敏捷开发流程

Posted 2022-10-17 三名狂客

一、敏捷起源

2001年2月，Martin Fowler，Jim Highsmith等17位著名的软件开发专家齐聚在美国犹他州雪鸟滑雪圣地，举行了一次敏捷方法发起者和实践者的聚会。在这次会议上面，他们正式提出了Agile(敏捷开发)这个概念，并共同签署了《敏捷宣言》。 我们一直在实践中探寻更好的软件开发方法，身体力行的同时也帮助他人。由此我们建立了如下价值观：

个体和互动 高于 流程和工具
工作的软件 高于 详尽的文档
客户合作 高于 合同谈判
响应变化 高于 遵循计划

也就是说，尽管右项有其价值，我们更重视左项的价值。

（1） 预定义型过程控制(发射火箭) (2) 经验性过程控制(开车)

软件研发的主要效率来源于团队协作和互动

文档作用: (1) 沟通 (2)知识回溯

效率: 单个步骤的开发的时间 → 响应力: 达到目标所需要的时间

邓巴数理论(150):社交网络给了我们联系，却未必给了我们交流；拉近了我们的距离，却未必增加我们的亲密；激发了我们社交的天性，却可能磨平了我们沟通的能力。社交的幸福感来自社交的质量而不是数量，来自于沟通的深度而不是频率。

二、敏捷12条原则

1、我们的最高目标是，通过尽早和持续地交付有价值的软件来满足客户。

2、欢迎对需求提出变更——即使是在项目开发后期。要善于利用需求变更，帮助客户获得竞争优势。

3、要不断交付可用的软件，周期从几周到几个月不等，且越短越好。

4、项目过程中，业务人员与开发人员必须在一起工作。

5、要善于激励项目人员，给他们以所需要的环境和支持，并相信他们能够完成任务。

6、无论是团队内还是团队间，最有效的沟通方法是面对面的交谈。

7、可用的软件是衡量进度的主要指标。

8、敏捷过程提倡可持续的开发。项目方、开发人员和用户应该能够保持恒久稳定的进展速度。

9、对技术的精益求精以及对设计的不断完善将提升敏捷性。

10、要做到简洁，即尽最大可能减少不必要的工作。这是一门艺术。

11、最佳的架构、需求和设计出自于自组织的团队。

12、团队要定期反省如何能够做到更有效，并相应地调整团队的行为。

三、Scrum的3355理论（3个角色，3个工件，5个价值观，5个仪式/事件）

(1) 3个角色

1.1.Product Owner

产品所有人，简称PO，主要职责是负责Product Backlog和Sprint Backlog。PO不仅要决定选择做什么，还要能从商业价值的角度解释为什么做这些。PO的日常工作主要有：

• 在产品团队中扮演业务的发言人，是项目的客户或者代表
• 有充足的知识和授权
• 定义业务需求，定义产品的最高优先级的特征和功能
• 根据需求的商业价值对其进行优先级排序
• 确定发布日期和发布内容
• 根据需要调整每个Sprint的需求和优先级
• 在Sprint交界处可以变更功能和优先级
• 定义验收标准
• 接受或者推翻工作成果
• 对于每个敏捷团队做的所有工作的价值、优先级和细节拥有最终的权威
• 对于业务目标和期望的最终结果的深层的了解使得其拥有此权威
• 与团队一起更紧密地工作

1.2.Scrum Master

Scrum教练或者Scrum大师，简称SM，主要职责是传播敏捷的思想，保证Scrum的流程。日常工作主要有：

• 促进团队的工作
• 精心组织Scrum的各种仪式
• 负责设定Scrum的价值和实践
• 确保团队的组件完整性且保证效率高产
• 促成所有角色和职能之间的紧密协作
• 排除障碍
• 保护团队不受外界干扰

1.3.The Team

研发团队，是任务执行团队，一般是一个跨职能团队（一般包括前后台研发、测试等），能够切实提供一个可用产品的团队。团队主要有以下特征：

• 典型团队通常为5-9个人
• 跨职能团队，囊括了开发人员、测试人员、业务分析师等开发最终软件所必需的角色
• 团队成员应该是全职的。也可能有特殊情况 (例如, 数据库管理员DBA等兼职)
• 保持纪律，遵守承诺，按时交付软件成果
• 自组织、自管理的团队

(2) 3个工件

2.1.Product Backlog

产品待办事项集合，整个产品的用户故事集合，这些用户故事可以来自甲方客户、终端用户、PO自己对产品的理解、研发团队等。它具有以下特点：

• 是项目的需求列表
• 以用户故事的形式表示
• 包含功能性以及非功能性需求
• 每项需求应该描述其商业价值
• PO负责进行对Product Backlog Item（产品待办事项）优先级排序
• 每个Sprint开始之前要重新进行排序，以确定最重要的事项
• 随着项目的进行，可能新增、变更或减少条目

2.2.Sprint Backlog

冲刺待办事项列表，一个冲刺目标阶段内的用户故事列表。
这些用户故事来自Product Backlog，每次冲刺前，PO根据交付价值，将优先级最高的用户故事放入迭代。它具有如下特点：

• 从产品Backlog中取出前面若干项，在当前Sprint中被实现
• 每个用户故事应该能够在当前Sprint中被实现
• 每一个用户故事都会被分解并关联到若干个子任务（Task）
• 团队成员自愿挑选任务
• 每日更新任务剩余时间
• 团队成员均可按需在Sprint Backlog中增加、修改、删除任务
• 如果Sprint工作不清晰，创建Sprint Backlog时先估算一个比较大的时间段，在后续阶段再做进一步的缩短
• 伴随着任务的逐步清晰化，及时更新剩余时间
• 对于用户故事的完成，团队一起定义“完成”的标准（DoD）
• DoD代表了各种用于确保sprint backlog中质量、准确性、业务关联性活动

2.3.Increment

增量是一个 Sprint 完成的所有产品待办列表项的总和，以及之前所有 Sprint 所产生的增量的价值总和。在 Sprint 的最后，新的增量必须是“完成”的，这意味着它必须可用并且达到了 Scrum 团队“完成”的定义的标准。增量是在 Sprint 结束时支持经验主义的、可检视的和已完成的产品组成部分。增量是迈向愿景或目标的一步。无论产品负责人是否决定发布它，增量必须可用

(3) 5个价值观

价值观是任何一种方法学都应当具备的核心，它也是把认同相同价值观的人群聚拢在一起的精神力量。Scrum的五大价值观，从敏捷实践中来，应用于敏捷实践中去，真实、生动而又准确地反应了敏捷运动中重视人的因素。

3.1.Focus

专注，将故事拆解为冲刺阶段，目标细化，同时也是集中绝对的团队能力，解决既定目标，体现当前的专注，也排除其他插入时间的消耗。

通过在一段时间内只专注于少数几件事情，团队可以很好地进行合作并交付出优质的成果，也能够更快地交付有价值的事项。

专心成就专注，专注造就专业，专业铸就成功！

3.2.Courage

勇气，Scrum团队中的成员，既要有勇气接受看似不可能的挑战，又要有勇气拼尽全力去完成个人承诺要交付的成果，更要有勇气对不合理的要求说“不”。Scrum团队不是单打独斗，大家能够相互支持，因而应当具备足够的勇气去接受更大的挑战。

为了接受并负责任的交付产品，团队成员必须有足够的勇气来对大家说“不”，比如不能承诺时，对纳入Sprint的故事说“不”等，做这些决定其实是需要很大的勇气的，因为前面并不一定是平坦之路，但对自己要绝对自信。

3.3.Openness

开放，在Scrum团队中，每个人都会遇到障碍，每个人都会有长于别人、弱于别人之处。保持开放的心态，公开透明地展示自己的强项、弱点，明确地展示自己的工作进展、遇到的障碍等状态，有助于构建更加团结、凝聚的团队氛围，构建更加稳固的自组织、自管理、跨职能的Scrum团队。

当团队成员遇到障碍，或对某些事项表示担忧，明确无误地表达出来，有助于团队及时采取措施解决问题，预防风险的发生，按时完成团队承诺的交付成果。

开放是体现敏捷可视化、透明性的重要保证。

3.4.Respect

尊重，跨职能团队的成员具有不同的技能、经历背景，在技术上各有所长，因而才具备交付客户价值所需要的各种技能。保持对别人的尊重，既是最基本的个人涵养，也是团队保持团结、凝聚所必需的人际技巧。

就个人而言，三人行必有我师，常怀空杯心态，尊重每一个人，向不同人的学习，自己才能真正不断成长。就团队而言，彼此尊重，才能凝聚更大力量，才能塑造团队成员之间的信任，在工作中彼此支持、相互帮助，协同工作，分享成功和失败。

3.5.Commitment

承诺，自组织、自管理团队成员主动认领开发任务，既是对团队的承诺，也是对自己个人能力的自信，更是对交付客户价值的渴望。中国人向来讲究“一诺千金”，每个人都恪守对团队的承诺，不遗余力、竭尽全力去交付自己的承诺，团队才能前进、客户价值才能实现。由于对自己的命运有更大的掌控，团队会有更坚定的信念去创造成功。

(4) 5个仪式/事件

4.1.Sprint Planning Meeting

Sprint计划会，在每个Spring开始之时召开，由Product Owner、Scrum Master和Scrum Team全体人员参加。这个会议主要有两件事情要确定：

1. 要确定当前Sprint的目标
2. 选定当前Sprint要处理的最具价值的用户故事，创建Sprint Backlog

Sprint backlog的创建是团队协作的结果，而不是由Scrum Master单独完成。必要时候，技术分析和设计任务也可以被添加到Sprint Backlog。

Sprint计划会上，团队要：

• 确定当前Sprint的目标（Goal）
• 从产品Backlog中选择他们承诺可以完成的工作项
• 对选定的用户故事进行估算
• 创建Sprint Backlog
• 识别任务，且每个任务都完成了估算
• 可以考虑概括设计
• 对每个选定的用户故事，如有问题，当场向PO进行咨询，请求进行澄清。

4.2.Sprint

Sprint，中文译为冲刺、短跑等，在Scrum之外，被称为迭代（Iteration）。Sprint是Scrum的专有术语，是Scrum中最具代表性的事件之一，也是敏捷软件开发的核心特征之一。

简单来讲，Sprint就是Scrum里面的迭代时间盒，是一个固定时间长度的软件开发、交付周期。Sprint 具有如下特点：

• Scrum通过一系列Sprint落实开发任务，实现项目进展
• 典型Sprint时长2-4周，最长一个自然月
• 固定Sprint时长有助于保持好的团队节奏
• 在每个Sprint中团队对产品进行设计、开发以及测试
• Sprint具有固定时间段，按时结束，每次Sprint成果则可能因实际情况而有所不同

4.3.Daily Standup Meeting

Scrum 每日站会，是Scrum用来沟通、通报当前进展及后续计划的主要场合，因其提倡大家都站着开会而得名。每日站会不是用来解决问题的会议，会上不讨论具体的问题细节、解决方式等占用时间的细节内容。项目遇到的问题或障碍，应当会后通过专门的问题解决会议或其他方式进行解决。

每日站会通常不超过15分钟，提倡每天在同一时间、同一地点举行。

全体团队成员、有兴趣的项目干系人均可参加，但只有团队成员、产品负责人和Scrum Master可以发言。确保分清Scrum的“猪”类角色和“鸡”类角色对团队非常有帮助。

Scrum每日站会上，每个团队成员都要回答三个问题：

• 本次会议之前，自己做了什么？
• 本次会议之后，自己打算或计划做什么？
• 目前，是否遇到了阻碍自己的问题？

特别强调，每日站会不是用来向 Scrum Master 或 Product Owner 汇报个人状态或进展的，它是用来在团队面前确认自己的个人承诺并展示当前进展和问题的。

4.4.Sprint Review Meeting

Sprint评审会，又叫Sprint演示会、Sprint展示会等，是团队用来展示当前Sprint开发成果的会议。Sprint评审会上，团队直接向相关干系人演示当前Sprint所开发出来的软件产品。Sprint评审会有如下特点：

• 团队展示当前Sprint的成果
• 一般采取演示新特性、底层架构、可工作软件等形式
• 通常是非正式的，不需要特意准备
• 不需要复杂的事先准备，尤其不要进行幻灯片的展示
• 整个团队全员参与
• 邀请所有项目干系人参与
• 会议时间依据Sprint的长短而定，通常每个Sprint中，每周1个小时的原则
• PO确认sprint目标是否实现
• PO可以拒绝接受团队的软件成果。

4.5.Sprint Retrospective Meeting

Sprint回顾会，用来回顾在当前结束的Sprint中的工作，进行经验的总结、反思，并拟定相应的改进措施。Sprint回顾会通常具有如下特点：

• 用于周期性检视团队最佳实践以及存在的问题
• 每个Sprint中，一周45分钟原则
• 每个Sprint结束时举行
• 整个团队全员参与，还包括 Scrum Master、产品负责人、客户以及其他项目干系人

举例小团队:

韩都衣舍、康威定律

构造使命式团队、识别团队核心价值观

价值评判： 对齐目标和愿景，产品支撑组织的战略目标

质量： 可靠性、可扩展性(质量内建)

用户故事(user story)需要粗粒度，协商约束范围

自组织团队(敏捷团队3-7): 团队结构(特性团队、组件化团队)、团队文化(非职责性调查、核心价值观、使命式指挥(自治性、高度一致性))

团队级、组织级、产品级

四、如何设计一个有生命力的产品

（1） 产品 （2） 渠道 (3) 用户

(1) 直接竞品 (2) 间接竞品 (3）潜在竞品

涟漪图 - 竞品画布

头脑风暴(gartner报告): 优化产品展现形式

五、安全产商和产品

1. 防火墙类（UTM&FW&NGFW）厂商

2. WAF（web 应用防火墙）厂商

3. 数据库审计类厂家

4. 运维审计厂商

5. 网站安全厂商

6. 邮件类安全厂商

7. 身份鉴别厂家

8. 防毒墙&杀毒软件厂商

9. 安全咨询类厂家

10. 网闸安全厂家

11. 等级保护评估系统

12. 数据防泄漏（DLP）

13. 漏洞扫描（主机&web）

14. SOC（安全运维平台）&SIEM（安全事件管理）

15. 内网安全管理（含准入）

16. 上网行为管理

17. 远程接入安全（VPN）

18. 入侵检测和防御（IDS&IPS）

19. 抗拒绝服务攻击（DDoS）

20. 网页防篡改

物理安全

• 存储介质信息消除/粉碎机：北信源、和升达、科密、30所、利谱、交大捷普、兰天致信、中超伟业、博智软件、方德信安、深圳汇远佳禾

网络安全

• 防火墙/UTM/安全网关/下一代防火墙：天融信、山石网科、启明星辰、网御星云、绿盟科技、安恒信息、蓝盾、华为、软云神州、杭州迪普、华清信安、东软、上讯信息、利谱、深信服、360、卫士通、H3C、交大捷普、信安世纪、任子行、上海纽盾、金电网安、亚信安全、北京擎企、金山、君众甲匠、优炫、海峡信息、安信华、博智软件、中科曙光、中科网威、江民科技、六壬网安、安码科技、点点星光
• 入侵检测/防御：启明星辰、绿盟科技、网御星云、360、天融信、铱迅信息、蓝盾、杭州迪普、山石网科、安恒信息、交大捷普、任子行、经纬信安、漏洞盒子/网藤风险感知、华清信安、上海纽盾、东软、恒安嘉新、安天、金山、君众甲匠、海峡信息、博智软件、H3C、中科网威、江民科技、六壬网安、青藤云安全
• 无线入侵检测/防御：360、北京锐云通信、山东闻道通信
• VPN：深信服、天融信、蓝盾、360、华为、绿盟科技、卫士通、信安世纪、奥联科技、启明星辰、南京易安联、华清信安、上海纽盾、东软、海峡信息、博智软件、H3C、江南信安、弘积科技、山东确信
• 上网行为管理：360、深信服、蓝盾、华为、莱克斯、网际思安、软云神州、杭州迪普、北信源、网鼎芯睿、陕通、上海新网程、奥联科技、交大捷普、任子行、上海纽盾、东软、Panabit、北京擎企、金山、盛世光明、博智软件、H3C、万网博通、极安、江民科技、迈科网络、六壬网安、弘积科技
• 网络安全审计：天融信、莱克斯、启明星辰、交大捷普、绿盟科技、蓝盾、广州国迈、软云神州、任子行、雨人、上海观安、上海纽盾、360、恒安嘉新、盛世光明、海峡信息、博智软件、杭州迪普、中科新业、重庆智多
• 网络流量控制：360、深信服、流控大师、Panabit、蓝盾、软云神州、网鼎芯睿、互普&溢信（IP-Guard）、东华软件、上海纽盾、灵州网络、恒安嘉新、北京擎企、金山、盛世光明、杭州迪普、万网博通、极安、迈科网络
• 网络流量分析：科来公司、东华软件、绿盟科技、网鼎芯睿、上海观安、上海纽盾、恒安嘉新、Panabit、亚信安全、安天、江民科技、华青融天、迈科网络
• 防病毒网关/防毒墙：网御星云、蓝盾、冠群金辰、杭州迪普、瑞星、360、安恒信息、山石网科、亚信安全、安天、金山、天融信、海峡信息、安信华、博智软件、江民科技
• APT未知威胁发现：安恒信息、科来公司、360、天融信、启明星辰、东巽科技、安天、绿盟科技、华为、神州网云、成都力合智远、经纬信安、兰云科技、中铁信睿安、卫达安全、恒安嘉新、宝利九章、亚信安全、安赛创想、金山、海峡信息、博智软件、知道创宇、江民科技、六壬网安
• 抗DDoS产品：绿盟科技、华为、中新网安、铱迅信息、启明星辰、傲盾、蓝盾、杭州迪普、华清信安、安恒信息、兰云科技、上海纽盾、卫达安全、任子行、青松云安全、天融信、360、北大千方、知道创宇、神荼科技
• 抗DDoS服务：阿里云、腾讯云、金山云、百度安全/安全宝、360、安恒信息、兰云科技、网宿科技、上海云盾、中新网安、卫达安全、安全狗、青松云安全、电信云堤、UCloud、智卓云盾、知道创宇、蓝盾
• 网闸：360、北京安盟、利谱、启明星辰、杭州合众、北京盖特佳、天融信、交大捷普、天行网安、伟思、金电网安、赛博兴安、东软、海峡信息、安信华、重庆爱思
• 安全隔离与信息单向导入设备/单向传输机器：深圳中锐源、中铁信安、中孚信息、杭州合众、国保金泰、天融信、赛博兴安、普世科技、锐安、金电网安、北京安盟、中科网威、山石网科、哈尔滨朗威、利谱、北京远为软件
• 网络缓存加速·产品：缓存大师WebCache、锐捷、优络普、Panabit、安信华
• 网络缓存加速·服务：知道创宇、阿里云、百度云、腾讯云、帝恩思、DNSPod
• 网络准入控制：北信源、无锡宝界、蓝盾、互普&溢信（IP-Guard）、启明星辰、金盾软件、广州国迈、盈高科技、画方科技、联软、中软、上讯信息、交大捷普、信安世纪、中孚信息、上海纽盾、艾科网信、海峡信息、博智软件、江民科技、亚东软件
• 负载均衡：深信服、北京中科四方、东华软件、信安世纪、灵州网络、北京华夏创新、北京楷然昊天、上海云速、湖南麒麟、杭州迪普、启明星辰、南京易安联、上海纽盾、Panabit、北京擎企、H3C、弘积科技、北京远为软件、福建伊时代
• 应用交付：智恒科技、深信服、信安世纪、瑞友天翼、360、天融信、东软、任子行、优炫、中科曙光、弘积科技
• 加密机/密码机：江南科友、网御星云、天融信、三未信安、山东得安、卫士通、山东渔翁、无锡江南、江南天安、江南博仁、兴唐通信、中安网脉、君众甲匠、立思辰、江南信安、山东确信、信安世纪
• DNS安全：电信云堤、厦门帝恩思、知道创宇
• 不良信息识别与监测：金惠科技

主机安全

• 桌面管理/主机审计：北信源、汉邦、联软、蓝盾、互普&溢信（IP-Guard）、启明星辰、网御星云、360、天融信、金盾软件、广州国迈、软云神州、哈尔滨朗威、上海创多、深圳金天眼、杭州正杰、浙江远望电子、北京盖特佳、峰盛科技、中软、卫士通、沈阳通软、圣博润、上讯信息、交大捷普、中孚信息、上海浩迈、金山、海峡信息、博智软件、江民科技、江南信安、山丽信息、亚东软件、706所、中电瑞铠
• 单机防病毒：瑞星、江民科技、金山、360、百度、腾讯、东方微点、费尔、火绒、亚信安全、安天、博智软件
• 网络防病毒：瑞星、360、金山、江民科技、东方微点、北信源、亚信安全、安天、博智软件
• 主机文档加密与权限控制/HDLP：亿赛通、天锐绿盾、时代亿信、明朝万达、蓝盾、互普&溢信（IP-Guard）、北信源、金盾软件、启明星辰、北京盖特佳、峰盛科技、中软、卫士通、上海祥殷、上海前沿、杭州华途、江苏敏捷、思智泰克、交大捷普、中孚信息、福州深空、天融信、思睿嘉得、合力思腾、深圳虹安、上讯信息、成都力合智远、莱克斯、365数据安全/四川西图、山东申启、金山、天空卫士、锐思特、赛猊腾龙、海峡信息、深信达、博智软件、江民科技、天喻软件、上海谐桐、亚东软件、武汉百易时代
• 源代码加密及嵌入式开发源码加密：深信达、明朝万达、亿赛通、IP-Guard、山丽信息、天锐绿盾、互普&溢信（IP-Guard）、中软、虹安
• 主机安全加固：浪潮、椒图、安全狗、广州国迈、中软华泰、上海观安、可信华泰、中嘉华诚、中航嘉信、易路平安、亚信安全、安天、优炫、安普诺、中超伟业、中科曙光、神荼科技、青藤云安全、安恒信息
• 终端登录/身份认证：上海格尔、吉大正元、卫士通、信安世纪、上讯信息、南京易安联、北信源、九州云腾、中孚信息、博智软件、哈尔滨朗威
• 移动存储介质管理：北信源、北京天桥、启明星辰、金盾软件、广州国迈、哈尔滨朗威、上海创多、亿赛通、交大捷普、上海浩迈、上海格尔、安天、金山、天喻软件、山丽信息、亚东软件
• 补丁管理：北信源、360、启明星辰、金盾软件、上海创多、交大捷普、亚信安全、金山
• 打印安全/打印管理/打印审计：北京恒安讯佳、北信源、中孚信息、安普锐、天锐绿盾、金山、保旺达、哈尔滨朗威、天喻软件、瑞达信息、山丽信息、武汉百易时代、鼎盾科技、思为同飞

应用安全

• 网页防篡改：安恒信息、智恒科技、赛蓝、山东中创、绿盟科技、启明星辰、上海天存、上海天泰、福州深空、北京通元、国舜股份、蓝盾、安全狗、WebRay远江、杭州迪普、上讯信息、交大捷普、青松云安全、海峡信息、江民科技、立思辰、六壬网安
• Web应用防火墙·WAF·硬件：安恒信息、启明星辰、绿盟科技、天融信、铱迅信息、知道创宇、上海天泰、杭州迪普、山东中创、WebRay远江、蓝盾、北京千来信安、中新网安、软云神州、中软华泰、上讯信息、上海天存、利谱、交大捷普、任子行、中铁信睿安、上海纽盾、360、卫达安全、金电网安、安赛创想、东软、海峡信息、安信华、博智软件、山石网科、江民科技、立思辰、六壬网安、安码科技、神荼科技
• Web应用防火墙·WAF·软件：福州深空、安恒信息、铱迅信息、安全狗、云锁、青松云安全、上海天存、安码科技
• Web应用防火墙·服务&云WAF：安恒信息、阿里云、腾讯云、360、知道创宇、上海有云、湖盟、百度安全/安全宝、蓝盾、北京千来信安、中软华泰、上讯信息、快云、斗象科技/网藤风险感知、网宿科技、上海云盾、青松云安全、电信云堤、UCloud、数梦工场
• WEB漏洞扫描：安恒信息、四叶草安全、国舜股份、绿盟科技、知道创宇、WebRay远江、安赛创想、安犬漏洞扫描云平台、启明星辰、经纬信安、上海观安、斗象科技/漏洞盒子/网藤风险感知、恒安嘉新、安识科技、H3C、六壬网安、安码科技
• 网站安全监测产品：安恒信息、绿盟科技、知道创宇、360、WebRay远江、任子行、四叶草安全、安全狗、恒安嘉新、安信华、H3C、江民科技、安普诺、立思辰、浙江乾冠
• 网站安全监测服务：安恒信息、绿盟科技、知道创宇、360、百度安全/安全宝、WebRay远江、北京千来信安、任子行、安全狗、恒安嘉新、四叶草安全、浙江乾冠
• 邮件安全产品：守内安、网际思安、蓝盾、敏讯、冠群金辰、盈世CoreMail、时代亿信、上海格尔、安宁、凌久、国瑞信安、蓝海星、北京方向标、上海青羽/靠谱邮件、亚信安全、安宁、安普诺、武汉百易时代
• 数据库漏洞扫描：安恒信息、安信通、安华金和、建恒信安、中安星云、杭州闪捷
• 数据库防火墙：安恒信息、安华金和、中安比特/中安威士、帕拉迪/汉领信息、杭州美创、中安星云、杭州闪捷
• 数据库加密和脱敏：中安比特/中安威士、安华金和、迈科龙、中安星云、杭州美创、上海观安、优炫、广州鼎甲、杭州闪捷
• 数据库审计：安恒信息、安华金和、思福迪、启明星辰、网御星云、天融信、极地银河、山东中创、蓝盾、北信源、莱克斯、软云神州、绿盟科技、上讯信息、中安比特/中安威士、交大捷普、金盾软件、昂楷科技、帕拉迪/汉领信息、上海纽盾、东软、杭州美创、优炫、海峡信息、安信华、博智软件、中安星云、东华软件、六壬网安、思为同飞、706所、杭州闪捷
• 半自动&自动化渗透平台：安恒信息、安络科技、四叶草安全
• 应用统一身份管理/身份认证/单点登录/认证网关/PKI/CA/数字证书/令牌/各种KEY：天诚安信、派拉软件、神州融信、上海格尔、天威诚信、信安世纪、东软、吉大正元、安识科技、北京安讯奔、九州云腾、中科曙光、洋葱安全、极验验证、立思辰、江南信安、山东确信 | 各省都有CA，这个就单列了、中科恒伦、上海林果、福建伊时代
• 代码防火墙：上海观安
• 加密安全设备/NDLP：福建伊时代、时代亿信、365数据安全、天空卫士、思为同飞
• 反钓鱼/反欺诈：电信云堤、国舜股份、知道创宇、百度、阿里、腾讯、360、安天、亚信安全、安恒信息、江民科技、华青融天
• 语音安全：北京无限互联

数据安全

• 数据备份：上海爱数、杭州美创、火星高科&亚细亚智业、苏州美天网络、信核数据、上讯信息、英方股份、上海联鼎、亿备&广州鼎鼎、和力记易、广州鼎甲、安码科技、南京壹进制、浪擎科技、福建伊时代
• 虚拟机备份与恢复：成都云祺、英方股份、和力记易、广州鼎甲、北京远为软件
• 数据清除工具：中孚信息、北京天桥、上海浩迈、万里红、中超伟业、博智软件、方德信安、哈尔滨朗威

移动安全/虚拟化安全/云安全

• 虚拟化安全防护：安恒信息、启明星辰、广州国迈、北信源、中软、南京易安联、山石网科、阿姆瑞特、上海观安、东软、安全狗、云锁、亚信安全、金山、蓝盾、北京远为软件
• 手机防病毒：腾讯、瑞星、金山、360、网秦、百度、中软、安天、恒安嘉新、亚信安全、蓝盾
• 移动终端管理/EMM/MDM：国信灵通/启迪国信、北信源、360、明朝万达、中软、安天、上讯信息、北京珊瑚灵御、亚信安全、金山、蓝盾、江民科技、江南信安
• CASB/云业务安全接入代理：炼石网络、云安宝、信云科技、绿盟科技、启明星辰
• 手机APP安全：梆梆安全、北京智游网安/爱加密、阿里聚安全、360、任子行、北京鼎源科技、腾讯御安全、恒安嘉新、安普诺、安码科技
• 基于云的安全服务：青松云安全、青藤云安全、百度云、腾讯云、阿里云、360、华为、安全宝、山石网科、万般上品、东软、卫达安全、白帽汇、海峡信息、四叶草安全、中国电信·安全帮 | 此条目待调整、待完善！
• 大数据安全：安恒信息、启明星辰、绿盟科技、360、派拉软件、观数科技、瀚思、天行网安、上海观安、聚铭网络、中孚信息、恒安嘉新、志翔科技、知道创宇、科来公司、安码科技、杭州美创 | 这是一个比较纠结的分类，因为牵扯到的内容太多……现在主流的安全厂家几乎都能做一部分，但是……这个分类可能近期会做细化

安全管理

• SIEM/日志管理/日志审计/SOC/安管平台：安恒信息、思福迪、360、天融信、启明星辰、东软、蓝盾、蚁巡、江南天安、北信源、上讯信息、赛克蓝德、神州泰岳、交大捷普、派拉软件、瀚思、中铁信睿安、聚铭网络、华清信安、上海纽盾、亚信安全、优炫、安信华、H3C、华青融天、安码科技、北京中安智达、706所、福建伊时代
• 运维审计/4A/堡垒机：安恒信息、思福迪、帕拉迪/汉领信息、浙江齐治、尚思科技、江南科友、绿盟科技、天融信、启明星辰、建恒信安、蓝盾、华为、泰然神州、上海艺赛旗、北京极地、信安世纪、圣博润、江南天安、国迈、上讯信息、神州泰岳、亿阳信通、麒麟、云安宝、交大捷普、德讯科技、任子行、派拉软件、上海观安、金盾软件、智恒科技、东软、金电网安、亚信安全、北京安讯奔、盛世光明、优炫、海峡信息、保旺达、安信华、中科曙光、六壬网安
• 网管软件/ITIL：广通信达、网强、汉远网智、北塔、蚁巡、华为、锐捷、摩卡[华胜天成]、国聿、上讯信息、交大捷普、飞思安诺/飞思网巡、恒安嘉新、优炫、艾科网信、海峡信息、迈科网络、东华软件
• 漏洞扫描与管理：安恒信息、榕基、启明星辰、绿盟科技、铱迅信息、极地银河、蓝盾、WebRay远江、江南天安、杭州迪普、天融信、交大捷普、安犬漏洞扫描云平台、经纬信安、上海观安、中铁信睿安、斗象科技/漏洞盒子/网藤风险感知、宿州东辉、四叶草安全、恒安嘉新、安天、蓝盾、君众甲匠、博智软件、中科网威、立思辰、六壬网安、安普诺
• 网络和主机配置核查系统：安恒信息、思福迪、绿盟科技、启明星辰、聚铭网络、北京随方信息、博智软件
• 主机安全保密检查工具：中孚信息、北信源、北京天桥、哈尔滨朗威、万里红、华安保、上海浩迈、博智软件、方德信安
• 信息安全等级保护测评工具箱：安恒信息、国瑞信安、圣博润、公安一所、锐安 | 注：市面上多家厂家均生产此产品，但公安部仅指定了5家作为“合格的”生产单位！
• 网络安全态势感知：安恒信息、知道创宇、360、绿盟科技、WebRay远江盛邦、四叶草安全、任子行、上海观安、兰云科技、聚铭网络、恒安嘉新、白帽汇、杭州合众、亚信安全、安天、郑州赛欧思、江民科技、科来公司、安码科技
• 应急处置工具箱：安恒信息

工控安全产品与厂商大全

威努特、匡恩网络、谷神星、海天炜业、珠海鸿瑞、力控华康、启明星辰、绿盟科技、中科网威、三零卫士、安恒信息、北京网藤科技、天地和兴、安恒信息……

• 工控防火墙：中科网威、威努特、匡恩网络、谷神星、海天炜业、力控华康、天地和兴、安点科技、网藤科技、卫达安全、博智软件、九略智能
• 工控安全审计：威努特、天地和兴、匡恩网络、网藤科技、斗象科技/漏洞盒子/网藤风险感知、安点科技、博智软件、安恒信息、知道创宇、中科网威
• 工控漏洞扫描/挖掘：天地和兴、匡恩网络、网藤科技、斗象科技/漏洞盒子/网藤风险感知、博智软件、知道创宇
• 工控安管平台：天地和兴、匡恩网络、中科网威
• 工控主机安全防护：天地和兴、网藤科技、安点科技、九略智能
• 工控入侵检测/威胁感知/入侵防御：安点科技、天地和兴、网藤科技、博智软件、科来公司、中科网威
• 工控网闸：安点科技、中科网威
• 工控防泄密：匡恩网络
• 工控检查工具箱：安恒信息、
• 工控蜜罐：匡恩网络、
• 工控攻防实验室：匡恩网络、网藤科技、博智软件
• 工控态势感知：安恒信息、博智软件、360、知道创宇、浙江乾冠、九略智能

中国自主可控网络安全产品与厂商

• 数据来源于申威产业联盟、龙芯产业联盟、中关村可信计算产业联盟自主可信专委会；
• 就自主可控行业的特殊性而言，很多大厂商是作为特供产品进行市场宣传，而小厂商只作为品牌规划，并没有特殊宣传，在数据收集时可能会导致内容不全面；
• 对于名单中未涉及的厂商，可以单独联系， 告知欲添加的分类、公司名称（需在上述3个联盟中）；
• 感谢中关村可信联盟自主可信专委会相关工作人员整理！
• 防火墙：中科神威、天融信、网御星云、东软、中科曙光、蓝盾、中航鸿电、中船综合院、706所
• 入侵检测/防御：中科神威、网神、中科曙光、安恒信息 、绿盟科技、汉柏
• 漏洞扫描系统：中科神威、安恒信息 、绿盟科技
• 安全管理平台：启明星辰、中科神威、360
• 网闸/安全隔离与信息单向导入设备：国保金泰、中科神威、北京安盟、赛博兴安
• 加密机：江南天安
• 终端安全：北信源、江民科技
• Web应用防火墙：上海天泰
• 堡垒机：建恒信安、江南寰宇
• 负载均衡：般固科技
• 防毒墙：江民科技
• 备份一体机：壹进制
• 网络流量分析：北京卓迅
• 网络准入控制：画方科技
• 存储：创新科、同有飞骥

未分类子类

• 舆情监控：中国舆情网、优捷信达、乐思、红麦、中科点击、泰一舆情、探宝、拓尔思、本果、软云神州、西盈、任子行、网藤风险感知、南京快页数码、博智软件、北京中安智达
• 威胁情报：微步在线、上海观安、斗象科技/http://FreeBuf.com/漏洞盒子、恒安嘉新、白帽汇、天际友盟、知道创宇、360、安恒信息
• 国产操作系统：Deepin深度、RedFlag红旗、Kylin麒麟、NeoKylin中标麒麟、StartOS起点/雨林木风OS、凝思磐石安全操作系统、共创Linux、思普Linux
• 国产数据库：达梦数据库、东软OpenBASE、国信贝斯iBase、人大金仓KingBase、南大通用GBase
• 业务风控安全：锦佰安、指掌易、邦盛、岂安、行邑、同盾、通付盾
• 蜜罐：安恒信息、三零卫士、凌晨网络、绿盟科技、默安科技
• 安全硬件平台/工控机：新汉、阿普奇、盛博、集智达、英德斯、福升威尔、华北科技、艾宝、华北工控、研祥、祈飞、研华，立华，惠尔，智威智能
• 数据恢复：苏州美天网络、金山安全、易数科技、华客、飞客、众成、博智软件
• 数据库准入：杭州美创
• 数据库堡垒机：杭州美创
• 红黑电源滤波插座：保旺达、启航智通
• 电磁屏蔽柜：启航智通、信安邦
• 数字取证：美亚柏科、盘石软件
• 安全计算机：瑞达信息

六、 产品愿景

(1) 制定愿景

(2) 识别核心用户

(3) 干系人访谈(6w1h, SPIN提问策略)

通过解决方案找到需求： 问题域 - 解决方案域

(4) 精益画布

(5) 用户画像

（6） 用户移情分析-去现场感受用户使用情况

(7) 场景识别

(8) 用户体验地图

(9) 解决方案（The clean Architecture）

(10)产品流程图

(11) 产品设计(低、中、高保真)

(12) 产品路线图

(13) 用户故事地图

七、两种生产模式

（1） 福特: 流水线 (瀑布开发方式) (2) 丰田: 灵活、单件流、需求拉动(敏捷开发方式)(lean startup)

(3) MVP要点

(4) 用户故事的原则与要素(who 、what、why)

（5）业务理解深度+ 用户交流

（6）估算过程（点数、人天）

计划过程： 绝对估算 、相对估算(敏捷)

[1]计划扑克: (1) 重在重构 (2) 数量较少

[2] 斐波那契数列: 1 2 3 5 8 13

[3] T-shirt 计法

(7) 定性、定量分析