2024应用现代化技术能力成熟度评估模型

《2024应用现代化技术能力成熟度评估模型》由会员分享，可在线阅读，更多相关《2024应用现代化技术能力成熟度评估模型（20页珍藏版）》请在金锄头文库上搜索。

1、应用现代化技术能力成熟度评估模型目 次前 言31 范围42 规范性引用文件43 术语和定义44 缩略语45 概述55.1 应用现代化技术能力成熟度模型构成55.2 应用现代化技术能力成熟度评估方法65.3 应用现代化技术能力成熟度级别划分66 应用敏捷能力指标66.1 开发生产线66.2 组装式开发76.3 应用托管86.4 可观测性86.5 服务化架构97 稳定可靠能力指标97.1 流量治理97.2 业务弹性107.3 多活容灾107.4 混沌工程117.5 性能压测118 安全可信能力指标128.1 身份与权限安全128.2 网络安全138.3 应用安全138.4 负载安全148.5 数据

2、安全148.6 合规治理148.7 安全运营159 业务智能能力指标169.1 智能湖仓169.2 数据治理生产线169.3 AI 开发平台1729.4 智能决策1810 成本优化能力指标1810.1 财务管理1911 成熟度评估方法1911.1 单个能力项得分的计算方法1911.2 单个能力域得分的计算方法2011.3 成熟度评估方法20 应用现代化技术能力成熟度评估模型1 范围本文件给出了应用现代化技术能力成熟度的模型构成、评估方法及等级要求。本文件适用于数字化转型领域相关规划、设计、开发、管理人员开展应用现代化改造实践。2 规范性引用文件暂无规范性引用文件。 3 术语和定义3.1应用现代

3、化 application modernization 基于云原生、人工智能等先进技术对传统应用升级改造或新建应用的方案和方法论。 3.2可观测性 observability是一种对系统运行时的指标进行实时跟踪和监控，并对系统内部的事件、日志和异常进行聚合和分析的质量属性。 3.3服务化架构 service-based architecture 是一种适用于云原生应用的技术架构，其特征包括：进程级别的运行态隔离，以接口契约定义每个服务应用单元，各服务/微服务只能通过 API 进行业务流程和逻辑的交互、协同。 注：接口契约指的是 IDL、Swagger、RAML 等。 4 缩略语下列缩略语适用于

4、本文件。ACL:访问控制表（Access Control List） AI:人工智能（Artificial Intelligence）API:应用编程接口（Application Programming Interface） BI:商业智能（Business Intelligence）CC:挑战黑洞（Challenge Collapsar）CPU:中央处理器（Central Processing Unit） CV:计算机视觉（Computer Vision）DAG:有向无环图（Directed Acyclic Graph） DDD:领域驱动设计（Domain-Driven Design）DDo

5、S:分布式拒绝服务（Distributed Denial of Service）20E2E:端到端（End to End）FTP:文件传输协议（File Transfer Protocol）HTTP:超文本传输协议（Hypertext Transfer Protocol）HTTPS:超文本安全传输协议（Hypertext Transfer Protocol over Secure Socket Layer） HYOK:拥有自己的密钥（Hold Your Own Key）IDL: 接 口 描 述 语 言 （Interface Description Language） RAML:Restful

6、API建模语言（Restful API Modeling Language） IP:互联网协议（Internet Protocol）LP:线性规划（Linear Programming）MIP:混合整数规划（Mixed-Integer Programming） NLP:自然语言处理（Natural Language Processing） OIDC:开放用户身份识别连接（Open ID Connect） OS:操作系统（Operating System）OWASP:开放式Web应用程序安全项目（Open Web Application Security Project） PKI:公钥基础设施（

7、Public Key Infrastructure）RTO:恢复时间目标（Recovery Time Objective） RPO:数据恢复点目标（Recovery Point Objective）SAML:安全断言标记语言 （Security Assertion Markup Language）SIEM:安全信息与事件管理（Security Information and Event Management） SOA:面向服务的架构（Service-Oriented Architecture）SOAR:安全编排自动化与响应（Security Orchestration, Automation

8、and Response） TTM:需求到最终上线时间（Time To Marketing）UDP:用户数据报协议（User Datagram Protocol）5 概述5.1 应用现代化技术能力成熟度模型构成应用现代化技术能力成熟度评估模型包含5个能力域，每个能力域由若干能力项构成，每个能力项由若干能力指标构成，见表1所示。能力域表征了现代化应用的特征和用户需求，能力项和能力指标表示支撑/满足这些特征/需求所需的技术要求，是产品、解决方案、服务等技术能力的抽象。表 1 技术能力成熟度模型构成序号 能力域 能力项 能力指标 1 应用敏捷 开发生产线 具体内容见第 6章 组装式开发 应用托管 可

9、观测性 服务化架构 2 稳定可靠 流量治理 具体内容见第 7章 业务弹性 多活容灾 混沌工程 性能压测 3 安全可信 身份与权限安全 具体内容见第 8章 网络安全 应用安全 负载安全 数据安全 合规治理 安全运营 4 业务智能 智能湖仓 具体内容见第 9章 数据治理生产线 AI 开发平台 智能决策 5 成本优化 财务管理 具体内容见第10 章 5.2 应用现代化技术能力成熟度评估方法通过计算公式可以得出被评估系统每个能力项、每个能力域满足能力指标要求的情况，然后基于评判原则给出待评估对象系统的成熟度等级。具体评估方法见第 11 章。5.3 应用现代化技术能力成熟度级别划分根据目前云计算领域技术

10、、服务的现状及发展趋势，应用现代化技术能力自低向高依次划分为 3 个级别：初始级（L1）、发展级（L2）、优秀级（L3）。6 应用敏捷能力指标6.1 开发生产线6.1.1 初始级要求 开发生产线达到初始级，应满足以下要求： 1) 应用软件开发过程采用单层级的需求进行管理；2) 应用软件按固定节奏发布，部署频率为季度或者年；3) 通过手工方式提供和管理应用的部署运行环境，应用生产过程的自动化低，每个环节都需要人工审批；4) 需求TTM 时长粒度为年；5) 应用生产全过程无法度量，无法定位研发过程的效率瓶颈，缺乏可持续自主改进的基础输入；对应用生产过程的质量无法进行跟踪管理；6) 应用上线前才进行

11、必需的安全检查，或者全过程都没有必需的安全检查，或者安全检查采用单独团队手工执行的方式。6.1.2 发展级要求 开发生产线达到发展级，应满足以下要求： 1) 初步需求管理采用多层次模型进行分解，能够实现战略级规划到具体迭代开发任务的端到端追溯、协同，需求收集分解采用手工方式；注：多层次模型例如 Epic-Feature-Story-Task。2) 应用软件按固定节奏发布，部署频率为月；3) 半自动化方式提供和管理应用的部署运行环境，能定义测试、生产等环境，在关键环节进行人工审核，如：上线前；4) 需求TTM 时长粒度为季度或者月；5) 应用生产全过程的数据主要以人工收集，人工汇总，事后分析透视

12、为主，无法实时反馈应用生产的状态；6) 通过半自动化（人工+自动）对应用生产过程实施必需的安全检查和防护，安全检查覆盖的范围相对较窄，如：仅使用代码静态检查。6.1.3 优秀级要求 开发生产线达到优秀级，应满足以下要求： 1) 规模化使用敏捷开发的需求多层次模型，需求管理全过程数字化、可视化，实现从战略需求到开发需求任务的无缝协同；2) 应用软件以按需、随时、增量等不同方式部署发布；3) 应用部署运行环境的提供和配置完全自动化，CI/CD 流水线自动化；4) 需求TTM 时长粒度为天；5) 应用生产全过程数据收集自动化，信息可视化（如当前需求接纳率，需求 TTM， 软件质量缺陷，代码安全超过阈

13、值等），并能依据这些数据持续优化；6) 应用生产过程中采用漏洞扫描，开源风险分析，多语言代码检查等全流程的安全措施；7) 开发生产线为用户自建应用提供开放构建能力，对接外部或者第三方生态。6.2 组装式开发6.2.1 初始级要求 组装式达到初始级，应满足以下要求： 1) 应用开发基于 SOA 架构和内部API 组件开发，各模块间耦合性强；2) 应用交付基于服务化架构通过内部标准协议进行内部开放。6.2.2 发展级要求 组装式达到发展级，应满足以下要求： 1) 应用开发基于微服务架构，用户界面无组装能力，按项目定制开发；2) 前端开发人员需要理解微服务 API，根据业务场景设计用户界面，完成前端

14、代码开发、联调和上线工作。6.2.3 优秀级要求 组装式达到优秀级，应满足以下要求： 1) 应用开发基于组装式架构，可E2E 组装用户界面和服务端组件（业务逻辑和数据实体）；2) 应用通过零码/低码平台拖拉拽组件完成开发和交付；3) 应用通过零码/低代码平台可视化开发，平台侧自动实现应用的部署、托管和运维，业务人员无须关注系统架构和基础设施、技术选型；4) 提供组装式开发的开发能力，即基于原厂功能可以做扩展。6.3 应用托管6.3.1 初始级要求 应用托管达到初始级，应满足以下要求： 1) 各个业务使用独立的发布工具管理应用，通过各自脚本实现部分自动化，没有统一的应用发布平台；2) 应用通过人工方式部署在云资源上，如：裸金属机或云主机；3) 人工维护应用与应用依赖资源的配置关系。6.3.2 发展级要求 应用托管达到发展级，应满足以下要求： 1) 通过统一的发布平台发布应用，业务团队各自管理和运维基础设施；2) 应用通过发布系统部署到资源，如：云主机或容器；3) 提供应用与其使用的基础设施资源的拓扑，如：中间件，数据库，节点等。6.3.3 优秀级要求 应用托管达到优秀级，应满