1 引言
数字经济的加速动态使软件开发成为组织竞争力、韧性和更新的核心。无论是平台企业、使用迭代开发和快速发布例行程序的软件初创公司，还是跨国技术提供商，构思、设计和推出新软件产品的能力已成为战略要务和持续的风险实验。与传统产品开发不同，新软件产品开发（NSPD）在压缩的发布周期、迭代实验和多利益相关者共创的不稳定环境中运行。在这种背景下，组织能力，特别是与敏捷性、知识整合和风险管理相关的能力，成为绩效的关键杠杆。尽管NSPD在当代数字经济中地位突出，但关于敏捷性、创新和风险的学术研究往往是平行推进而非综合的。创新管理的研究流强调吸收能力（absorptive capacity）、创造力和动态能力（dynamic capabilities）支撑突破性成果，而软件工程研究则关注技术债务、发布规划和DevOps自动化作为及时安全交付的决定因素。组织风险文献则记录了治理机制、不确定性评估和韧性框架如何塑造投资和扩展轨迹。整合这些文献的整体视角仍然碎片化，对理论和实践都有重要影响。挑战因数字创新越来越多地在生态系统中而非企业边界内展开而加剧。基于平台的NSPD需要在开源社区、云基础设施提供商和监管制度之间进行协调，每个都施加了不同的约束和机会。对使用冲刺协调的跨职能软件开发团队的研究表明，虽然迭代冲刺加速了学习，但不一致的激励系统或僵化的合规审计可能抑制突破性创新所需的实验。相反，过于宽松的环境可能产生技术过时、网络安全漏洞和市场不匹配的风险。因此，平衡敏捷性、创新和风险不仅是一个过程设计的技术问题，更是一个系统的组织能力。最近的进展加剧了这一悖论。人工智能被越来越多地嵌入开发管道，自动化代码审查、测试甚至架构设计。云原生基础设施和持续集成/持续部署（CI/CD）实现了快速扩展，但也放大了依赖风险、延迟漏洞和跨境数据治理挑战。区块链和分布式账本被提议作为确保协作编码环境中来源和透明性的机制，而零信任架构则承诺为全球分布式团队提供增强的安全性。同时，行为研究强调了使用冲刺协调的跨职能软件开发团队的社会情感维度：心理安全、信任和管理行为通常决定知识流是被催化还是被抑制。技术加速与组织行为的交汇因此定义了当代NSPD研究前沿。先前的文献综述提供了部分见解，但往往缩小了分析焦点。有些仅集中于小型软件公司的敏捷项目管理，另一些则关注大型企业的创新能力框架，而面向风险的综述则常孤立地研究网络安全或项目失败决定因素。这种碎片化方法低估了NSPD的整体性，其中创新要求、敏捷例行程序和风险治理必须同时协调。此外，新兴发展，如AI辅助软件生成、全球远程协作和服务交付的平台化，在早期的综合中很少被涉及，使学者和实践者缺乏整合的证据基础。本文通过系统综述2011至2025年间关于NSPD和组织能力的同行评审文献来填补这一空白。遵循预注册的PRISMA协议，检索、筛选并分析了81项研究，采用双重编码、可靠性检查以及结合描述性统计、文献计量映射和叙事整合的混合方法综合。三个指导性研究问题构成了探究框架：Q1）组织能力（如敏捷性、吸收能力和动态例行程序）如何塑造新软件产品开发的流程和结果？Q2）创新实践、团队结构和数字技术以何种方式重新配置组织应对风险识别、缓解和治理的方式？Q3）哪些权变因素（行业环境、数字成熟度、监管严格性和生态系统参与）调节NSPD中敏捷性、创新和风险之间的平衡？在综合分散证据的基础上，本文旨在建立一个整合的基础，以理解组织能力如何在数字时代同时驱动敏捷性、促进创新和缓解风险。在本研究中，敏捷性被理解为一种组织能力，用于感知变化、重新配置资源和例行程序，并通过迭代学习和跨职能协调在NSPD环境中自适应地响应。NSPD被视为新产品开发（NPD）的一个子集，区别在于软件领域的压缩发布周期、迭代实验、持续更新以及对数字基础设施和生态系统协调的依赖。本综述的贡献有四个方面。首先，它识别了企业平衡灵活性和韧性的反复出现的整合逻辑，从精益-敏捷耦合到韧性设计策略。其次，它阐明了技术基础设施层，将基于案例的AI增强开发管道洞见与关于云原生治理和DevSecOps实践的大样本研究并列。第三，它突出了未充分探索的领域，如公共部门数字平台、零工软件生态系统和开源社区，这些领域将辩论扩展到传统企业边界之外。最后，它推进了一个前瞻性议程，呼吁采用纵向设计、多层次理论化和方法论多元主义，以捕捉敏捷性、创新和风险在新软件产品开发中共同演化的递归动力学。

2 新软件产品开发中敏捷性、创新与风险的理论论述
基于上述概念框架，最近的学术研究将NSPD辩论扩展到社会技术、行为、生态系统和安全领域，每个领域都增加了敏捷性、创新和风险如何相互锁定的细微差别。

2.1 社会技术论述
数字化驱动的开发管道正在重新定义“创新过程”和“风险控制”之间的传统区别。关于DevOps和持续交付的研究表明，自动化和云集成将决策规则直接嵌入版本控制和部署例行程序中，使存储库既是创新的人工制品也是风险传感器。同样，敏捷项目管理研究表明，量化的仪表盘和冲刺遥测允许管理者将学习进度可视化为可测量的控制变量，从而收紧实验与交付结果之间的反馈循环。这些社会技术进步为动态能力论证提供了实证支持：能够同步敏捷人工制品与自适应治理的组织比竞争对手更快、更精确地重新配置资源。在本综述中，创新被理解为在NSPD背景下生成和实施新颖或显著改进的软件产品特性、开发过程或组织安排，这些有助于价值创造。

2.2 敏捷性与控制的悖论
控制杠杆框架在软件密集型工作中被重新审视。来自案例和调查研究证据表明，扩展使用互动指标刺激知识积累，进而调解创新输出。在动荡的初创企业背景下，诊断性人工制品如燃尽图或预算报告仍然必不可少，但它们对产品新颖性的积极影响只有在跨职能知识分享的补充下才能实现。敏捷扩展计划证实了这些发现，显示组织“创新控制同时控制创新”，交替使用冲刺纪律和反思性学习周期。经历数字变革的公共机构和大学同样部署混合记分卡，平衡仪表盘与同行评审研讨会，以协调创新同时将风险保持在容忍范围内。总体来看，这些结果强化了一个悖论性前提：相同的结构在互动应用时既约束行为又催化探索。

2.3 生态系统治理
当价值创造跨越组织边界时，NSPD必须应对平台守门和边界资源协调。平台所有者通过API和开发者协议调节模块化代码流，推动协作同时防止机会主义。在零工软件市场中，算法管理系统将声誉分数和任务完成指标转化为实时控制信号，重塑分布式知识工作者的自主性和依赖计算。跨国企业研究进一步表明，总部-子公司协调组合演变为能力转移和联合学习角色，而非纯粹的合规审计。这些线索汇聚于一个生态系统逻辑：分布式创新的有效治理需要能够跨越企业和国家边界的模块化、数据驱动控制。

2.4 风险与安全论述
一个并行线索将风险和安全定位为核心设计变量。区块链锚定和零信任架构结合密码学原语与智能合约，在保护资产的同时保留可追溯性。AI增强测试框架扩展了这种保护，实现预测性风险评估而不过度负担开发者。然而，内部者风险准备研究指出，当治理忽视行为驱动因素时，技术保障措施会失效。从管理角度，家族数字企业将隐性领导力和设计知识编码为诊断例行程序，以保留未来世代的社会情感财富。总体来看，这些研究主张安全设计的NSPD治理，将敏捷性和风险缓解嵌入开发管道的每一层。

2.5 权变视角
最后，权变理论家强调NSPD的有效性取决于动荡性、组织规模和成熟度。开放创新项目在治理灵活调整以适应合作伙伴异质性和不确定性时，能更成功地平衡实验与保护。数字成熟度模型建议逐步路径：持续集成仪表盘首先提高可见性，之后高级分析和AI驱动推荐逐渐迁移到决策驾驶舱。在AI赋能的供应链和微服务架构中，自适应优化框架表明知识库必须与敏捷例行程序共同演化，以在随机冲击下维持绩效。跨越这些理论线索（社会技术、控制悖论、生态系统、安全和权变），文献越来越多地将敏捷性重新想象为不仅是一种速度，更是一种以知识为中心的能力。当代研究将创新、敏捷性和风险视为数字中介价值创造的纠缠组成部分，而非顺序层级（先创新，后控制）。本综述不直接观察能力随时间演化；而是将这一问题识别为未来纵向研究的优先事项，以研究敏捷性、创新和风险相关能力在构思、治理和保障新软件产品过程中如何共同演化。本文中，“敏捷”一词仅以情境特定形式使用，如敏捷例行程序、敏捷团队、敏捷软件开发实践或组织敏捷性，以避免概念过度泛化。

3 研究方法
本综述按照PRISMA 2020协议进行，并预先注册以锁定分析决策并减少事后偏见。检索于2025年7月31日在两个多学科数据库（Scopus和Web of Science）中进行，使用精心构建的字符串，结合了敏捷性、创新、新产品开发和组织风险的术语。仅考虑2011至2025年间发表的英文同行评审期刊文章。选择Scopus和Web of Science是因为它们对管理、创新、信息系统和技术研究领域的同行评审期刊提供了广泛且高质量的覆盖。使用两个数据库通过结合引文广度和学科多样性提高了检索稳健性。示例检索字符串包括：（“software product development” OR NSPD） AND （“organisational capabilities” OR “knowledge integration” OR “dynamic capabilities”） AND （agility OR “agile routines” OR “agile project management”） AND （innovation OR “new product performance”） AND （“risk management” OR security OR governance）。初始检索返回289条记录。在EndNote中自动去重后，保留217条唯一项目；进一步使用R语言自定义去重脚本进行协调，得到201条记录。然后对这些记录进行相关性筛选，要求明确涉及NSPD、组织能力（如敏捷性、动态能力、知识整合）与风险或创新成果的交集。排除孤立处理任一领域或纯技术而无组织视角的论文。筛选由两位独立评审员进行。首先评估标题和摘要，达到Cohen's kappa=0.81，表明高度一致。不一致情况（不到十分之一）通过讨论解决，必要时由第三方仲裁。全文审查后，81篇文章满足所有标准，形成分析语料库（表1）；这81项研究列于附录A。所有保留记录明确涉及NSPD、敏捷性、创新和风险的关联。少数论文引起轻微方法论担忧（如样本透明度有限或缺乏稳健性检验），被标记、定性评估并保留以提供上下文丰富性，但在推断性综合中降权。结构化编码本指导数据提取。对于每篇文章，研究人员记录了文献计量数据、方法论立场（概念性、定性、定量、设计科学）、理论框架（如动态能力、权变理论、行为视角）、讨论的数字技术或组织实践类型（如DevOps、云、AI赋能管道）、所审查的组织能力（如敏捷性、吸收能力、韧性）以及报告的结果（创新绩效、风险缓解、交付速度）。该方案在20篇论文上试点，并迭代细化直至消除歧义。随后对整个语料库进行双重编码，得到kappa=0.79，确认了实质可靠性。实证研究还使用混合方法评估工具（MMAT）进行评价。低于阈值的论文保留用于描述性丰富性，但排除因果推断。概念贡献根据理论贡献的清晰度和与研究问题的相关性进行加权。综合分三个阶段进行。首先，描述性统计绘制出版趋势、学科起源和方法论多样性。其次，使用Bibliometrix R包通过关键词共现分析进行文献计量映射，可视化主题聚类，突出NSPD中敏捷性、创新和风险的主导论述。第三，叙事整合将发现与研究问题对齐，产生三个证据流：（i）社会技术敏捷性和创新循环；（ii）风险治理和安全机制；（iii）塑造跨情境结果的权变因素。这三个流是通过关键词共现模式、主题聚类以及在同一实证或概念研究中反复共同编码涉及敏捷性相关例行程序、创新实践和风险/治理机制的文章而归纳识别的。稳健性检验包括使用替代关键词阈值重新运行分析，并验证聚类稳定性（Jaccard指数>90%）。总体而言，这些程序为后续结果提供了可靠基础。

4 结果
4.1 语料库的描述性和文献计量概述
关于NSPD中敏捷性、创新和风险的学术产出轨迹以加速和收缩的交替阶段为特征（图1）。数据集覆盖2011年至2025年中期，使研究人员能够追踪新软件产品开发中敏捷性、创新和风险研究的逐步巩固以及外部触发因素对出版动态的影响。早期阶段（2011-2014年）呈现适度但波动的增长。从2011年的1篇文章增长到2013年的8篇，然后2014年又暴跌至1篇。这种波动反映了早期贡献的探索性质。在所审查的以NSPD为重点的语料库中，这一时期仍然反映了相对探索性和碎片化的阶段，尽管敏捷软件开发自2001年敏捷宣言及其后续以来已在实践和学术文献中确立。2015-2018年的第二波活动显示出稳定模式，每年4-6篇文章。在此期间，NSPD研究在更广泛的创新和软件工程研究中确立了自己作为公认利基的地位。一致性表明出现了专门的学术社区、会议和特刊，为累积知识构建提供了渠道。转折点出现在2020年，该领域激增至13篇文章。这一高峰与全球COVID-19大流行同时发生，后者加剧了对数字基础设施的依赖并加速了敏捷和韧性软件开发方法的采用。大流行作为一次自然实验，将组织敏捷性、风险治理和数字创新推到了实践和研究的前沿。后高峰年份（2021-2024年）显示逐渐收缩但持续的兴趣。产出降至2021年的8篇，2022年进一步降至6篇，然后2023年恢复至9篇，2024年为7篇。这种振荡表明了一个巩固过程：最初的快速扩张让位于选择性的、理论驱动的贡献，细化了早期发现。最后，2025年（至年中）记录了4篇文章，表明暂时放缓或持续出版物的不完全捕获。鉴于之前观察到的周期性动态，这种下降可能标志着下降，而是一个过渡阶段，等待新的技术或组织颠覆。出版趋势表明该研究领域正在成熟，特点是早期探索阶段、稳定巩固、大流行引发的激增和选择性细化阶段。这些波动既突出了NSPD研究对全球冲击的响应性，也突出了其作为公认学术领域的渐进制度化。如图2所示，共现网络提供了语料库中关键词如何相互连接形成连贯知识集群的结构性概述。独立关键词“敏捷性”并未作为主导节点出现，因为共现分析标准化并聚类了相关术语，且在该语料库中该概念更常通过特定标签如“敏捷软件开发”、“Scrum”和相关方法论描述符来表达。最大且最中心的节点是“软件设计”，作为网络的概念枢纽。凭借最高的中介性和PageRank分数，它在敏捷方法论、项目管理和更广泛的创新相关讨论之间调解连接。这一核心角色反映了设计作为新软件产品开发中的技术和组织挑战的持久重要性。与之紧密相关的是“敏捷软件开发”，显示出显著的连通性，并锚定了一个密集的术语集群，如scrum、软件工程、应用程序和软件质量。这表明敏捷范式主导了实践和学术辩论，将技术设计过程与组织协调方法连接起来。第二个重要集群围绕“风险管理”和“项目管理”形成，与敏捷制造系统、信息系统和人力资源管理共同出现。它们的高中介性表明，面向风险的论述在迭代计划、站会、冲刺评审、待办事项细化以及CI/CD赋能与管理和组织研究之间充当桥梁。这反映了日益增长的认识：敏捷性不能仅被理解为灵活性，还必须通过风险治理和资源协调来制度化。外围但有意义的集群包括与教育和教学法相关的节点，如学生、课程、教学、软件原型设计和学习系统。这些节点不太中心但显示出内部连贯性，表明一个教育子流，其中敏捷和软件设计被嵌入教学和课程开发中。最后，利基术语如案例研究、客户满意度、决策制定和商业揭示了应用导向，通常与特定领域的实证调查相关。虽然这些节点中介性较低，但它们通过将核心理论讨论与具体的领域关注点情境化而丰富了网络。总体而言，共现图展示了一个分层知识结构：软件设计和敏捷软件开发构成概念核心，风险和项目管理作为整合桥梁，而教育和应用研究将领域扩展到专门领域。这种分布既确认了软件产品开发中敏捷性、创新和风险研究的成熟度，也确认了其多维性。在这个意义上，该图区分了核心概念、桥梁概念和扩展领域。在图3中，主题图定位了从所审查文献中出现的主要概念。这种双重表示允许研究人员将集群分类为基础、驱动、利基或新兴/衰退主题，从而提供围绕NSPD中敏捷性、创新和风险的知识景观的整合概述。图3是使用Bibliometrix从保留语料库的共词分析生成的，主题由Callon中心性和密度定位。图中独立术语“敏捷”指的是使用敏捷性作为广泛组织概念的论文，而非通过更具体的标签如敏捷软件开发、Scrum、DevOps或团队级例行程序来操作化。右下象限由“敏捷软件开发”集群主导，包括scrum、项目管理、风险管理和软件工程。该集群的高中心性表明其在整个领域的结构重要性，因为几乎所有其他主题线索都与迭代计划、站会、冲刺评审、待办事项细化和CI/CD赋能相交。相对较低的密度表明，虽然概念上已巩固，但该集群根据行业和组织情境以不同方式操作化。因此，它充当了锚定敏捷性和创新辩论的“共同分母”，但仍容纳了显著的应用差异。右上象限突出了“数字转型”和“智能自动化”，并提及持续改进实践。这些集群显示出高密度和强中心性，将它们定位为当前学术的引擎。数字转型与自动化之间的紧密关联表明敏捷性越来越被视为与技术升级不可分割。这种取向与当代实践一致，其中AI驱动的自动化和云原生架构支撑快速开发周期并重塑组织能力。左上象限聚集了“敏捷制造、数字创新和自组织团队”。这些集群内部发展良好（高密度），但对整个领域不太中心。它们代表了所审查文献将以软件为中心的敏捷论述与制造和生产领域连接起来的专门应用，尽管敏捷制造在历史上先于敏捷宣言并代表了敏捷思维的早期来源。这些主题对于方法论细化和概念实验有价值，但与主流论述相比仍处于边缘。左下象限出现了标记为“敏捷”的孤立集群。其低密度和中心性标志着它是一个新兴或可能衰退的主题。这反映了一个概念转变：所审查文献中更通用的“敏捷”术语正在被更精确的操作化所取代，如敏捷软件开发、DevOps赋能交付、自组织团队和数字支持的持续改进实践。“敏捷”作为独立概念的相对边缘化标志着该领域朝着更精确、情境特定分析的方向成熟。主题图表明NSPD研究以敏捷软件开发作为基础锚定，以数字转型作为驱动引擎，以制造等利基应用丰富，并逐渐远离对敏捷性的抽象调用。这种结构既确认了该领域的成熟度，也确认了其多样化：敏捷性不再是一个口号，而是一个嵌入创新生态系统、风险治理和技术基础设施的分层能力。该研究呈现了附录A中汇总的同行评审论文中出现的实证景观。表2总结了语料库的描述性概况，而表3呈现了代表性研究子集，说明了样本中反映的方法、构念和分析重点的范围。大约三分之一的论文将组织敏捷性描绘为创新和风险控制的支架，提供激励、诊断例行程序和对协作开发知识的安全访问。例证包括面向奖励的指标用于使用冲刺协调的跨职能软件开发团队、区块链锚定的基于角色的访问协议以保护代码存储库，以及催化高研发投入企业中吸收能力的诊断KPI。第二个流反转了视角，显示知识人工制品和创新实践如何重新配置控制。AI驱动分析和贝叶斯知识图谱经常为实时仪表盘、异常管理和预测性维护提供信息骨干。几个聚焦中小企业的案例研究证实，累积的知识资本在互动敏捷例行程序与战略连续性结果之间起中介作用。增长最快的集群（自2022年以来超过40%的出版物）将敏捷性、创新和风险视为数字基础设施的不可分割层。这些研究探索了去中心化的Git基础上策管、自动化的版本控制指标、物联网嵌入的微服务和区块链锚定的来源系统。数字孪生和边缘分析越来越多地被用于确保自适应学习和法规遵从。尽管不到一半的研究明确聚焦于中小企业，但数字人工制品、AI、区块链和DevOps基础设施的普遍性使发现具有广泛的可转移性，适用于技术导向的中小型企业。敏捷性、创新和风险治理的融合因此成为数字时代NSPD的决定性能力。如表3所示，所审查的研究涵盖了概念性、设计科学、调查和定性方法，支持了图4和图5中发展的多维度解释。图4可视化了从系统综述中出现的三个主导集群（附录A）。在图4中，箭头表示三个集群之间的相互影响和分析依赖，而非线性阶段序列。因此，该图代表了NSPD中适应性、新颖性生成和保护机制之间的共构成关系。第一个集群突出了敏捷控制循环和自适应例行程序，聚焦于指标、仪表盘和开发周期优化（Σ=21）。第二个集群捕捉了风险治理和安全保障，强调区块链协议、DevSecOps安全实践、漏洞检测和AI驱动的风险预测（Σ=25）。第三个集群反映了基础设施与创新实践的共演化，其中数字孪生、云原生存储库和平台治理机制与敏捷例行程序交织（Σ=35）。总体而言，这些集群说明了NSPD中组织能力如何在敏捷性、创新和风险的交汇处出现。这些集群并非作为预定义类别出现；而是来自文献计量中心性、主题重叠和跨研究叙事比较的综合证据，这些证据反复显示敏捷性、创新和风险作为NSPD的相互依赖维度共同出现。系统综述的结果表明，关于NSPD的文献围绕三个互补集群收敛。第一个集群，敏捷控制循环和自适应例行程序，强调了使敏捷性制度化的方法和工具。仪表盘、燃尽图和CI/CD管道实现了迭代学习和自适应资源分配，展示了敏捷性如何通过持续监控被操作化。第二个集群，风险治理和安全保障，强调没有稳健的保护机制，敏捷性本身无法确保可持续结果。这里，基于区块链的访问协议、DevSecOps安全实践和AI驱动的风险检测被概念化为必要的“安全网”，以缓解漏洞、满足合规要求并保护分布式团队中的智力资产。第三个也是最大的集群，基础设施与创新实践的共演化，强调NSPD中的创新越来越依赖协作平台、云原生存储库、数字孪生和平台治理的整合。这些研究将敏捷性和风险管理描绘为不是独立功能，而是数字生态系统的相互依赖层，与组织实践共同演化。总体而言，这些集群说明敏捷性、创新和风险在NSPD中深度纠缠。敏捷例行程序提供适应性，风险治理保护流程和资产，而数字基础设施提供这些动态展开的使能环境。三个集群之间的相互作用表明，企业不能将敏捷性、创新和风险视为顺序阶段，而必须将它们培养为相互强化的组织能力。图4提供了综述中识别出的三个主导主题集群的概念综合，而图5将这些集群转化为用于讨论与研究问题相关发现的解释结构。因此，图4呈现了综合的架构，而图5显示了该架构如何指导解释。

4.2 结果分析
图5显示了所审查文献关键发现的集群及其与Traxler等人方法和研究问题的解释对齐；箭头指示集群与问题之间的解释联系，而非线性因果流。箭头指示主题集群与研究问题之间的分析连接。

4.2.1 敏捷控制循环和自适应例行程序
NSPD研究的早期贡献强调，敏捷循环（跟踪冲刺速度、缺陷或用户故事的诊断例行程序，以及互动站会或回顾）形成了自适应产品开发的骨干。针对RQ1，几项研究表明仪表盘和持续集成指标如何作为诊断锚点，迫使团队将知识编码到待办事项和Wiki中，减少需求模糊性。互动循环在敏捷面板触发实时警报时尤为明显，鼓励管理者辩论异常并揭示隐性见解。针对RQ2，累积的冲刺数据和回顾存储库重塑了生成它们的循环本身。实证证据表明，一旦预测分析揭示系统性瓶颈，项目周期被缩短，资源分配被重新校准，从而有效地使控制循环更加互动。然而，警示性结果表明，当诊断KPI主导而缺乏对话时，使用冲刺协调的跨职能软件开发团队可能将评估视为监督，扼杀创造力。案例研究确认，引入非正式聚会或“棕色袋”会议恢复了互动平衡，表明松弛空间与紧循环同样重要。

4.2.2 风险治理和安全保障
第二个维度强调了将风险管理整合到敏捷开发中。对于RQ1，证据表明将区块链协议、DevSecOps例行程序和审计追踪直接嵌入敏捷管道，使每次代码提交或用户故事成为可追溯的知识交易。这些机制确保贡献者敏感的设计知识不会被滥用，从而降低文档记录的障碍——这一效果在协作团队中尤为放大。转向RQ2，来源和安全数据反馈到敏捷治理中。几项研究表明，一旦漏洞或依赖风险事件被标记，企业将新的KPI（如“带有安全标签的人工制品百分比”）引入冲刺评审和执行仪表盘，将安全提升为战略关注点。然而，过度设计安全措施存在创建“零信任”气候的风险，其中实验被放缓。学者建议轻量级基于角色权限和安全卫士比全面封锁更能实现更健康的平衡。

4.2.3 共演化的数字基础设施与创新实践
第三个集群强调了基础设施与创新实践的共演化。针对RQ1，研究表明云原生堆栈、微服务和设计思维工作坊如何指导使用冲刺协调的跨职能软件开发团队整合控制和创新例行程序。模块化架构允许将分析和协作工具连接到存储库，从而随着知识量的增长有效扩展诊断和安全保障。针对RQ2，累积的基础设施知识重塑了治理模板。企业越来越多地将“技术债务速度”或“API调用成功率”作为战略指标与财务指标一起跟踪。案例研究强调，这种转变通常需要跨职能指导小组在每个冲刺更新敏捷模板。尽管如此，组织文化仍然是决定性的：创业型领导者将指标用作实验指南，而风险规避环境将相同的仪表盘变成僵化的检查点，阻碍创新。

5 讨论
本综述的发现表明，NSPD的有效性最好通过三个相互强化的组织能力的联合发展来理解：敏捷例行程序确保适应性，创新实践生成新颖性，风险治理保护资产和信任。这种整合观点有助于回答三个研究问题，并扩展了先前经常将敏捷性、创新和风险视为并行而非相互关联能力配置的学术研究。关于Q1，本综述确认组织能力（如敏捷性、吸收能力和动态例行程序）通过将学习嵌入开发周期并提高组织在不稳定条件下重新配置资源的能力来塑造NSPD。这一结论与将敏捷软件开发视为持续反馈、加速协调和自适应决策机制的框架一致。它也符合动态能力观点，即数字环境中的竞争优势更多取决于反复感知、解释和响应变化的能力，而非静态例行程序。同时，本综述通过显示仅凭敏捷性本身并不能保证优越结果而细化了文献。如Kautz和Annosi等人所建议，如果敏捷实践得不到知识整合和跨职能反思的支持，也可能产生紧张、模糊和学习摩擦。在此意义上，本综述支持早期论点，即敏捷工作之所以高效，不仅仅因为它更快，还因为它创建了知识被表面化、解释和行动的迭代结构。关于Q2，证据表明创新实践和数字技术不仅仅是伴随风险治理，而是积极重塑它。这一结果加强了社会技术研究，显示DevOps、持续集成和云原生环境崩溃了开发与控制之间的传统分离。它也支持最近在敏捷情境中安全整合的工作，其中安全编码实践、威胁建模和漏洞管理直接嵌入基于冲刺的例行程序中，而非作为事后控制添加。本综述进一步表明，AI增强测试和预测分析通过识别异常、优先处理漏洞和为冲刺级决策提供信息而越来越多地充当治理设备。这一发现与Carroll一致，他强调了以网络为中心的敏捷实践的行为和学习维度，也与Miyake等人一致，他们展示了当风险管理被视为自适应和战略过程而非僵化合规层时，它变得更加有效。总体来看，这些研究确认NSPD中的风险治理正在从独立的监督功能重新配置为分布式、数据丰富的组织能力。关于Q3，本综述强调了情境权变的重要性。行业环境、数字成熟度、监管严格性和生态系统参与都塑造了组织如何结合适应性、新颖性和保护。这一结果与权变导向的研究一致，显示敏捷例行程序在不同组织环境中传播方式不同。例如，Indriasari等人和Dobrigkeit等人表明设计思维和共创在数字导向情境中加强了创新，而Jagstedt等人强调网络物理和基于平台系统中的依赖结构可能约束持续创新。类似地，Beretta和Smith认为业务敏捷性需要自主与控制之间的谨慎平衡，而Jaatun和Soares Cruzes显示在快速变化环境中，轻量级安全卫士模型通常优于重集中控制。因此，本综述通过展示同一机制（例如，仪表盘、安全协议或敏捷例行程序）可能在一个情境中支持实验而在另一个情境中抑制它，扩展了先前工作。总体来看，这些结果通过整合社会技术、行为和治理视角（这些视角往往被分开处理）为理论做出贡献。本综述表明，当组织发展出三合一能力结构时，NSPD最为有效：敏捷例行程序确保适应性，创新实践生成新颖性，风险治理保护资产和信任。这一命题协调了早期关于迭代协调、自组织和数字基础设施扩展的见解，同时也澄清了为什么碎片化方法在软件密集型环境中是不够的。

6 结论
证据表明，组织能力如敏捷性、吸收能力和动态例行程序对于塑造NSPD过程和结果具有决定性作用。敏捷控制循环，包括诊断仪表盘和互动站会，创建了将学习嵌入产品生命周期的持续反馈渠道。这些能力使企业能够快速重新配置资源、缩短迭代周期并在动荡环境中保持适应性。同时，创新实践（设计思维、持续实验和协作原型设计）帮助解释了敏捷性如何转化为产品成功，确认了没有知识整合和创造性例行程序，仅凭敏捷性是不够的。研究发现揭示了创新实践、团队结构和数字技术如何积极重塑组织应对风险识别、缓解和治理的方式。区块链来源系统、DevSecOps管道和AI增强测试将安全直接嵌入开发例行程序，将风险管理从独立的监督功能转变为使用冲刺协调的跨职能软件开发团队的整合能力。来源和安全数据越来越多地出现在执行仪表盘中，将风险指标提升到与成本或绩效指标相同的战略水平。然而，本综述也告诫，过度依赖诊断性风险控制而没有互动对话可能侵蚀心理安全并抑制实验。平衡的方法（轻量级权限、基于角色的保障和文化强化）更有可能促进安全和创新的成果。综合强调了塑造跨情境NSPD结果的权变因素。行业环境、数字成熟度、监管严格性和生态系统参与各自塑造了敏捷性、创新和风险如何交叉。受监管行业中的成熟组织通常采用韧性设计架构，而初创企业依赖即兴例行程序和最小控制以保持速度。生态系统情境（开源社区、零工平台和跨国企业）需要平衡开放与保护的模块化和数据驱动治理机制。在这些权变因素中，文化取向作为决定性调节因素出现：在创业环境中，指标引导实验，而在风险规避环境中，相同的指标可能固化为僵化的检查点。本研究的结果表明，敏捷性、创新和风险不仅是顺序阶段，而且是相互强化的组织能力。在本综述中，NSPD有效性指的是新软件产品开发通过敏捷例行程序、创新实践和治理机制的联合发展，实现及时交付、自适应响应性、创新绩效、软件可靠性和受控风险暴露的能力。对于理论，本综述将先前碎片化的文献整合到一个统一的框架中，解释了社会技术、行为、生态系统和安全视角如何在软件密集型环境中汇聚。对于实践，它强调企业必须并行培养敏捷性、创新和风险管理，将它们嵌入数字基础设施和文化规范中，而非视为独立功能。未来研究应追求纵向和多层次设计，以追踪这些能力如何随时间共同演化，尤其是在AI辅助开发、云原生生态系统和跨境监管压力重新定义软件产品创新边界的背景下。

7 附录A
关于新软件产品开发中敏捷性、创新和风险的81项选定研究概述
表4（省略）