这两年,“软件工厂” 成了军工与信创圈的顶流概念。
从科研院所到地方国企,纷纷砸钱上马 DevSecOps 平台、接入国产大模型、搭起可视化大屏,仿佛一夜之间就能对标洛马。
可热闹褪去,真实落地状况远比想象刺眼:有的平台斥资数百万,日均活跃工程师占比不足 15%;有的演示时光鲜,一进涉密测评直接被打回;有的为提效砍掉安全门禁,最后全线停工整改,越赶进度反而越慢。
说白了,很多单位砸重金建的根本不是软件工厂,是昂贵的 “数字化展厅”。
今天我们拆解四个圈内公认的真实踩坑案例,戳破虚假繁荣,也说清国产软件工厂的正确路径。
案例一、展厅型工厂:
工具堆成山,流程原地踏步
某头部军工电子研究所 2023 年立项建设 AI 赋能 DevSecOps 软件工厂,口号对标洛马模式。
项目组把重心全放在 “配齐” 上:数百万采购全套商用平台、代码大模型、安全扫描工具,三个月搭完还做了炫酷的可视化大屏,上级参观好评不断。
可落地干活就露了馅:开发还是沿用几十年的瀑布式流程,安全门禁做成 “可跳过” 的软规则,AI 工具没人敢用 —— 怕出问题担责,也没配套验证机制,用了反而添负担。
上线半年复盘,平台日均活跃率不足 15%,AI 工具使用率不到 10%,除了接待演示毫无价值,二期预算直接被砍。
死穴:把软件工厂当成硬件采购项目。工具买齐了,流程、组织、考核纹丝不动,最后只剩个昂贵摆设。
案例二、伪信创捷径:
先上车后补票,最后全车推翻
某省属军工配套企业 2022 年启动软件工厂,目标支撑涉密软件开发、通过分级保护测评。
为赶节点,团队走了 “捷径”:初期大量用海外开源组件、商用大模型接口,两个多月就出了完整演示版,初期验收一片好评。当时的说法很乐观:先跑起来,后面再换信创。
结果 2023 年涉密测评直接被打回:核心组件与大模型不满足自主可控要求,全链路审计、数据留痕能力不达标。
整个项目全线推倒,从底层操作系统到开发平台全量替换国产信创栈,前期两百多万投入基本打水漂,项目延期近 11 个月。
死穴:把自主可控当事后补丁。军工领域没有 “先跑再说” 的余地,底座选错了,建得再快都是空中楼阁。
案例三、速度至上:
为提效给安全松绑,反而越赶越慢
某能源央企下属科技公司,负责集团工控软件迭代,建工厂时把 “提效” 摆在第一位。
为压缩周期,团队主动把静态扫描、漏洞检测、成分分析从 “强制门禁” 改成 “后置抽检”,AI 生成代码经简单人工确认就能合入主线。初期确实亮眼,单功能交付周期缩短 40%,还成了内部提速典型。
好景不长。2024 年等保 2.0 复评时,查出大量 AI 生成代码含高危逻辑漏洞,还混入了不合规开源组件,合规风险爆表。
项目停工整改两个月,重新加回安全门禁、补全全量代码扫描。算上整改时间,整体交付反而比原计划慢了一个月,项目组还被通报批评。
死穴:把速度当成第一目标。高安全领域,速度永远是安全之上的副产品。为速度让渡安全,本质是舍本逐末。
案例四、重建轻营:
集团统一搭台,下属集体 “阳奉阴违”
某央企斥资上千万搭建全集团统一 DevSecOps 平台,要求十几家子公司、近两千名研发全员迁移,实现标准化管理。
平台功能覆盖全流程,但项目组只做了 “建平台” 这一件事:没有专职运营团队,没有体系化培训,没有强制规范,也没配套考核,全靠子公司自愿迁移。
各家子公司原有工具链、流程差异极大,平台又没有针对性适配,最后大家表面完成接入,实际开发还是沿用老工具、老流程。
平台建成一年,核心业务代码上平台率不足 30%,多数团队都是 “双轨运行”—— 平台一套应付检查,本地一套用来干活。标准化、提效、安全管控的目标,一个没落定。
死穴:把软件工厂当成一锤子工程。它不是固定资产,是需要持续运营的生产体系,只建不管必然沦为空架子。
想造真正的军工软件工厂,先守住四条底线。
踩坑姿势千差万别,根源却出奇一致:把软件工厂当成了技术采购项目,而非从认知到组织的全体系变革。对标洛马从来不是买一套同款工具,而是吃透背后的工程逻辑。
第一,先转认知,再上工具。
软件工厂的本质是能力生产的工业化,终极目标是更快、更稳、更安全地交付战斗力,而非让程序员多写几行代码。先对齐目标、重构流程、调整组织考核,最后再选工具。顺序搞反,花再多钱都是花架子。
第二,先牢底座,再谈功能。
军工场景里,自主可控是入场券,不是加分项。从底层操作系统到 DevOps 平台、大模型底座,从第一天就要走全信创技术栈,别抱 “先上车后补票” 的侥幸。没有自主可控的底座,所有功能都是无根之木。
第三,先焊安全,再求速度。
安全不是流水线的可选插件,是焊死在底座里的铁闸。全链路 SBOM 管理、强制安全门禁、全生命周期可追溯审计,必须从第一天就内置,没有任何可跳过的余地。宁肯初期慢一点,也不能在安全上打折扣。
第四,先做运营,再谈规模化。
软件工厂七分靠运营,三分靠建设。要有专职运营团队、体系化人才培训、配套考核激励,让工程师愿意用、用得好、用了真减负。只建不管,再强的平台也发挥不出十分之一的能力。
洛马的软件工厂走了整整 20 年,踩过无数坑才磨出今天的体系。我们不用全盘照搬,但至少可以避开这些已经被验证的死路。
国产军工软件工厂从来不是买一套工具就能建成的。它是认知升级、流程重构、组织变革、人才迭代,最后才是技术落地。
我们有完整的工业体系、庞大的人才储备、强大的执行力。只要不沉迷面子工程,不热衷于走捷径,踏踏实实筑牢底座、焊死安全、理顺体系,造出属于我们自己的世界一流战争软件工厂,只是时间问题。
毕竟真正的战斗力,从来不是展示出来的,是一步一个脚印干出来的。