MES) - 运输管理系统(TMS) - 跨境电商企业资源管理系统(ERP) - 企业客户关系管理系统(CRM) - 跨境电商仓库管理系统(WMS) - 企业财务管理系统(FMS) - 企业质量管理系统(QMS) - 企业精准营销管理系统(PMS) - 企业智能生产管理系统(SPMS) - 电商BI系统(BI) - 智能互联网分布式爬虫系统(AISpider) ## ABOUT **【关于我们】** * [主页:http://116.205.137.183/index_pro.html](http://116.205.137.183/index_pro.html) * [Articulate v1.0](https://mp.weixin.qq.com/s/0yqGBPbOI6QxHqK17WxU8Q) * [Articulate v2.0](https://mp.weixin.qq.com/s/V5Axn-ZWi22ubh5Jiocb9g) [![](https://img.shields.io/badge/GitHub-zrf--rocket-blue?logo=gitpod)](https://github.com/zrf-rocket) [![](https://img.shields.io/badge/Gitee-SteveRocket-pink)](https://gitee.com/SteveRocket/) ![CTO Plus](https://img.shields.io/badge/微信公众号:CTO%20Plus-8A2BE2) 🥰 ## Contact ![微信公众号](./static/wechat.png) **< 微信公众号 >** ![QQ技术交流群](./static/qq_link.png) **< QQ技术交流群 >** ![联系作者](./static/wechat.jpg) **< 联系作者 >** ## **【代码工程系列】** * [Python和Go的设计模式](https://github.com/zrf-rocket/DesignPattern) * GitHub:https://github.com/zrf-rocket/DesignPattern * Gitee:https://gitee.com/SteveRocket/design_pattern * [Python、Go的编码技巧cookbook](https://github.com/zrf-rocket/CookBook) * GitHub:https://github.com/zrf-rocket/CookBook * Gitee:https://gitee.com/SteveRocket/cook-book * [Go代码示例](https://github.com/zrf-rocket/PracticeGo) * GitHub:https://github.com/zrf-rocket/PracticeGo * Gitee:https://gitee.com/SteveRocket/practice_go * [Python代码示例](https://github.com/zrf-rocket/PracticePython) * GitHub:https://github.com/zrf-rocket/PracticePython * Gitee:https://gitee.com/SteveRocket/practice_python * [Python Web框架的示例代码](https://github.com/zrf-rocket/PythonFramework) * GitHub:https://github.com/zrf-rocket/PythonFramework * Gitee:https://gitee.com/SteveRocket/python_framework * Django:https://github.com/zrf-rocket/PythonFramework/tree/master/django_framework * Flask:https://github.com/zrf-rocket/PythonFramework/tree/master/flask_framework * [Python 爬虫框架和技术](https://github.com/zrf-rocket/PracticeSpider) * GitHub:https://github.com/zrf-rocket/PracticeSpider * Gitee:https://gitee.com/SteveRocket/practice_spider * [Rust代码示例](https://github.com/zrf-rocket/PracticeRust) * GitHub:https://github.com/zrf-rocket/PracticeRust * Gitee:https://gitee.com/SteveRocket/practice_rust * [Vue代码示例](https://github.com/zrf-rocket/PracticeVue) * GitHub:https://github.com/zrf-rocket/PracticeVue * Gitee:https://gitee.com/SteveRocket/practice_vue * [前端代码示例](https://github.com/zrf-rocket/PracticeFronted) * GitHub:https://github.com/zrf-rocket/PracticeFronted * Gitee:https://gitee.com/SteveRocket/practice_fronted * [Python自动化测试框架](https://github.com/zrf-rocket/PythonTestAutomationFramework) * GitHub:https://github.com/zrf-rocket/PythonTestAutomationFramework * Gitee:https://gitee.com/SteveRocket/python_test_automation_framework * [Python和Go的算法代码示例](https://github.com/zrf-rocket/Algorithms) * GitHub:https://github.com/zrf-rocket/Algorithms * Gitee:https://gitee.com/SteveRocket/Algorithms * [Python和Go的数据结构代码示例](https://github.com/zrf-rocket/DataStructure) * GitHub:https://github.com/zrf-rocket/DataStructure * Gitee:https://gitee.com/SteveRocket/data_structure * [编码规范](https://github.com/zrf-rocket/DevGuide) * GitHub:https://github.com/zrf-rocket/DevGuide * Gitee:https://gitee.com/SteveRocket/develop_guide * [编码安全规范](https://github.com/zrf-rocket/SecGuide) * GitHub:https://github.com/zrf-rocket/SecGuide * Gitee:https://gitee.com/SteveRocket/security_guide ## **【产品系列】** * [主机监控系统-日志收集与报警管理系统(SIEM)](https://github.com/zrf-rocket/SIEM) * GitHub:https://github.com/zrf-rocket/SIEM * Gitee:https://gitee.com/SteveRocket/siem * [安全运营中心(SOC)-终端侦测与响应系统(EDR)](https://github.com/zrf-rocket/EDR_SOC) * GitHub:https://github.com/zrf-rocket/EDR_SOC * Gitee:https://gitee.com/SteveRocket/edr_soc * [安全运营中心(SOC)-信息资产采集与安全评估系统(ICSA)](https://github.com/zrf-rocket/SOC_ICSA) * GitHub:https://github.com/zrf-rocket/SOC_ICSA * Gitee:https://gitee.com/SteveRocket/SOC_ICSA * [DevSecTestOps-SDLC-自动化研发安全测试运维一体化平台(DevSecTestOps)](https://github.com/zrf-rocket/DevSecOps-SDLC) * GitHub:https://github.com/zrf-rocket/DevSecOps-SDLC * Gitee:https://gitee.com/SteveRocket/dev-sec-ops-sdlc * [Penetration Test-自动化渗透测试平台(PT)](https://github.com/zrf-rocket/PenetrationTest) * GitHub:https://github.com/zrf-rocket/PenetrationTest * Gitee:https://gitee.com/SteveRocket/penetration_test * [cicd-持续集成持续部署系统(CI/CD)](https://github.com/zrf-rocket/CICD) * GitHub:https://github.com/zrf-rocket/CICD * Gitee:https://gitee.com/SteveRocket/cicd * [AI图像识别-智能缺陷检测系统]() * [基于AI图像识别的工业缺陷检测应用系统(GPU&FPGA)](https://mp.weixin.qq.com/s/04qefQFg-Pg1Gcqq1vBLQQ) * [基于AI图像识别的智能缺陷检测系统,在钢铁行业的应用-技术方案](https://mp.weixin.qq.com/s/dSHbnuOwQZzE4CvPr1JYjg) # 自动化研发安全测试运维(DevSecTestOps)一体化平台-安全开发生命周期(SDLC)平台 > ### Dev #### 编码规范 代码规范检测与自动编排 * 前端:Vue、HTML、CSS、JavaScript * 后端:Golang、PHP、Python、C/C++、Java > ### Sec #### 编码安全 代码安全扫描 1. 隐私泄露(敏感信息)扫描 2. 安全配置 3. 代码漏洞 **对应平台系统** * **安全扫描自动化检测平台** * **黑白盒代码审计系统(SDLC)** > ### Test #### 系统测试 1. 单元测试 2. 性能测试 3. 接口测试 4. UI测试 5. 安全测试 **对应平台系统** * **自动化测试平台** > ### Ops 1. 工程构建 2. 打包 3. 制品 4. 发布 5. 部署 6. 服务组件安全配置规范扫描 * MySQL * Redis * Linux * Windows * K8S * ...... **对应平台系统** * **作业平台** * **监控平台** * **CI/CD系统** * **安全合规平台** * **资产安全管理平台/自动化运维(CMDB)平台** ### 附录:开源组件 #### Docker #### Kubernetes #### Jenkins #### Ansible #### SnoreQube #### Zabbix #### Prometheus #### Gitlab