个人作品集 · ToB 产品商业化

漏洞管理平台

把高定制、难交付的问题产品,做成可销售、可配置、可交付的标准品。

这不是"重写一个新产品"的故事,而是"把一堆客户各自要求的定制,收敛成一套通用能力"的故事。这里介绍这次商业化改造做了什么,以及我在其中的角色。

50+
版本迭代
200+
支撑客户 POC
50+
交付客户
~450
年均合同金额
70%↓
定制开发量下降
服务行业分布
金融(银行 / 证券)70%+ 其他行业 <30%
航空汽车制造零售消费制造与通信

问题是什么

一个被客户定制拖垮的漏洞管理产品

这类安全产品很容易掉进一个陷阱:每来一个客户,就多一套专属定制;定制越多,版本越难维护,交付越慢,团队规模却越滚越大。产品没有变强,只是变重。

改造前

每个客户的定制需求各写各的代码,版本之间互不兼容
交付周期长,销售报价难讲清楚"标准能力"和"额外定制"的边界
研发维护成本随客户数量线性甚至超线性增长
产品经理团队要靠人海堆需求,才能勉强跟上交付节奏

改造后

+客户定制需求抽象成配置策略、数据接入、流程编排、数据看板
+真正无法通用的部分用插件化承接,不侵入标品主干
+50+ 版本迭代在同一套标品上滚动演进,而不是各客户各分支
+在人力收敛情况下独立承接双产品线并保持交付增长

需求从哪里来

产品在我这从来不是起点,只是个载体

我的需求不是别人递到手上的,是自己去客户那里跑出来的。起点永远是客户业务上碰到的真实问题,产品和迭代是把对应能力补上去之后,自然带出来的结果。

驻场半年多,从业务现状里找出问题

大型银行总行客户 · 驻场 6 个月

这是一家大型银行总行的漏洞运营体系建设项目,我直接驻场,前后半年多,天天跟客户各业务部门的人打交道,一条条摸他们漏洞处置的实际流程。摸下来发现核心问题不是"产品功能不够",而是现有安全能力撑不住业务侧的诉求:扫描器扫出来的、渗透测试挖出来的不同来源漏洞,在客户现有工单体系里根本流转不起来,责任人也定不清楚。方案、原型、路线图都是从这个现状里一步步长出来的,不是先有个产品去往客户身上套。系统验收后一直稳定运行,现在二期也在跟。

驻场摸真实流程 ──▸ 发现能力缺口在哪 ──▸ 方案原型从缺口里长出来
这不是孤例。 所有 POC 项目我都会跟客户深聊,有的去现场,有的线上沟通;交付了也不算完,会一直跟进解决客户漏洞运营建设上碰到的问题,再加上前线售前、交付反馈带回来的信息——50+ 交付客户加上做过 POC 的,前后接触了 200+ 甲方。从客户痛点倒推现有能力够不够、差在哪、要补什么,这套方法不止用在漏洞管理上。

核心能力

围绕漏洞处置全链路,沉淀成六类标准能力

标准化不是砍掉客户的个性化需求,而是把高频出现的诉求提炼成平台能力,让新客户接入时"配置即可用",而不是"重新开发一遍"。

01

多源数据接入

统一接入扫描器、渗透测试、攻防演练等多来源漏洞,同时打通资产台账与威胁情报数据,作为处置全链路的统一入口,避免同一问题在不同渠道重复处理。

核心能力
02

漏洞自动定级

按 CVSS/VPR 风险评分结合资产属性、业务规则自动给漏洞定级定责,减少人工逐条评估的重复劳动,让高风险漏洞第一时间被看见。

核心能力
03

任务分派与流转通知

按资产归属、责任人、优先级规则自动分派处置任务;状态变化、审批推进等关键节点自动通知责任人,不用人工盯着系统反复查。

核心能力
04

修复跟进

跟踪处置状态、超期预警和升级路径,让修复不再靠人工追进度。

核心能力
05

复测验证

标准化复测流程,确认修复真正生效,而不是"标记已修复"就算完成。

核心能力
06

自动数据看板

用户按自己的运营口径自选统计维度、时间范围和图表类型,饼图、柱状图等自助组合展示,不用再为每个客户的统计需求单独定制开发。

核心能力

标准化方法论

不是拒绝定制,而是知道哪些定制该收进平台

每一条客户定制需求,先问一个问题:这是这一个客户的特例,还是很多客户都会需要的共性?答案决定它走哪条路径。

STEP 1
客户定制需求
销售/交付反馈客户现场需求历史遗留缺陷
STEP 2
需求归类与共性提炼
按能力域归类识别高频诉求区分特例 / 共性
STEP 3 · 决定成本结构的一步
配置化 / 流程化改造
配置策略数据接入流程编排数据看板
STEP 4
插件化承接特例
不侵入标品主干按客户独立启停
STEP 5
标准品交付与复用
新客户配置即用版本统一滚动升级
第 3 步是决定成本结构的一步。 把共性需求做成配置而不是代码,团队规模才不会随客户数量线性膨胀;把真正的特例交给插件化机制,才不会为了迁就少数客户拖慢所有人的迭代节奏。

三个典型改造

同样的"定制需求",从一次性开发变成配置项

这类商业化改造里最常见的场景,是客户提出一个看似专属的要求,实际背后是一类可复用能力。以下是三个有代表性的例子。

第三方系统数据同步

低代码配置接入

客户环境里的漏扫工具、CMDB、ITSM 各不相同,早期每接一个新系统就要重新开发一套对接代码。改造后,数据同步能力做成低代码集成引擎——认证、解析、过滤、清洗、归一化、字段映射拆成可配置节点,新系统对接从写代码变成拖拽配置,单系统对接成本从约 5 人天降至 1–2 天。维护成本更低、对接效率更高,而且每接入一个新系统就沉淀成一份可复用的系统资产,后续有相同对接需求的客户能直接复用,不用再从零开发一遍。

定制对接需求 ──▸ 低代码节点配置 ──▸ 沉淀为可复用系统资产

漏洞自动化处置

从人工判断到策略引擎

不同客户对漏洞自动化处置的要求千差万别:有的要求命中特定条件自动关闭误报漏洞,有的要求满足条件自动编辑漏洞属性,有的要求自动推进或关闭处置工单。早期这类需求靠人工逐条处理,或者为单个客户写死一套专属逻辑。改造后统一抽象成漏洞策略引擎——按资产属性、漏洞类型、风险评分等条件组合配置触发规则和执行动作,自动关闭指定漏洞、自动编辑漏洞属性、自动处置工单等场景都能通过配置实现,不需要为每个客户的处置逻辑单独开发。

不同场景处置诉求 ──▸ 抽象为策略规则 ──▸ 配置触发条件与执行动作

自动数据看板

从定制统计到自助分析

客户对运营数据的统计诉求五花八门:有的要看修复率趋势,有的要按部门看漏洞分布,有的要按季度看 SLA 达成情况。早期做法是为每个客户的统计诉求单独开发统计页面。改造后做成可配置数据看板,用户自主选择统计维度、时间范围和图表类型(饼图、柱状图等),按自己的运营指标口径自由组合展示,不需要为每个客户的统计需求单独定制开发。

各自的统计诉求 ──▸ 自选维度与图表类型 ──▸ 看板自助配置,无需定制开发

我在这次商业化里做了什么

把产品从"接需求的人"变成"定规则的人"

这次改造的关键不是某一个功能做得多好,而是重新定义了产品经理和客户定制需求之间的关系。

01

主导标准化改造的全局设计

系统梳理已有功能、客户反馈和内部缺陷,把分散的定制问题归类成可复用的能力域,划定哪些进平台、哪些走插件。

能力归类标品边界
02

把客户定制抽象成配置能力

围绕数据接入、自动定级、分派通知、修复跟进和复测验证,把高频定制诉求沉淀为配置策略、数据接入、流程编排和数据看板,而不是一次性代码。

配置化流程编排数据看板
03

用插件化降低对标品的侵入

对真正无法通用的少数客户特例,采用插件化思路承接,避免为了少数客户拖慢主线迭代,也避免标品代码被定制逻辑污染。

插件化架构主干保护
04

支撑规模化交付而不扩张团队

推动 50+ 版本迭代、支撑 200+ POC 和 50+ 客户的持续交付;在人力收敛情况下独立承接双产品线并保持交付增长,定制开发量下降 70%+。

规模化交付成本结构优化

判断标准

每条需求进来,先问它该归哪一边

这是这次改造里最常用、也最需要经验判断的一道取舍题。

Sense

收集

销售、交付、客户现场反馈汇总,不遗漏个别声音。

Cluster

归类

按能力域分组,识别哪些诉求反复出现。

Decide

取舍

高频诉求进标品配置,低频特例走插件化。

Ship

交付

配置化能力随版本统一发布,全体客户可复用。

进标品配置
  • 多个客户都提过的诉求
  • 能用参数、模板、规则表达清楚的差异
  • 不影响其他客户使用的通用能力
走插件承接
  • 只有单一客户会用到的深度定制
  • 涉及客户专属系统对接的特殊逻辑
  • 短期内看不出复用价值、但客户必须要的功能