企业技术体系管理制度

企业技术体系管理制度第一章总则与定位1.1目的本制度以“技术资产可控、研发过程可溯、交付质量可测、知识沉淀可用”为治理目标，通过统一标准、统一平台、统一数据，把企业所有技术活动纳入法治化、数字化、闭环化轨道，确保任何一次代码提交、一次环境变更、一次数据访问均可定位到人、追溯到需求、回滚到秒级。1.2适用范围适用于××集团及全资、控股、参股公司所有与软件、硬件、算法、数据、基础设施相关的技术活动，包括但不限于需求、设计、开发、测试、运维、安全、采购、下线、报废。1.3治理原则①合规先行：以《网络安全法》《数据安全法》《个人信息保护法》《密码法》为底线，任何技术决策先过法务合规评审。②风险左移：在需求阶段即完成威胁建模与合规评估，禁止“先上线、后补洞”。③平台承载：所有技术资产必须落入统一技术栈（GitLab、Kubernetes、Jenkins、SonarQube、Nexus、ELK、Prometheus），禁止“私有脚本”“黑箱工具”。④量化驱动：用北极星指标（需求交付周期、缺陷逃逸率、线上事故数、成本占比）衡量技术体系健康度，月度红黄绿灯预警。⑤持续改进：建立PDCA双环，小步快跑，季度复盘，年度升级制度版本。第二章组织与职责2.1技术治理委员会（TGB）主任：CTO；副主任：CISO、CIO；常设委员：架构部、运维部、数据部、法务部、财务部、审计部负责人。职责：审批技术战略、预算、重大技术引入与下线、事故定级与问责。2.2架构师办公室（AO）负责制定与演进《技术蓝图》《统一技术规范》《服务划分原则》；对任何新建系统拥有一票否决权；维护《架构决策记录（ADR）》库。2.3研发效能部（RE）负责CI/CD流水线模板、代码质量门禁、单元测试覆盖率基线、研发度量看板；对低于门禁的代码自动打回，无需人工评审。2.4生产保障部（SRE）负责SLI/SLO制定、容量模型、混沌工程、应急演练；拥有7×24分钟级发布冻结权与回滚权。2.5安全合规部（SEC）负责SDL流程、漏洞闭环、数据分级、加密基线、红蓝对抗；对未修复的高危漏洞可直接关停外网入口。2.6法务与审计部负责把国家法规转化为内部红线；每半年对技术体系做一次合规抽样审计，出具《合规缺陷报告》，逾期不整改即上报监事会。第三章技术资产全生命周期管理3.1资产分类①代码资产：源码、脚本、配置、SQL、IaC。②制品资产：容器镜像、Jar包、npm包、固件、License。③数据资产：业务数据、日志、算法模型、知识库。④基础设施：云账号、域名、证书、服务器、网络设备。3.2资产准入任何资产必须先入“技术资产库”才能进入生产环境；入库流程：提交申请→自动扫描（成分分析、许可证冲突、密钥硬编码）→审批→打标签（密级、Owner、生命周期）。3.3资产变更①代码变更：必须关联需求单/缺陷单，经过代码评审、CI门禁、安全扫描、自动化测试四道关卡。②配置变更：统一在Git仓库以MergeRequest方式提交，由SRE审批，禁止SSH登录服务器手动改配置。③数据变更：生产数据变更须走“数据变更工单”，双人复核，备份验证回滚脚本，超过10万行影响须CTO加签。3.4资产退役系统连续三个月QPS<1且业务Owner确认无调用，触发“退役预警”；进入30天观察期，观察期结束自动关闭资源并冷冻备份三年，三年后自动粉碎。第四章统一技术栈与版本策略4.1语言与框架白名单后端：Java17（SpringBoot3.x）、Go1.22、Python3.11；前端：React18、Vue3；移动端：Flutter3、Kotlin；禁止引入白名单外语言，特殊场景须TGB审批。4.2中间件白名单消息：Kafka3.5、RabbitMQ3.11；缓存：Redis7.0；数据库：MySQL8.0、PostgreSQL15、TiDB6.5；禁止自建Zookeeper、ActiveMQ等老旧组件。4.3版本策略①主版本升级：提前两个季度在“技术雷达”公示，提供兼容性报告与迁移工具。②补丁升级：高危漏洞<24h、中危<7天、低危<30天；SRE统一编排，业务方无感知热升级。③EOL管理：组件官方停止维护前6个月必须完成替换，否则直接列入“技术负债黑名单”，年度绩效扣减。第五章研发流程与门禁5.1需求阶段①模板：采用“用户故事+验收标准+合规风险”三段式；任何需求必须含性能基线（并发、RT、99线）。②评审：产品、研发、测试、安全、运维五方会签，安全出示《威胁建模报告》。5.2设计阶段①架构评审：AO组织，输出《架构设计说明书》《接口契约》《容量评估表》。②技术选型：只能在白名单内选择，超出需走“技术选型例外流程”，须CTO、CISO、CFO三方会签。5.3开发阶段①分支模型：GitFlow精简版——main、release、feature、hotfix；feature分支必须rebasemain后合并，禁止merge。②代码门禁：SonarQube质量阈≥B、单测覆盖率≥80%、重复度≤5%、安全漏洞=0；任何一项不达标自动打回。③提交规范：采用ConventionalCommits，格式：type(scope):subject；CI自动校验，不合规拒绝合并。5.4测试阶段①自动化测试：单元、接口、UI三层，代码覆盖率逐级递增（80%/70%/60%）。②性能测试：基准场景+容量场景+极限场景，输出《性能测试报告》，RT>P99基线1.5倍即阻塞发布。③安全测试：SEC做灰盒扫描+渗透测试，高危漏洞未修复禁止上线。5.5发布阶段①发布窗口：工作日10:00–12:00、14:00–16:00；周五下午及节假日前一天禁止主动发布。②发布审批：灰度5%→观察30分钟→指标无异常→全量；回滚时间≤5分钟。③发布记录：自动写入“发布日志库”，含版本号、变更摘要、回滚指令、审批人。第六章配置与变更管理6.1配置分层①应用配置：放在GitConfig仓库，按环境（dev/sit/uat/prod）分层目录，敏感字段用SOPS加密。②基础设施配置：使用Terraform统一编排，State文件放对象存储，开启版本控制与锁。③特性开关：使用Unleash平台，支持按用户、百分比、地域、版本多维度切流。6.2变更流程①变更申请：在Jira创建“变更单”，字段含变更类型、影响范围、回滚方案、验证方案。②评审分级：低风险自动审批；中风险由SRE审批；高风险须TGB周会审批。③变更执行：通过AnsibleTower或ArgoCD自动下发，全程录屏；禁止人工SSH。④变更验证：自动化对账+业务探针+监控告警三重验证，异常即触发自动回滚。6.3变更审计所有变更记录写入“变更审计数仓”，保存五年；审计部可随机抽查，发现违规即启动问责。第七章数据管理与安全7.1数据分级按敏感度分P1–P4：P1（绝密，如密钥、薪资）、P2（机密，如用户实名）、P3（内部，如订单）、P4（公开，如商品名）。7.2数据访问①最小权限：基于RBAC+ABAC，默认拒绝，按需申请，7天自动回收。②脱敏策略：P1/P2数据出生产库必须脱敏，脱敏算法须通过SEC评审。③审计日志：所有SELECT、UPDATE、DELETE写入Kafka，实时入湖，保存三年。7.3备份与恢复①备份策略：全量每日、binlog实时；RPO≤15分钟，RTO≤30分钟。②恢复演练：季度做一次“盲演”，随机挑选实例做恢复，失败即扣减运维绩效。7.4跨境传输任何数据离开中国大陆须先完成数据出境安全评估，并在法务备案；未备案直接关停API。第八章研发安全（SDL）8.1安全培训新员工入职一周内完成“安全必修课”，未通过考试GitLab权限自动关闭；在职员工每季度完成“安全微课+钓鱼演练”，点击率>5%的部门全员重训。8.2威胁建模采用STRIDE方法，每需求必输出《威胁建模表》，高威胁须给出缓解方案与验证测试用例。8.3安全扫描①依赖库：使用Dependency-Track，高危漏洞>24h自动创建Jira阻塞单。②容器镜像：使用Trivy扫描，禁止≥HIGH漏洞镜像进入生产仓库。③代码审计：使用CodeQL自定义规则，重点检测SQL注入、越权、硬编码密钥。8.4红蓝对抗红队每季度发起一次实战攻击，目标为生产网但不影响业务；蓝队须30分钟内发现、60分钟内止血、24小时内出具《攻击复盘报告》。第九章质量门禁与度量9.1北极星指标①需求交付周期：从“需求评审完成”到“生产发布”≤10天。②缺陷逃逸率：P1缺陷逃逸到生产=0，P2≤0.5%。③线上事故：P1事故季度=0，P2≤1次。④成本占比：云资源成本占营收≤8%。9.2度量采集所有数据由研发工具链自动上报，禁止人工填报；数据入“研发数据湖”，统一口径。9.3红黄灯机制月度指标红灯即触发“质量改进专项”，由部门总监牵头，两周内输出《改进计划》；连续两月红灯直接更换负责人。第十章供应商与外包管理10.1准入评估①技术评估：使用《供应商技术能力评分表》，含CI/CD、安全、自动化测试、灾备等30项指标，<80分禁止准入。②合规评估：提供等保证书、ISO27001、SOC2Type2报告；涉及数据处理须签《数据处理协议（DPA）》。10.2代码托管外包代码必须存入集团GitLab，禁止私有化仓库；每日自动扫描，发现后门即终止合同并索赔。10.3交付门禁与内部系统同标准：质量门禁、安全扫描、性能基线、上线审批；不达标拒绝付款。10.4退出机制合同终止前须完成知识移交、账户清理、数据删除，由审计部出具《退出验收报告》后方可支付尾款。第十一章应急与灾备11.1事故分级P1（核心业务不可用>15分钟）、P2（重要功能不可用>30分钟）、P3（一般功能异常）、P4（体验问题）。11.2应急响应①发现：监控、客服、用户多渠道，1分钟内生成PagerDuty告警。②定级：值班SRE5分钟内定级，P1/P2立即拉战群，群成员：CTO、业务Owner、SEC、公关。③止血：优先降级、限流、回滚、切换；P1要求15分钟内恢复。④复盘：使用“5Why+Timeline”模板，24小时内输出《事故报告》，72小时内提交《改进措施清单》。11.3灾备演练①双活架构：核心系统RPO=0，跨可用区双活，季度做机房级切换演练。②备份恢复：数据库每日做“闪电恢复”演练，失败即扣减运维奖金。第十二章知识沉淀与培训12.1知识库统一使用Confluence，按照“领域—系统—版本”三级目录；任何上线必须同步更新《系统操作手册》《故障预案》。12.2技术分享每月举办“技术沙龙”，部门轮流分享，出勤率纳入总监KPI；优秀分享授予“技术之星”，奖金5000元。12.3新人训练营为期两周，涵盖制度、工具链、业务沙盘、上线实操；毕业标准：独立完成一次生产发布零回滚。第十三章合规审计与问责13.1审计流程审计部每半年随机抽取20%系统，覆盖代码、配置、权限、日志、备份；出具《技术合规审计报告》，评分<90分即启动整改。13.2问责条款①未审批引入黑名单组件：直接负责人警告，部门季度绩效扣10%。②生产密钥提交到Git：立即开除，并追究法律责任。③线上P1事故：事故责任人次季度晋升冻结，年度奖金取消。13.3申诉机制责任人对定责有异议可在3个工作日内向TGB申诉，TGB5个工作日内给出终裁。第十四章落地工具链与账号清单14.1账号体系统一使用LDAP+SSO；所有系统必须接入OIDC；禁用共享账号，发现即封号。14.2工具链版本GitLabEE16.7、Jenkins2.426、SonarQube10.3、Nexus3.61、ArgoCD2.9、Kubernetes1.28、Harbor2.10、Dependency-Track4.10、Terraform1.6、Ansible2.16。14.3集成规范所有工具通过Webhook打通，事件流统一入Kafka，再入ELK，确保单点可查、全程可溯。第十五章实施步骤（2025年度）15.1Q1①组建TGB，发布制度1.0版；②完成工具链POC，统一LDAP；③梳理现有系统，建立《技术资产清单》基线；④完成全员安全培训与考试。15.2Q2①所有新需求强制走GitLabMergeRequest，代码门禁正式生效；②灰度发布系统上线，P1系统完成双活改造；③供应商重新评估，不合格者终止合同；④第一次红蓝对抗演练。15.3Q3①数据分级与加密全落地，跨境传输完成合规评估；②混沌工程常态化，每月随机注入故障；③技术雷达发布，淘汰EOL组件；④第一次合规审计，目标评分≥90。15.4Q4①制度1.1版发布，整合审计缺陷；②成本优化专项，云资源节省10%；③年度复盘大会，表彰技术之星；④制定下一年度技术战略与预算。第十六章附表与模板16.1附件A《需求模板》16.2附件B《威胁建模表》16.3附件C《架构设计