一、权限失控的本质,不是技术问题
2019年第四季度,我们团队经历了一次严重的 Jira 权限事故。起因是一位前端组长为了快速支持某个紧急需求,临时把一个实习生加进了“项目管理员”角色。三天后,那位实习生在不知情的情况下删除了产品 Backlog 中 47 个待规划的需求条目,其中 12 个是产品总监下周要向 CEO 汇报的 Q1 核心路线图。
这次事故的直接损失是整整一周的需求恢复和评审重做。但更深层的问题在于:当我们试图复盘权限为什么失控时,发现根本没法快速回答三个基础问题,谁在这个项目里能删除需求?为什么实习生会被允许做这件事?还有多少项目存在同样的隐患?
我们花了整整两个迭代周期,完成了一次完整的 Jira 权限重构。这篇文章记录的不是“如何配置 Jira 权限”的教程,那种内容网上到处都是。我要讲的是:Jira 权限失控的本质从来不是技术配置问题,而是你团队的组织架构在工具上的投影已经混乱了。Jira 的角色表就是一面镜子,照出的是你团队分工是否清晰、信任关系是否明确、流程边界是否被认真对待。

二、从事故现场开始还原:我们的 Jira 是怎么一步步烂掉的
很多人以为 Jira 权限失控是一次性的配置失误,但真实情况是:它永远是渐进式腐烂的。没有哪个团队会在第一天就故意创建一堆混乱的角色和权限方案。所有混乱都是在日常压力下,用一个又一个“临时方案”堆砌出来的。
1. 第一次埋雷:初创期的“万能角色”
我们团队在 2017 年开始用 Jira 时只有 23 个人。为了“方便”,创建了三个角色:“管理员”、“开发”、“产品”。其中“管理员”角色的权限方案几乎勾选了所有能勾的选项,从创建项目到删除问题,从修改工作流到导出数据。当时的心态很简单:
“人少,大家都信任彼此,没必要搞那么复杂。”
这句话是 Jira 权限失控的第一原理。三年后当团队扩张到 160 人、涉及 11 个并行项目、对接 3 个外部供应商时,那个“管理员”角色里还绑着当年第一批创始成员。他们中的大多数早已不负责具体项目,但在 Jira 系统里,他们依然拥有全局删除权限。
这不是配置问题,这是组织记忆问题,你根本不知道谁在什么时候被赋予了什么样的权力。
2. 第二次腐烂:权限方案复制带来的“污染扩散”
2018 年中,团队开始扩张,新项目一个接一个地启动。当时的项目管理员为了快速搭建新项目,直接复制了老项目的权限方案。这在操作上是最快的,点几下鼠标,一个“经过实战检验”的权限方案就迁移过去了。
但复制权限方案这个行为本身包含一个巨大隐患:它把老项目里所有临时添加的、权宜之计的、本该被收回的权限设置,一起打包带到了新项目里。
我们在重构审计时发现了一个典型案例:某个两年前已经废弃的供应商对接项目里,曾给一位外部顾问开过“浏览所有项目问题”的权限。那个权限方案在三年内被复制了四次,导致那位早已结束合作的外部顾问理论上仍然能看到我们最新的内部项目数据。没人记得这件事,因为权限方案复制的时候从来没人想过要审计一遍源方案的内容。
3. 第三次加速:Confluence 与 Jira 的权限映射黑洞
到了 2019 年,我们不仅用 Jira Software,还深度使用 Confluence 管理产品文档和技术 Wiki。两者的权限体系理论上可以打通,但实际效果是制造了一个更复杂的迷宫。
Jira 项目角色可以映射到 Confluence 空间权限,但映射规则并不透明。一个在 Jira 项目里被赋予了“浏览项目”权限的用户,可能会在 Confluence 对应的空间里获得超出预期的页面编辑权限,因为 Confluence 空间管理员曾为了“方便”调整过默认映射。
权限失控此时已不再是单一工具的问题,而是跨工具的权限传递出现了非预期的放大器效应。一个小的 Jira 角色调整可能在 Confluence 侧引起范围不可知的权限变更。

三、重建前必须回答的诊断性问题
在动手重构之前,我们花了一周时间进行系统诊断。这一步被绝大多数 Jira 权限教程跳过了,那些教程总是直接跳到“第一步:打开权限设置页面”。但如果你不先诊断清楚腐烂的根在哪里,重构只会是把混乱重新排列组合一遍。
我们围绕四个核心诊断问题展开:
第一问:你现在能在 3 分钟内说清楚你们团队有多少个 Jira 角色吗?这个问题测试的不是记忆力,而是角色体系本身是否有逻辑。一个设计良好的角色体系,角色数量应该和组织的角色分工数量大体一致。如果角色数量远大于你能在脑子里枚举的岗位类型,说明大量角色是无意识创建或重复创建的。
我们当时的答案:光是一个主产品项目就有 14 个角色。但团队里实际能清晰区分职责的岗位只有 6 类。多余的 8 个角色要么是某个特殊时期临时加的,要么是某位管理员“试了一下”就没删的。
第二问:你们有“幽灵角色”吗?也就是那些绑定了 0 个活跃用户、或者绑定用户都已离职的角色。Jira 不会主动清理它们,但它们在系统里保留着完整的权限链路。安全风险就藏在里面,哪天某个老用户账号被重新激活,或者某个同名新员工被误拉进旧角色,权限隧道就打通了。
我们当时发现了 19 个幽灵角色,其中一个还绑定了一个离职两年的前运维工程师的账号,而那个账号关联的邮箱域没有被回收,理论上是可被外部重新注册的。
第三问:你们权限问题的平均排查耗时是多少?找一个典型场景:测试工程师反馈“我没办法修改 Bug 的修复版本字段”。从接到反馈到找到根因,你们团队平均花多少时间?
我们当时实测了 5 次:平均耗时 45 分钟。因为问题可能出在项目角色、权限方案、全局权限、甚至 Confluence 的交叉权限上。Jira 自带的“权限助手”工具理论上能帮忙,但前提是你的角色体系足够清晰,否则它告诉你“用户 X 拥有权限 Y 来自角色 Z”,你还是不知道角色 Z 为什么会有权限 Y。
第四问:最近一次权限变更的审批记录还在吗?谁提的申请、谁批准的、变更了什么、为什么变更,这套记录如果不存在,意味着你们的 Jira 权限体系已经进入了事实上的“无治理状态”。
我们当时的情况是:完全找不到变更记录。因为大部分权限调整都是管理员在聊天工具里私信说一句“帮我加个权限”,然后就改了。没有工单、没有记录、没有回滚基准。
四、角色重建的四步操作框架
这四步不是我们在网上搜到的“Jira 权限配置最佳实践”,而是我们在真实踩坑后建立的重构方法。我不保证它适合所有团队,但如果你面对的情况和我们类似,团队规模 100 人以上、Jira 使用超过两年、权限历史不可追溯,这套框架值得认真对待。
1. 第一步:全量角色审计与地图绘制
在动手改任何东西之前,先把现状完整记录下来。我们做了一张巨大的表格,包含以下维度:
- 角色名称(系统中实际显示的名称)
- 所属权限方案(一个角色可能被多个方案引用)
- 绑定的用户数量及身份(在职/离职/外部)
- 角色中每个权限项的具体值(浏览项目、创建问题、编辑问题、删除问题、管理工作流……共梳理出 37 个权限项)
- 最后修改时间及修改人
- 创建时间和创建人
这个过程花了整整两天,结果是发现当时系统里存在 41 个角色、引用了 11 个权限方案、涉及 160 多个用户。
然后我们绘制了一张“角色-权限热力图”:横轴是 41 个角色,纵轴是 37 个权限项,每个交叉点标注该角色是否拥有该权限。这让我们一眼就看到了几个触目惊心的事实:
- 有 6 个角色拥有完全相同的权限集,只是名字不同(比如“项目负责人”和“项目主管”)
- 有 3 个角色几乎拥有全部权限,只有一两项没勾选
- 有 8 个角色的权限集没有规律可循,像是随机打勾的结果
如果你想自己审计,不用画热力图,但一定要用表格把权限-角色的映射关系完整梳理出来。Jira 不提供这个视图,得手动整理。这是最枯燥但也最关键的一步。

2. 第二步:定义角色设计原则
审计完成后,我们没有立即动手改,而是先和核心团队(CTO、技术总监、PMO 负责人)达成了一组角色设计原则。这组原则后来成了所有权限变更决策的最高判断标准:
原则一:最小权限优先。每个角色的默认状态是“什么都没有”,然后根据职责需要逐项添加权限。这个原则听起来老生常谈,但执行时最大的阻力来自团队成员的习惯,“我以前都能直接删需求的,怎么现在不行了?”
原则二:角色与岗位一一对应。一个 Jira 角色应该对应一类明确的岗位职责,而不是对应某个人或者某个临时的组织关系。这要求角色命名和组织的岗位命名保持一致。
原则三:每个角色的权限差异必须能用一句话解释清楚。如果两个角色的区别需要超过一句话才能说清楚,说明角色划分粒度有问题,要么太细缺少合并空间,要么太模糊两个角色边界不清。
原则四:权限变更必须可追溯。任何权限方案的修改都要走工单流程,在 Jira 里留记录。我们后来索性建了一个专门的“系统权限变更”项目类型来管理这件事。
3. 第三步:重新规划角色结构
基于以上原则,我们推翻了原来的 41 个角色,重新设计了 18 个角色。结构如下:
| 角色层级 | 角色名称 | 权限范围 | 适用对象 |
|---|---|---|---|
| 全局级 | Jira 系统管理员 | 全局配置、用户管理、系统设置 | DevOps 团队指定人员(仅2人) |
| Jira 全局浏览者 | 登录系统、浏览所有公开项目概要 | 全员默认组 | |
| 项目管理员级 | 项目负责人 | 管理本项目权限方案、组件、版本、工作流调整 | 每个项目的指定 Tech Lead |
| 项目 Scrum Master | 管理 Sprint、看板配置、问题关联、但不能删除需求 | 敏捷教练 | |
| 项目产品经理 | 创建/编辑/排序 Backlog、管理发布、调整优先级 | 产品经理 | |
| 项目质量负责人 | 管理测试用例、缺陷生命周期、不能修改需求范围 | QA Lead | |
| 执行者级 | 开发工程师 | 认领任务、修改开发字段、提交代码关联、不能删除他人任务 | 全体开发 |
| 测试工程师 | 创建缺陷、更新测试状态、不能关闭需求 | 全体测试 | |
| 设计师 | 浏览需求、上传设计附件、评论 | 设计团队 |
这份角色表的关键特征:每个角色都可以用一个完整的动宾结构描述清楚职责边界。“开发工程师”不能删除他人的任务,“测试工程师”不能关闭需求,这些约束明确写在角色定义里,而不是靠人的自觉。
4. 第四步:执行迁移与旧角色下线
迁移是最容易出事故的环节。我们的做法分三层:
- 第一层:先创建新角色,配置新权限方案,应用到测试项目。找一个不关键的项目作为试验田,让核心用户试用一周,收集反馈。
- 第二层:按项目优先级分批迁移。不是所有项目同时切。我们给 11 个项目排了优先级,从风险最低的支持类项目开始,每周迁移 2-3 个。
- 第三层:迁移后锁定旧角色,观察两周,再删除。这是安全缓冲。锁定期间用户如果发现自己权限不足,反馈渠道是畅通的。两周内没有问题的旧角色才能真正下线。
整个迁移周期持续了 6 周。期间遇到了 17 个权限申诉工单,其中 12 个是用户因为新增了权限边界而感到不适应,但事实上他们原本就不该有那些权限,申诉的逻辑是“以前可以为什么现在不行”。我们坚持了原则,只对 3 个确实影响产出的角色做了微调。
迁移过程中最容易引发团队摩擦的不是技术问题,而是权限思维习惯的惯性。这需要管理层明确表态支持重构,否则很容易在执行阶段被各个团队的压力冲垮。
五、重建后我们建立的角色健康度监控机制
一次性的重构解决不了持续性的腐烂。如果我们只是在某个时间点把角色体系洗了一遍,两年后它会再次长满野草。因此,我们在重构结束后立即建立了一套轻量级的持续监控机制。
1. 每季度的角色健康度自检
每个季度末,Jira 系统管理员需要花一个小时完成以下检查清单:
- 新增了多少个角色?每个新增角色的创建理由是否记录在案?
- 有多少个角色绑定了 0 个活跃用户?(幽灵角色检测)
- 有多少个角色被修改过权限方案?修改是否有对应的变更工单?
- 权限方案总数是否发生了变化?新的权限方案是从旧方案复制的,还是从零创建的?
这个自检不用深入技术细节,一小时的投入换来的是每季度一次的体系性感知,你不会在两年后才发现系统已经烂到根了。
2. 权限变更工单的强制闭环
我们在 Jira 里创建了一个专用的项目类型“SYS-PERM”,专门管理权限变更请求。任何权限方案或角色的修改都必须通过这个流程:
- 申请人提交 SYS-PERM 工单,说明变更内容和业务理由
- Tech Lead 或 PMO 审批(根据变更影响范围决定审批人级别)
- 系统管理员执行变更,并在工单中记录实际变更内容
- 工单关联到对应的权限方案或角色页面(通过 Jira 的链接功能)
这套机制运行一年后,我们积累了一个权限变更决策的知识库。当有人再次提出“给我加个删除权限”时,可以回溯到历史上类似的请求是如何处理的,是批准了、拒绝了、还是用其他方式解决了。
3. 权限助手的日常化使用
Jira 内置的“权限助手”是一个被严重低估的工具。大部分团队只在出问题时才想起来用它,但其实它可以成为日常权限管理的“体检设备”。
我们建立了一个习惯:每个新项目启动时,项目管理员必须用权限助手对新项目的权限方案做一次“摸底”。选择一个典型用户(比如一个普通的开发工程师),查看他在新项目中的有效权限集,如果出现了不该有的权限(比如能删除需求),在项目正式启用前修正。
预防的成本远低于事后修复。那个因实习生误删而损失一整周需求的教训,本质上是少了这一道日常检查。

六、当你的团队规模超过 100 人,Jira 权限管理的几个关键取舍
在角色重建的过程中,我们反复面临一些无法两全的决策。这些决策的答案依赖于你团队的具体情况,但我想把我们的取舍逻辑分享出来,因为这些问题具有普遍性。
1. 全局权限的集中管控 vs. 项目自治
这是权限设计中最根本的路线之争:是把权限控制权集中在少数几个系统管理员手里,还是下放给各个项目的 Tech Lead 或项目经理?
集中管控的优点明显,权限体系高度一致,不会出现某人因为某个项目管理员心血来潮就获得过高权限的情况。缺点是响应速度慢,每个权限申请都要排队等待系统管理员处理。
项目自治的优点则是灵活高效,项目管理员可以根据自己团队的节奏快速调整。缺点也很致命,一旦每个项目都能自定义权限方案,整个组织的权限标准很快就会瓦解。
我们最终选择了一个折中方案:“全局权限集中管控,项目权限框定范围,角色映射可以自治”。
具体来说:全局权限(谁能登录系统、谁能创建项目、谁能管理用户)由 DevOps 团队集中控制,只有 2 个人拥有系统管理员权限。项目权限方案的设计框架(必须包含哪些基础角色、每个基础角色的最小权限基准)由 PMO 制定全局标准。但具体的角色映射,即把哪个具体的人放进哪个项目角色,由项目 Tech Lead 自行决定,不需要审批。
这样就把冲突拆解成了三层:系统层绝对集中,框架层设定标准,执行层充分自治。
2. 给供应商和外部人员什么样的权限
如果你们的 Jira 项目对接了外部供应商、外包团队或合作伙伴,权限设计的难度会直接翻倍,因为外部人员不在你的组织管控范围内,任何权限的授予都伴随着数据泄露的风险。
我们当时对接了三家外部供应商,从硬件供应商到UI设计外包都有。我们为外部人员单独设计了一套角色,核心原则是:“只能看到他们需要处理的具体问题,不能浏览项目全景”。
做法是:为每个外部供应商创建独立的问题安全级别(Issue Security Level),把供应商人员放到一个专门的“外部协作者”角色中,该角色的浏览权限被安全级别严格限定在他们被分配的具体问题上,而不是整个项目。
这意味着一个 UI 外包设计师登录 Jira 后,只能看到被标记为“UI外包可见”安全级别的需求,看不到产品路线图、看不到其他功能的需求、更看不到任何包含敏感信息的内部评论。初期设置繁琐,但数据安全感是无价的。
3. 要不要给非技术团队开 Jira 账号
市场部、销售部、客户成功团队,他们偶尔需要查看需求进展,或者提交来自客户的需求。给他们开 Jira 账号吗?
我们的决定是:开,但只有最严格的“只读+评论”权限。非技术团队通过一个名为“业务查看者”的统一角色登录 Jira,可以浏览被授权项目的 Backlog、在需求上添加评论和附件、创建简单的任务,但不能修改任何工作项的状态、不能分配任务、不能调整优先级。
这个角色的权限范围实际上比很多团队想象的更窄。一个销售代表不能因为某个客户很重要就直接把需求优先级标记为“紧急”,他只能评论说明理由,由产品经理来做实际的优先级调整。
看似增加了流程,实际上降低了混乱程度。工具的权限边界就是流程的执行边界。
七、一个典型案例:PingCode 客户的 Jira 迁移到国产平台过程中的角色重构
在完成我们自己的 Jira 角色重建两年后,我参与了一次顾问性质的交流,接触到一个使用 PingCode 的团队。他们当时正在从 Jira 迁移到 PingCode。这个案例让我确认了一件事:权限失控问题与工具无关,与组织的角色意识有关,但好的工具确实能让角色管理更容易保持清晰。
这是一个 120 人的企业级软件研发团队,在 Jira 上使用了四年。他们在迁移到 PingCode 时做了一个明智的决定:不是把 Jira 的权限方案直接照搬过来,而是先做了一次全面的角色梳理。这个梳理过程和我们的重构非常相似。
他们的 Jira 原始状态和我们当年的情况惊人地一致:37 个项目角色、大量名不副实的权限映射、缺乏变更记录。但迁移到 PingCode 的过程中,PingCode 原厂提供的迁移支持和客户成功服务帮助他们做了我们当年完全靠自己摸索完成的角色梳理工作,包括自动化的角色-权限映射关系审计、批量识别幽灵账户、以及基于中国团队研发管理习惯的推荐角色模板。
迁移后的角色体系从 37 个精简到了 15 个,四个主要研发角色(产品经理、开发工程师、测试工程师、项目经理)的权限边界被明确定义在系统模板中,权限变更全部有工单记录。
这个案例最有价值的部分不是 PingCode 的功能列表,而是他们在迁移过程中利用平台能力完成了组织层面的角色治理升级,这是很多团队在做工具迁移时容易忽略的关键步骤。工具迁移如果只是“把数据搬过去”,反而会把历史上的权限混乱一起带进新系统。
如果你正在考虑 Jira 替代方案,不管最终选择 PingCode 还是其他工具,请务必把迁移窗口当成角色重建的机会窗口。新系统的第一天就是旧问题的清零日,不要浪费这个机会把混乱带到下一个平台。

八、在 PingCode 中实践角色管理的几个具体场景
基于与多个使用 PingCode 的团队交流以及我们团队自身对研发管理工具的持续观察,我发现角色管理这件事在国产平台上由于组织架构和权限结构的天然契合,实践中会表现出一些和 Jira 不同的特征。
1. 研发角色的默认模板更贴近中国团队
PingCode 内置的角色模板对“产品经理”、“项目经理”、“开发负责人”、“测试负责人”等角色的权限划分,比 Jira 的原生模板更贴近国内研发团队的实际分工。Jira 默认的角色体系更多基于欧美团队的 Scrum 实践,而国内团队普遍存在“项目经理兼具部分产品职责”、“测试团队承担部分发布管理职能”等实际情况。
一个具体的对比:Jira 默认的 Scrum 模板中,Product Owner 和 Scrum Master 是两个独立角色,权限边界清晰。但在国内大量中小型团队中,这两个角色常常是同一个人兼任。PingCode 的角色模板预设了可以合并也可以分开的灵活配置,你不用从零开始重新调整整个权限方案才能适配这个实际场景。
2. 成员管理与组织架构的打通降低了幽灵角色风险
这是 PingCode 在企业组织架构集成上的一个实际能力:当员工离职时,HR 系统标记为离职状态后,PingCode 的权限体系可以自动触发角色清除流程,不需要 Jira 管理员手动去每个项目里检查这个人的角色映射。
回到我们 2019 年那次幽灵角色审计,如果有这个机制,19 个幽灵角色中的至少 12 个会自动标记并提供清理提醒。这不是多高深的技术,但对于 Jira 权限失控中最常见的“人走权限留”问题,这是一种从机制层面而非自觉层面解决的思路。
3. 权限变更的审批流程天然内嵌在协作工具中
我们在 Jira 上不得不自己创建 SYS-PERM 项目类型来管理权限变更工单,而 PingCode 的权限变更审批可以以工单形式在系统内自然流转。变更记录和具体项目的关联关系不需要手动建立链接,变更历史对组织内所有项目管理员可见。
这个差异看起来微小,实际上决定了权限治理的可持续性。当一个流程需要用额外的项目来手动维护时,它一定会在繁忙的迭代周期中被优先抛弃。当它天然内嵌在工具的工作流中时,持续性就有了基础。
九、如何判断你的团队现在就需要做角色重建
回到最实际的问题:你现在需要花时间做这件事吗?
以下是一组自检信号,如果你满足其中三条以上,说明你的 Jira(或任何研发管理工具)角色体系已经进入了危险区间:
- 你团队的 Jira 角色总数超过团队岗位类型的 2 倍。比如团队有 5 类研发岗位,但角色总数超过 10 个,大概率有冗余。
- 你需要花超过 5 分钟才能解释清楚一个普通开发工程师在 Jira 里能做什么、不能做什么。清晰的角色体系下,这个解释应该在 1 分钟内完成。
- 最近半年内发生过一次“误删需求”或类似权限越界事件。一次可能是意外,但如果你说不清为什么这个人会有删除权限,那就是体系问题。
- 你无法回答“谁在系统里拥有删除项目的权限”。这个问题如果答案超过 3 个人且你不确定全部都是必要人选,就很危险。
- 你找不到过去 6 个月内的权限变更记录。没有记录意味着没有治理。
- 你的权限方案总数与项目总数之比大于 1:1。正常来说每个项目一个权限方案或者多个项目共享一套标准方案。如果方案比项目还多,意味着大量复制和历史垃圾。
如果你中了三条以上,不要立刻动手。先从本节标题三列出的四个诊断问题开始做起,先搞清楚现状,再定义原则,最后才是执行。
我的核心建议是:角色重建这件事,宜早不宜晚,宜全不宜修修补补。如果你只是这里加一个角色那里删一个权限,你永远不会真正改变体系的腐烂轨迹。但选一个稳定的迭代窗口,集中精力做一次彻底的重建,收益至少持续两年。
我们团队在 2019 年底完成重建后,到现在 Jira 角色体系基本没有大规模地重新调整过。季度自检发现的都是小修小补的问题,而非结构性腐烂。从投入产出比来看,2019 年那六周的重建投入,至少为我们省下了此后每年数十个小时的权限排障时间和三次以上的潜在安全事故。

十、结语:角色即边界,边界即安全
写到这里我想回头说一句最朴素但最重要的话:
Jira 角色从来不是一个 IT 配置问题,它是你的组织在数字空间中的权力图谱。谁能在系统里做哪些事情,定义了团队成员之间的信任边界和协作规则。当角色体系腐烂时,腐烂的不仅是软件里的配置表,更是团队协作的隐含契约。
那个可以随意删除需求的权限,在工具层面只是一个复选框;在组织层面,它意味着“我信任谁到可以让他删除团队的知识资产”。当这个信任没有被审慎地管理时,事故是必然的,平安无事才是侥幸。
如果你的团队正在经历类似的混乱,以下是你下一步可以做的三件事:
- 做一次一小时的快速诊断。用上文提到的六个自检信号,判断你现在处于什么阶段。
- 如果决定需要重建,先说服你的技术负责人或 PMO 把这个任务排进下个迭代。这不是行政杂活,这是研发基础设施级别的治理。
- 如果你正在评估从 Jira 迁移到 PingCode 或其他工具,把角色重建作为迁移计划的必要环节。迁移窗口的价值不仅是换工具,更是重置你的协作秩序。
角色管理不会带来新功能,不会提升开发速度,不会直接改善任何一个需求的质量。但它保护了你团队已经建立起来的一切,那些数据、那些需求、那些设计决策、那些讨论记录,不会因为一次随意的权限赋予或一个被遗忘的幽灵账号而付之一炬。
我认为这是每一个认真做研发管理的团队都应该重视的事。
常见问题解答(FAQ)
核心关键词
文章包含AI辅助创作:jira权限失控后,我们重建了角色,发布者:fiy,转载请注明出处:https://worktile.com/kb/p/3976354
微信扫一扫
支付宝扫一扫
读者评论
我们团队也是从万能角色+权限方案复制一步步烂掉的,看到文章里那段关于复制方案把废弃项目的权限带到新项目,简直感同身受。之前排查一个外部顾问能看到我们代码库的问题,追了三天才发现是两年前某个临时权限方案被层层复制的结果。这篇文章最难得的是点出了权限失控不是配置问题,而是组织投影混乱这个本质。
作为CTO,我特别认同那四个诊断性问题,尤其是‘3分钟内说清有多少角色’和‘幽灵角色’。我们去年做权限治理时,光是清理僵尸账号就花了三周。文章里‘角色与岗位一一对应’和‘权限变更可追溯’这两条原则,我已经放进本季度的OKR了。实操价值很高,比看一堆官方文档管用。
看到‘测试工程师反馈不能修改修复版本字段,排查平均45分钟’那段,我差点以为在写我们组的事。重建后确实清爽很多,但开头适应期大家各种抱怨‘权限变少了’是真难熬。后来发现少的是非必要权限,反而减少了误操作。文章把阵痛和新生都写出来了,很真实。
我最受用的是‘每个角色权限差异必须能用一句话说清’这个原则。以前我们角色表里‘项目管理’和‘项目协助’谁也分不清,结果就是谁都能删任务。文章里那个四步框架虽然看起来不复杂,但真正落地需要很强的组织共识,尤其是让高层理解‘最小权限不是不信任而是规范’。好文,值得转发给团队。