谁负责我的代码开发？

　　作为一位前项目经理，Mary Gerush将会告诉你在和外包供应商合作的时候，选择和保持应用开发人员的选择非常困难。和供应商建立长期的关系会很有帮助，但是即使是你自己选择的开发人员也通常会扔下你的项目去做另一项。

　　Gerush在印度外包项目的方法是了解扩充的团队中的每个人。“过一段时间，你就知道税收最好的开发员，这样你可以和他们建立稳定的关系，并建立忠诚度。” Gerush是Forrest的分析师。

　　有一位CIO最近被公司的管理团队问到，当公司在子办公室聘用了开发人员的时候，为什么还要绕很多安全的圈子在公司的外包合作商那里聘用同一个国家的开发人员。

　　Forrester的分析师Khalid Kark说，这家公司在俄国，而俄国没有等同的背景核查。“那位CIO说‘我们对（我们国家）自己的员工都作了背景核查，我们了解我们（应用开发员）的情况。’”

　　这位CIO并不太确定，但是外包供应商也有同样的规则，以确保进来和出去的是谁，他们可能带着敏感信息。

　　建立控制来管理应用开发外包风险

　　很多企业在事后学到的一个教训是当应用开发外包项目已经在进行的时候，设置安全控制就困难对了。有些专家还会把外包商做的应用开发不经过前期的应用开发工作测试或监控，就放入他们自己的环境。在这两种情况中，安全都向市场的速度作了倾斜。

　　Kark 说：“应用开发团队没有安全技术，这样公司就必须成立一个安全团队，在应用开发进入他们的环境前和在开发过程中监控和测试应用开发，这样也会延缓工作进展。”

　　几年前，和外包商的应用开发合同中大约有5% 到10%中包含 了详细的严格的安全策略和控制要求。KarK解释说，现在随着公司把更多的责任交给外包商，这个比例已经上升到30% 到40%。

　　企业不但要求内部使用和访问控制相关的策略同一等级的控制，而企业他们还想要了解外包商是否具备ISO 27001或者ISO 27002证书。他说，他们经常把在线访问写入合同，测试外包商的安全监控工具和策略。

　　Kark说：“他们要了解谁访问了、怎么访问的、是否做了背景核查。如果他们看到这些策略没有执行，他们就会认为这是合同的泄漏。”

　　通过设置期望和阶段性目标管理风险

　　Vibbert曾经做过一个项目，应用完成了，所有的代码也一起出来了。一起出来的还有巨额帐单。

　　他说：“公司可能会拿到一份巨额帐单，而且没有办法验证，然后就可能涉及法律，那么这家公司就非常不走运乐，因为他们没有设置详细的交付产品或者交付产品的成本。”

　　最位一位项目经理，Vibbert会设置和产品发布一样的交付——本周是第一个版本，下周是第二个版本，以此类推。“我们提前说好，并写下来，10%的工作必须依照某些详细的规定在某个可以继续前进的日期做完。”

　　以下是企业可以在管理应用开发外包风险的时候采用的预设步骤：

• 提前检查应用开发设计，不只要设定交付的产品，还要确定完成项目需要的技术范围。
• 确定开发人员不会偏离设计标准。如果应用可以以某种方式用Java编写，确保外包商的开发人员都遵守这个计划。

　　Vibbert说：“你看到的是开发人员认为他们知道更好的方式，这样他们就会用自己的方式做，然后公司拿回来了代码，而自己的开发人员不知道该怎么办。”

• 建立一个团队监控外包商的状况和所在的国家。一个厂商管理团队应用可以找到这个国家发出的任何声明，例如可能的收购，还有外包商所在国家发生的可能中断项目的政治冲突。

Gerush说：“厂商管理办公室应该警惕任何问题，并制定风险出现的计划，这样公司公司就不会被动确定海外的数据会发生什么了。”

• 不要忽视一个国家的隐私法律。例如，中国对进出国界的数据都要监察。“一个国家可能聚友低价的应用开发人员，但能不能和这个国家的外包商数据风险相平衡呢？”
• 检查外包商是否了解你所在的行业。你找到的合作伙伴坑农具有丰富的应用开发技巧，但是却不了解你想要开发的可以满足特殊商业或者行业需求的应用本身。