源代碼安全管理制度

1、精品文檔源代碼安全管理制度（初稿）1 總則1.1. 為有效控制管理源代碼的完整性， 確保其不被非授權(quán)獲取、復(fù)制、 傳播和更改， 明確源代碼控制管理流程， 特制定此管理制度 （以 下簡稱制度）。1.2. 本辦法所指源代碼包括開發(fā)人員編寫實(shí)現(xiàn)功能的程序代碼，相應(yīng)的開發(fā)設(shè)計文檔及相關(guān)資料，全部須納入源代碼管理體系。1.3. 本制度適用于所有涉及接觸源代碼的各崗位，所涉及人員都必須嚴(yán)格執(zhí)行本管理辦法。2 源代碼完整性保障2.1. 所有軟件的源代碼文件及相應(yīng)的開發(fā)設(shè)計文檔均必須及時加入到指定的源代碼服務(wù)器中的指定 sv痹中。2.2. 研發(fā)的產(chǎn)品軟件運(yùn)行所必須的第三方軟件、控件和其它支撐庫等文件也必須及時

2、加入源代碼服務(wù)器中指定的svni中。3 源代碼的授權(quán)訪問3.1. 源代碼服務(wù)器對于共享的sv痹的訪問建立操作系統(tǒng)級的， 基于身份和口令的訪問授權(quán)。3.2. 在sv屏中設(shè)置用戶，并為不同用戶分配不同的，適合工作 的最小訪問權(quán)限。3.3. 要求連接svn時必須校驗(yàn)sv即用戶身份及其口令。在svn 庫中要求區(qū)別對待不同用戶的可訪問權(quán)、可創(chuàng)建權(quán)、可編輯權(quán)、可刪除權(quán)、 可銷毀權(quán)。 嚴(yán)格控制用戶的讀寫權(quán)限，應(yīng)以最低權(quán)限為原則分配權(quán)限； 開發(fā)人員不再需要對相關(guān)信息系統(tǒng)源代碼做更新時， 須及時刪除賬號。3.4. 工作任務(wù)變化后要實(shí)時回收用戶的相關(guān)權(quán)限，對svni的管 理要求建立專人管理制度專人專管。3.5.

3、涉及、接觸源代碼的計算機(jī)必須建立專人專用制度，任何其他人不得在未獲得研發(fā)部經(jīng)理授權(quán)的情況下操作和使用此計算機(jī)。此計算機(jī)的專用人也不得私自同意或者漠視他人獲得授權(quán)使用本計算機(jī)。 對涉及、 觸及源代碼計算機(jī)的使用授權(quán)僅由項(xiàng)目經(jīng)理或部門經(jīng)理發(fā)出，其他人都無權(quán)執(zhí)行此授權(quán)。3.6. 曾經(jīng)涉及、觸及源代碼的計算機(jī)在轉(zhuǎn)作它用，或者離開研發(fā)部門之前必須全面清除計算機(jī)硬盤中存儲的源代碼。 如果不能確定，必須對計算機(jī)中所有硬盤進(jìn)行全面格式化后方可以轉(zhuǎn)做它用或離開研發(fā)部門。3.7. 對公司每個軟件產(chǎn)品的核心功能進(jìn)行編譯，核心功能源碼交項(xiàng)目經(jīng)理保管，其他研發(fā)人員開發(fā)項(xiàng)目時直接引用編譯好的文件。如果需要修改核心功能，由研發(fā)人員提出，交由項(xiàng)目經(jīng)理統(tǒng)一修改。3.8. 公司所有軟件及產(chǎn)品， 全部通過公司的加密工具進(jìn)行加密，每個軟件及產(chǎn)品都要限定開發(fā)人員及開發(fā)電腦。 每個軟件及產(chǎn)品開發(fā)權(quán)限由項(xiàng)目經(jīng)理進(jìn)行管理。4 源代碼復(fù)制和傳播4.1. 任何源代碼文件包括設(shè)計文檔等技術(shù)資料不得利用如qq、msn郵件等涉外網(wǎng)絡(luò)環(huán)境形式進(jìn)行傳輸。4.2. 源代碼向研發(fā)部門以外復(fù)制必須獲得部門經(jīng)理的授權(quán)。并必需記錄復(fù)制人、批準(zhǔn)人、復(fù)制時間、復(fù)制目的、文件流向、文件版本或內(nèi)容。5 軟件的部署5.1. 所有軟件產(chǎn)品的部署要求必須為發(fā)布后的程序，嚴(yán)格禁止直接部署