采购清单模板：业务系统低代码能力需求一览

面向招评标与落地交付的可执行清单，覆盖前端可视化、后端流程引擎、数据库直连、系统对接、二次发布、权限治理与运维安全

本文是针对于甲方采购与技术评审“即拿即用”的清单模板，充分结合星云低代码中间件的工程特性：嵌入现网、零重构接入、项目可独立部署/运行、源码+低代码混合范式。模板遵循“三步走”：先红线（Pass/Fail）→ 再评分（加权 100 分）→ 最后 PoC（现场闭环验收），并配齐提交材料、SLA、合同条款与风险识别，确保低代码能力可持续演进、可审计、可回退、可复用。

0. 使用原则（给评审组的 3 条铁律）

1. 红线优先：任何一项硬性条款不达标，直接出局，避免后续交付风险。

2. 同题同卷：所有入围厂商按同一 PoC 剧本演示，统一库表、统一对接对象、统一验收口径。

3. 证据计分：只以“可运行的演示、配置脚本、日志与截图”为准；方案宣讲不计高分。

1. Pass/Fail 硬性项（全部必须满足）

• 零重构接入：3–5 天完成前端嵌入（IFrame/渲染器/SDK）、SSO/Token 透传、权限/数据映射与直连既有数据库。

• 独立部署/运行：项目与平台互不依赖；升级不扰动现网，具备并行版本与回退能力。

• 多形态兼容：提供 Jar/.dll/容器镜像 多形态，适配 Java/.NET/容器环境与主流 OS。

• 流程引擎“可上线”：节点支持条件/并行/回写/补偿/幂等可视化配置；轨迹与操作全量留痕。

• 原生连接器：REST/HTTP 连接器完成“查询+回写”，可视化配置鉴权/限流/重试/映射。

• 多库直连：MySQL/Oracle/SQL Server/达梦/金仓等；支持事务、连接池、跨源聚合。

• 细粒度权限：接口/按钮/字段/行级控制；敏感字段脱敏；操作与变更日志可审计导出。

• 报表设计器：字段映射、聚合与跨表关联；按角色过滤；导出/定时；看板联动与钻取。

• 主题一致性：与原系统像素级融合；支持 Vue3 与移动端适配、暗黑模式（如需）。

• 灰度与回退：支持金丝雀放量；异常可一键回退；现场可演示。

任一项出现“暂不支持/需大量二开”的，建议直接淘汰。

2. 加权评分表（总分 100，0–5 分分级）

评分档位：0=无/不可用；1=初步；2=基本；3=可用；4=成熟；5=领先。每项均要求量化口径+证据。

计分：分值×权重相加；≥85 判“强可用”，70–85 判“可用需补强”，＜70 判“高风险”。

3. 现场 PoC（8 个工作日闭环）

目标：在测试环境跑通“两个页面 + 一条流程/接口 + 一张报表 + 一处系统对接 + 主题一致 + 灰度/回退”。

• D1–D2 接入层：完成前端嵌入、SSO/Token、角色/权限映射、连通 1 张既有库表；主题像素级一致。

• D3–D4 构建层：搭好“列表 + 编辑表单（校验/级联/上传/打印）”；流程“提交→审批（分支并行）→回写”，必要时用脚本。

• D5 对接层：用 REST 连接器对接 ERP/OA/IM 任一系统，完成“查询+回写”，配置鉴权/限流/重试/映射。

• D6 报表层：做“表格 + 柱/折 + 指标卡”仪表盘，按角色过滤，支持导出与定时任务。

• D7 发布与运维：项目独立部署/运行，10% 灰度放量；模拟异常并一键回退；查看日志与告警。

• D8 安全与审计：验证字段/行级权限与脱敏；导出“配置即文档”和操作/变更日志；接口访问控制有效。

通过标准：无重构、链路全通、主题一致、灰度可控、日志可审、对现网无性能扰动。

4. 供应商提交材料（随投标文件装订成册）

1. 总体架构与部署拓扑（含嵌入方式、独立运行说明）

2. 接入计划（2.5–5 天工期拆解与责任人）

3. 接口注册清单与连接器能力（鉴权/限流/重试/映射界面）

4. 流程“回写/补偿/幂等”设计说明与样例

5. 多数据库直连与事务/并发策略（含国产库适配）

6. 权限模型与审计策略（接口/按钮/字段/行级、脱敏）

7. 报表/可视化样例与数据口径（含快照与版本）

8. 主题融合与前端一致性方案（变量/样式/移动端）

9. 运维与可观测方案（日志/指标/追踪/告警）

10. 安全与合规材料（密钥轮转/令牌过期策略、渗透/等保类证据）

11. 培训大纲与支持 SLA（管理员/实施/业务三类）

5. SLA 与验收口径（建议写入合同）

• 效率 SLA：PoC ≤ 2 周；常规增量“需求→上线”≤ 5 个工作日；P1 缺陷 MTTR ≤ 4 小时。

• 性能 SLA：关键接口 P95 ≤ 300ms（场景协商）；错误率 ≤ 0.1%；容量/限流策略可配置。

• 发布 SLA：支持金丝雀灰度；回退零停机；季度回退演练 ≥ 1 次。

• 安全 SLA：重大安全问题 2 小时响应；密钥轮转 ≤ 90 天；敏感操作 100% 留痕。

• 培训 SLA：覆盖管理员/实施/业务三类课程；交付“配置即文档+日志”一并移交。

6. 合同关键条款（十条精选）

1. 独立部署/运行：项目与平台互不依赖；升级不扰动现网。

2. 灰度与回退：每次发布必须配置灰度与一键回退；回退演练纳入例行。

3. 接口注册与资产沉淀：接口/流程/组件/模板/脚本统一入库，带版本与审计；交付提供资产清单。

4. 数据口径治理：指标必须绑定版本与快照；变更需附影响面分析与样例数据。

5. 源码+低代码协同：高复杂域归源码实现；通用与长尾需求归低代码；支持桥接源码专业组件到低代码侧复用。

6. 安全默认开启：最小权限、脱敏、导出审计、令牌过期策略、密钥轮转制度化。

7. 可观测：统一日志/指标/追踪/告警方案，支撑追责与优化。

8. 性能/容量：压测与扩容方案随版本提供；达不到基线视为缺陷。

9. 二次交付效率：常规增量交付节拍与周/月度上线频次写入 KPI。

10. 违约与激励：SLA 未达标的扣费条款；复用率/效率达标的激励条款。

7. 风险清单与反模式（识别 & 处置）

• 流程只会“画”，不会“上线”：强制演示回写/补偿/幂等与节点轨迹；无则降档或淘汰。

• 连接器外包化：必须展示可配置的鉴权/限流/重试/映射界面与模板库。

• 权限粗粒度：现场切换角色验证按钮/字段/行级差异，并导出审计日志。

• 主题割裂：读取原系统主题变量并动态切换，移动端自适应无破相。

• 黑盒脚本：脚本纳入版本与审计；上线必经闸口与灰度。

• 升级牵动现网：坚持项目独立部署、并行版本与回退预案。

• 资产无人运营：对资产设“领养人”，发布月度资产战报（复用率、缺陷密度、MTTR）。

8. 行业权重微调建议（按需改表）

• 制造/现场执行：流程编排 +2、连接器 +2、数据模型 +1、运维 +1

• 政企/合规密集：权限与审计 +3、运维与安全 +2、主题一致性 +1

• 零售/市场运营：组件与前端 +2、报表与可视化 +2、二次交付效率 +2

• 财务/报表密集：数据模型 +2、报表 +2、权限口径 +1

9. 一页式评分矩阵（评审现场直接填）

10. 写在最后

把低代码能力作为业务系统的基础能力，关键不是“有没有平台”，而是能否在现网中快速、稳健地内嵌并长期演进。以星云的中间件形态为基座：

• 3–5 天接入、零重构、现网无扰动；

• 源码 + 低代码混合：复杂核心回归源码，长尾与高频变更由低代码承接；

• 资产化复用：组件/流程/连接器/报表/主题/脚本沉淀为企业资产；

• 工程化治理：灰度/回退、口径快照、接口注册、日志审计与可观测。