什么是软件外包．谢谢

软件外包就是企业为了专注核心竞争力业务和降低软件项目成本，将软件项目中的全部或部分工作发包给提供外包服务的企业完成的软件需求活动。

软件开发人员外包好处，软件开发人员外包是指企业根据需要将某一项或几项人力资源管理工作或职能外包出去，交由其他企业或组织进行管理，以降低人力支出压力，提高效率。软件开发人员外包好处：

1、简化软件开发人员管理程序，提高工作效率。降低人事管理开支。

2、规避用人风险和麻烦。

3、降低找软件开发人员的支出。

4、保障用人需求，增强人力资源应变能力。

5、筛选合格合适软件开发人员。

6、降低劳动争议风险

依据我们软件项目开发的经验，来给大家介绍下

1项目接洽

这个过程主要是和客户洽谈，了解客户大概需求并且为客户回馈信息。通俗的就是说首先你要知道客户想要做个啥软件，这软件主要是用来干啥的。你要跟客户说明白你能不能做这个项目，以及你做这个项目所具备的优势。

ps:这步很重要，首先你得让客户信任你的能力，其次得搞清客户的心里价位是否在你的承受价位内，不然做其他的工作都是没意义的。

2项目立项

前期和客户谈完后，如果客户对你的团队或个人能力信任，报价也觉得合适。那这个项目就算是正式启动了。这个阶段一般你得把客户的大概需求细化，整理出“合适”的需求分析文档。为什么要强调“合适”。因为很多软件开发公司特别是日本公司有“文档病”，不管什么文档都要求写的累牍连篇，最后写完根本没人去看。

所以自己接项目时写的需求分析要讲究实用，要求你在写的过程中要了解一下几点：1将笼统的需求分解成众多功能点，开发这些功能点的难度及大致时间。2细化后的需求点如有不甚明了的地方需要和客户确认。3细化需求后还要形成文档，作为开发合同的一部分。

3项目正式开发

如果是团队开发，你作为项目负责人要有以下能力：1对团队各个成员的水平要非常了解。2确定项目实现技术方案，依据就是团队成员的能力及你自己对此技术的把握（很多情况要你亲自顶上去救火）。3估算出项目整体完成周期。

4项目完成

项目完成后下对客户交付，客户验收通过后收尾款。如有超过合同的需求，要算作二次开发需要加收开发费。这点也很重要，国内客户很多改来改去还不想加钱，如果你碍于面子默许了，相信我，这是你噩梦的开始。。。

说到外包开发项目中的安全问题，相信找过外包开发商开发项目的同学再熟悉不过了，外包开发项目的安全漏洞不仅多，而且还经常是越权访问、SQL注入、文件上传、代码注入等高危漏洞，因此今天本文来谈谈外包开发存在的意义、外包开发中的安全风险与应对解决方案。

外包开发存在的意义

外包开发是IT服务外包的一种子类，实质还是基于企业与IT外包服务提供者之间的委托代理关系，由前者提出开发需求与系统设计后，由后者提供应用程序或者系统开发的服务。

首先，随着企业对核心竞争力的重视，越来越多的企业将IT服务外包作为一种新的长期战略成本管理工具，用来消除不属于核心业务的干扰分支。企业需要重新定位，截断价值链中较短的部分，缩小经营范围。在此基础上，需要对企业的各种资源进行重新配置，将资源集中于最能体现企业优势的领域，从而更好地构建竞争优势，从而获得可持续发展的能力，这对于企业核心资源的长远发展有着重要的意义，可实现“成本控制”和“管理效益”的有效兼顾。

其次，对于一些非核心系统或者应用，企业采用自行开发的方式成本过高，或者对于一些需要前沿技术的产品，企业自身并不具备成熟的开发能力，因此选择外包开发是其平衡成本与效益的最佳选择。

再者，在移动互联网蓬勃发展、全民互联网创业的风潮之下，对于那些自身没有开发能力的创业者，如果从0构建开发能力则需要太多投入，一方面是业务紧迫性不允许，另一方面即便投入了也不见得比专业外包做的更好，所以他们选择了外包开发。

外包开发安全风险

来自国外的报告显示，56%的企业数据泄露都源自第三方供应商，42%的企业都因为第三方供应商遭遇攻击而出现数据泄露。前不久，FaceBook还因为第三方数据泄露而再次成为众矢之的。因此，为了保护企业数据安全，企业不仅要抵御自身所面临的内外部安全威胁，还要进行第三方风险管理（TPCRM）。这里所说的TPCRM，对应今天我们讨论的外包开发安全风险管理。

外包开发模式分类

简单而言，按照代码部署场景、协作模式，目前的外包开发模式可以分成三类，分别是驻场式、远程式和完全独立式，它们在开发过程中所面临的安全风险或者甲方安全能力覆盖上都存在很大不同。

驻场式

外包公司通过劳务派遣的方式或者临时办公的方式安排其员工到甲方办公地点进行服务，入驻到甲方产品或开发团队之中，这种模式下甲方的风险控制程度最高，因为此时必须遵循甲方的办公、开发、测试、发布流程规范，整个CI/CD的流程与环境都为甲方所控制，同时也处于甲方安全能力覆盖范围，相对而言，这种情况下安全风险最小。

远程式

外包公司员工在其办公环境下完成代码开发、测试，然后通过公共代码仓库或者其他在线文件系统或存储系统进行代码共享，由甲方完成代码的部署和系统运维或者合并到其主代码分支中，再由甲方完成代码部署与系统运维，这种模式下，甲方的风险控制程度相对较高，整个CI/CD的流程与环境都为甲方所控制，同时也处于甲方安全能力覆盖范围，但是无论合同中如何约定代码所有权，代码都会为外包公司所接触，而且代码共享路径经常需要对外网开放，这也为代码泄露留下口子。相对而言，如果外包公司有成熟的安全管控流程、代码共享路径进行有效的身份验证和访问控制，这种情况下安全风险较小。

完全独立式

外包公司独立完成代码开发、测试、发布，整个CI/CD流程为其控制，虽然线上运行环境不一定为外包公司控制，甲方可能只是配合域名指向或者品牌资源使用申请，但可以看到甲方对此风险控制程度非常弱，这种合作模式下的安全风险往往是极高的，因为甲方安全能力基本覆盖不到，其成熟的发布流程也一定管控到。

针对以上三种外包开发模式，结合业界或新闻披露的安全风险，大概可以分成以下几类：

风险列表

· 敏感信息泄露：最常见的是调试模式未关闭、源码压缩包放在web根目录、版本控制文件git/svn等文件放在根目录，或者外包开发人员将源码上传第三方仓库外泄或者个人电脑中毒或被入侵导致甲方源码、数据泄露。

· 高危漏洞高可能性：外包开发通常使用开源开发框架，这类框架往往漏洞频发，很容易被批量利用，而且也经常出现高危漏洞，常见的如服务端任意文件下载、SQL 注入、客户端组件暴漏和敏感信息泄露漏洞等，可以拉取数据库信息或者入侵服务器。另外，开发商代码架构、质量一般，更容易产生漏洞，或者在对用户可控输入的限制上存在遗漏。

· 敏感信息窃取：之前出现过银行外包开发商违规收集用户信息或者甲方业务数据。

· 埋入后门：外包开发人员故意留逻辑后门等

· 漏洞分布的广泛性：由于外包团队的代码复用，一旦在某个外包开发的系统出现漏洞，很大可能也能在其开发的其他系统找到相同或类似漏洞，另外，外包开发商一旦被黑，其客户源码、数据也会泄露。

原因剖析

· 外包公司自身的安全管理水平较低、安全运维能力不足，对于完全独立式的外包开发模式而言极易出现安全漏洞

· 外包公司员工安全技能和安全意识不足，可能本身外包公司对员工自身能力建设重视程度不高，也让其员工失去提升安全意识与技能的机会

· 模板式开发模式，换言之就是复制粘贴式的开发，自定义组件化程度往往不高，代码安全质量没有保障

外包开发安全风险管理

下面从组织架构、流程管控和技术赋能三个方面浅谈外包开发安全风险管理，其中大部分已经在国内大中型IT企业或多或少落地了。

组织层面

· 确定外包管理的目标，明确外包的总体原则，建立企业层面的信息科技外包安全防控架构，完善外包管理组织体系和制度体系，这种比较适合大型金融、通信、制造、互联网等行业的企业，由于外包项目多、外包开发商也多，需要在公司组织架构上予以重视。比如规划、建设独立的外包管理团队，让制订从上而下的外包项目管理流程获得组织基础。

流程层面

· 合同约束 在与外包开发商的合同中是否有安全要求？这些外包开发商是否需要标准来遵循安全开发生命周期？他们是否对系统开发生命周期和如何安全地编码接受过培训？外包开发商对代码中的漏洞和泄漏敏感信息是否承担责任？一旦发现漏洞被利用是否需要开展应急响应？如果这些要求都没有在合同中规定，那么，在未来合同中应该增加这些条款，并且，现有合同应该进行修订来涵盖这些条款。外包公司已经具备这样的人才。通过项目整体外包，作为甲方只需要关注项目的整体预算。乙方公司招聘、培育人才的成本会被平摊到各个外包项目中。

省事

还是和人有关。自己维持一个项目团队，涉及到招聘、培训、管理、团建、激励、绩效等多种人事管理开销。而作为甲方，短期而言，真正想要的是项目的产出——软件系统，而非一个专业团队。

项目管理和项目交付过程也是超级麻烦事，外包可以只关注结果，不需要管过程。

风险转移

项目交付存在巨大的不确定性，过程中充满风险。项目外包，也可以把项目交付出现问题的责任转移给外包公司。

这些因素都充满诱惑力。

但事情真的有那么美好吗？

为什么软件开发问题多

从标题，大家已经可以知道我的结论，就是我不建议软件开发通过外包的形式来完成。

我们知道，现代社会是一个陌生人协作的社会。一个组织、一家公司、一个团队的能力和精力都是有限的。把非核心能力的业务外包给其他组织、公司、团队是再正常不过的事情，我并非反对一切外包行为。

我想说的是，有些东西可以外包，有些则不能。要看某项事物是否适合外包。为什么软件开发就不太适合外包呢？

我们来看软件开发有什么特性。我将通过边界、估算、验收和合同四个方面来分享我的观点：

边界

一谈到软件项目，大家一定会想到超支、延期、加班等等。所有这些，都和一个重要因素有关，就是边界不清晰。

光是在需求这个源头，就经常出现需求不清晰、需求泛滥等问题。这些情况，就算是我们自己开发，和用户坐在一起都会经常遇到和难以解决。我们怎么能指望离岸的外包团队能更好地解决这些问题呢？

另外一个最核心的问题是，有人总结得很好，从农业时代、工业时代过渡到知识时代，最大的变化就是我们的工作对象从物品变成了事情。物品的边界是清晰的，所需要的工作时间是有限的。所以在工厂，可以通过计件来量度一个工人的产出和效率。

而事情的边界是可以无限扩充的，可以膨胀成任何规模的工作。也很难量度一个知识工作者的产出。

几乎所有的知识工作，都有这样的特性。软件项目也是其中的典型例子。一个看似简单的需求，一旦挖掘到细节，就可以无限泛滥。我想这是所有软件人的痛。

简单总结就是，如果对象是物品，由于边界清晰，完全可以外包。所以在工业领域，供应链已经被证明是最有效的生产协作方式，很多手机厂商，把销售和设计以外的所有环节都外包了。如果对象是事情，由于边界模糊，外包的有效性就会大打折扣。

1、APP开发经验是否丰富

对于外包公司的考察，很重要的一点就是考察他们的开发经验是否丰富。要去看他们开发过的案例数量以及开发完成的项目质量如何，还要了解外包公司的成立时间，一般来说当然是成立时间越长的公司越好。在看公司案例的过程中，如果发现了与自己相近行业的案例，可以进行询问，以此来考察案例是否是该公司开发的。

2、技术团队是否专业可靠

对外包公司的技术团队是否专业这点一定要进行深度考察，因为如果团队不够专业，就很有可能开发不出企业想要的APP，就会导致层层外包的现象出现，这样会使得企业的真正需求不能得到满足，最后的成品也会很差。

3、APP页面设计是否精美

一个APP的页面设计，是用户最先接触到的，页面精美也会让用户的体验感提升，所以企业在考察外包公司时，要对他们已经开发过的项目的页面进行感官上的体验，精美的页面设计是能够给APP加分的。

4、个性化定制效果如何

APP在开发初期，外包公司的产品经理会和企业多次进行需求沟通，从APP的色调、页面设计到功能等多个方面进行确认。确认后会先有一个原型出来，企业可以根据原型来确认自己的需求是否都得到满足，同时也可以根据外包公司的案例进行考察。

5、售后服务如何

项目完成后，一般情况下外包公司会提供一段时间的售后服务，会为APP的维护修复等，还为企业提供专业的技术人员进行项目的后期使用与 *** 作教学。

虽然有了小程序，但是APP软件依旧是许多企业需要开发的软件，想要进行APP软件开发，在深圳是有很多公司的，那么app软件开发外包哪家好呢？下面来为大家进行介绍。

1、以往的案例数量及难度系数，优秀案例较多可以体现开发公司实力，案例真实性也有必要做判断，避免虚假案例。

2、方案的设计是否专业，好的方案直接决定APP项目最终的成败，可以要求提供以往过了保密期的产品文档、原型交互等评估是否专业。

3有无相关案例，如若开发公司做过与您需求相似APP，在开发成本以及开发周期都能控制到较低，议价空间较大。

业务外包流程主要包括：制定业务外包实施方案、审核批准、选择承包方、签订业务外包合同、组织实施业务外包活动、业务外包过程管理、验收、会计控制等环节。如下图所示。该图列示的业务外包流程适用于各类企业的一般业务外包，具有通用性。企业在实际开展业务外包时，可以参照此流程，并结合自身情况予以扩充和具体化。

二、各环节的主要风险点及管控措施

（一）制定业务外包实施方案制定业务外包实施方案，是指企业根据年度生产经营计划和业务外包管理制度，结合确定的业务外包范围，制定实施方案。该环节的风险主要是：企业缺乏业务外包管理制度，导致制定实施方案时无据可依；业务外包管理制度未明确业务外包范围，可能导致有关部门在制定实施方案时，将不宜外包的核心业务进行外包；实施方案不合理、不符合企业生产经营特点或内容不完整，可能导致业务外包失败。

主要管控措施：第一，建立和完善业务外包管理制度，根据各类业务与核心主业的关联度、对外包业务的控制程度以及外部市场成熟度等标准，合理确定业务外包的范围，并根据是否对企业生产经营有重大影响对外包业务实施分类管理，以突出管控重点，同时明确规定业务外包的方式、条件、程序和实施等相关内容。第二，严格按照业务外包管理制度规定的业务外包范围、方式、条件、程序和实施等内容制定实施方案，避免将核心业务外包，同时确保方案的完整性。第三，根据企业年度预算以及生产经营计划，对实施方案的重要方面进行深入评估及复核，包括承包方的选择方案、外包业务的成本效益及风险、外包合同期限、外包方式、员工培训计划等，确保方案的可行性。第四，认真听取外部专业人员对业务外包的意见，并根据其合理化建议完善实施方案。

（二）审核批准审核批准，是指企业应当按照规定的权限和程序审核批准业务外包实施方案。该环节的主要风险是：审批制度不健全，导致对业务外包的审批不规范；审批不严格或者越权审批，导致业务外包决策出现重大疏漏，可能引发严重后果；未能对业务外包实施方案是否符合成本效益原则进行合理审核以及做出恰当判断，导致业务外包不经济。

主要管控措施：第一，建立和完善业务外包的审核批准制度。明确授权批准的方式、权限、程序、责任和相关控制措施，规定各层级人员应当在授权范围内进行审批，不得超越权限审批。同时加大对分公司重大业务外包的管控力度，避免因分公司越权进行业务外包给企业带来不利后果。第二，在对业务外包实施方案进行审查和评价时，应当着重对比分析该业务项目在自营与外包情况下的风险和收益，确定外包的合理性和可行性。第三，总会计师或企业分管会计工作的负责人应当参与重大业务外包的决策，对业务外包的经济效益做出合理评价。第四，对于重大业务外包方案，应当提交董事会或类似权力机构审批。

（三）选择承包方选择承包方，是指企业应当按照批准的业务外包实施方案选择承包方。该环节的主要风险是：承包方不是合法设立的法人主体，缺乏应有的专业资质，从业人员也不具备应有的专业技术资格，缺乏从事相关项目的经验，导致企业遭受损失甚至陷入法律纠纷；外包价格不合理，业务外包成本过高导致难以发挥业务外包的优势；存在商业贿赂等舞弊行为，导致相关人员涉案。

主要管控措施：第一，充分调查候选承包方的合法性，即是否为依法成立、合法经营的专业服务机构或经济组织，是否具有相应的经营范围和固定的办公场所。第二，调查候选承包方的专业资质、技术实力及其从业人员的职业履历和专业技能。第三，考察候选承包方从事类似项目的成功案例、业界评价和口碑。

第四，综合考虑企业内外部因素，对业务外包的人工成本、营销成本、业务收入、人力资源等指标进行测算分析，合理确定外包价格，严格控制业务外包成本。第五，引入竞争机制，按照有关法律法规，遵循公开、公平、公正的原则，采用公开招标等适当方式，择优选择承包方。第六，按照规定的程序和权限从候选承包方中择优做出选择，并建立严格的回避制度和监督处罚制度，避免相关人员在选择承包方过程中出现受贿和舞弊行为。

（四）签订业务外包合同确定承包方后，企业应当及时与选定的承包方签订业务外包合同，约定业务外包的内容和范围，双方权利和义务，服务和质量标准，保密事项，费用结算标准和违约责任等事项。该环节的主要风险是：合同条款未能针对业务外包风险做出明确的约定，对承包方的违约责任界定不够清晰，导致企业陷入合同纠纷和诉讼；合同约定的业务外包价格不合理或成本费用过高，导致企业遭受损失。

主要管控措施：第一，在订立外包合同前，充分考虑业务外包方案中识别出的重要风险因素，并通过合同条款予以有效规避或降低。第二，在合同的内容和范围方面，明确承包方提供的服务类型、数量、成本，以及明确界定服务的环节、作业方式、作业时间、服务费用等细节。

第三，在合同的权利和义务方面，明确企业有权督促承包方改进服务流程和方法，承包方有责任按照合同协议规定的方式和频率，将外包实施的进度和现状告知企业，并对存在问题进行有效沟通。第四，在合同的服务和质量标准方面，应当规定承包方最低的服务水平要求以及如果未能满足标准应实施的补救措施。第五，在合同的保密事项方面，应具体约定对于涉及本企业机密的业务和事项，承包方有责任履行保密义务。第六，在费用结算标准方面，综合考虑内外部因素，合理确定外包价格，严格控制业务外包成本。第七，在违约责任方面，制定既具原则性又体现一定灵活性的合同条款，以适应环境、技术和企业自身业务的变化。

（五）组织实施业务外包组织实施业务外包，是指企业严格按照业务外包管理制度、工作流程和相关要求，组织业务外包过程中人、财、物等方面的资源分配，建立与承包方的合作机制，为下一环节的业务外包过程管理做好准备，确保承包方严格履行业务外包合同。企业在组织开展业务外包时，应当根据业务外包合同条款，落实双方应投入的人力资源、资金、硬件及专有资产等，明确承包方提供服务或产品的工作流程、模式、职能架构、项目实施计划等内容。该环节的主要风险是：组织实施业务外包的工作不充分或未落实到位，影响下一环节业务外包过程管理的有效实施，导致难以实现业务外包的目标。

主要管控措施：第一，按照业务外包制度、工作流程和相关要求，制定业务外包实施的管控措施，包括落实与承包方之间的资产管理、信息资料管理、人力资源管理、安全保密管理等机制，确保承包方在履行外包业务合同时有章可循。第二，做好与承包方的对接工作，通过培训等方式确保承包方充分了解企业的工作流程和质量要求，从价值链的起点开始控制业务质量。第三，与承包方建立并保持畅通的沟通协调机制，以便及时发现并有效解决业务外包过程存在的问题。第四，梳理有关工作流程，明确每个环节上的岗位职责分工、运营模式、管理机制、质量水平等方面的要求。

（六）业务外包过程管理根据业务外包合同的约定，承包方会采取在特定时点向企业一次性交付产品或在一定期间内持续提供服务的方式交付业务外包成果。

由于承包方交付成果的方式不同，业务外包过程也有所不同，前者的业务外包过程是指承包方对产品的设计制造过程，后者的业务外包过程是指承包方持续提供服务的整个过程。该环节的主要风险是：承包方在合同期内因市场变化等原因不能保持履约能力，无法继续按照合同约定履行义务，导致业务外包失败和本企业生产经营活动中断；承包方出现未按照业务外包合同约定的质量要求持续提供合格的产品或服务等违约行为，导致企业难以发挥业务外包优势，甚至遭受重大损失；管控不力，导致商业秘密泄露。

主要管控措施：第一，在承包方提供服务或制造产品的过程中，密切关注重大业务外包承包方的履约能力，采取动态管理方式，对承包方开展日常绩效评价和定期考核。第二，对承包方的履约能力进行持续评估，包括承包方对该项目的投入是否能够支持其产品或服务质量达到企业预期目标，承包方自身的财务状况、生产能力、技术创新能力等综合能力是否满足该项目的要求。

第三，建立即时监控机制，一旦发现偏离合同目标等情况，应及时要求承包方调整改进。第四，对重大业务外包的各种意外情况做出充分预计，建立相应的应急处理机制，制定临时替代方案，避免业务外包失败造成企业生产经营活动中断。第五，有确凿证据表明承包方存在重大违约行为，并导致业务外包合同无法履行的，应当及时终止合同，并指定有关部门按照法律程序向承包方索赔。第六，切实加强对业务外包过程中形成的商业信息资料的管理。

（七）验收在业务外包合同执行完成后需要验收的，企业应当组织相关部门或人员对完成的业务外包合同进行验收。该环节的主要风险是：验收方式与业务外包成果交付方式不匹配，验收标准不明确，验收程序不规范，使得验收工作流于形式，不能及时发现业务外包质量低劣等情况，可能导致企业遭受损失。

主要管控措施：第一，根据承包方业务外包成果交付方式的特点，制定不同的验收方式。一般而言，可以对最终产品或服务进行一次性验收，也可以在整个外包过程中分阶段验收。第二，根据业务外包合同的约定，结合在日常绩效评价基础上对外包业务质量是否达到预期目标的基本评价，确定验收标准。第三，组织有关职能部门、财会部门、质量控制部门的相关人员，严格按照验收标准对承包方交付的产品或服务进行审查和全面测试，确保产品或服务符合需求，并出具验收证明。

第四，对在验收过程中发现异常情况的，应当立即报告，查明原因，视问题的严重性与承包方协商采取恰当的补救措施，并依法索赔。第五，根据验收结果对业务外包是否达到预期目标作出总体评价，据此对业务外包管理制度和流程进行改进和优化。

（八）会计控制会计控制是指企业应当根据国家统一的会计准则制度，加强对外包业务的核算与监督，并做好外包费用结算等工作。该环节的主要风险是：缺乏有效的业务外包会计系统控制，未能全面真实地记录和反映企业业务外包各环节的资金流和实物流情况，可能导致企业资产流失或贬损；业务外包相关会计处理不当，可能导致财务报告信息失真；结算审核不严格、支付方式不恰当、金额控制不严，可能导致企业资金损失或信用受损。

主要管控措施：第一，企业财会部门应当根据国家统一的会计准则制度，对业务外包过程中交由承包方使用的资产、涉及资产负债变动的事项以及外包合同诉讼潜在影响等加强核算与监督。第二，根据企业会计准则制度的规定，结合外包业务特点和企业管理机制，建立完善外包成本的会计核算方法，进行有关会计处理，并在财务报告中进行必要、充分的披露。第三，在向承包方结算费用时，应当依据验收证明，严格按照合同约定的结算条件、方式和标准办理支付。

以上就是关于什么是软件外包．谢谢全部的内容，包括:什么是软件外包．谢谢、承接一个外包开发项目后，开发流程以及如何做好、外包开发商开发软件如何保证人脉的安全等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！