源代碼安全管理制度

1、源代碼安全管理制度1 總則1.1.為有效控制管理源代碼的完整性，確保其不被非授權(quán)獲取、復(fù)制、傳播和更改， 明確源代碼控制管理流程，特制定此管理制度（以下簡稱制度）。1.2.本辦法所指源代碼包括開發(fā)人員自行編寫實(shí)現(xiàn)功能的程序代碼，相應(yīng)的開發(fā)設(shè)計(jì)文檔及相關(guān)資料，屬于明確注明的商業(yè)秘密，須納入源代碼管理體系。1.3.本制度適用于所有涉及接觸源代碼的各崗位，所涉及人員都必須嚴(yán)格執(zhí)行本管理辦法。1.4.所有人員入職均需簽訂保密協(xié)議，明確保密義務(wù)，了解包含此制度在內(nèi)的各項(xiàng)保密規(guī)定并嚴(yán)格執(zhí)行。1.5.重點(diǎn)保護(hù)的關(guān)鍵模塊包括：敏感信息的模塊，如加解密算法等?；具壿嬆K，如如數(shù)據(jù)庫操作基本類庫。對(duì)關(guān)鍵模塊，采

2、取程序集強(qiáng)命名、混淆、加密、權(quán)限控制等各種有效方法進(jìn)行保護(hù)。2 源代碼完整性保障2.1.所有軟件的源代碼文件及相應(yīng)的開發(fā)設(shè)計(jì)文檔均必須及時(shí)加入到指定的源代碼服務(wù)器中的指定SVN 庫中。2.2.我們研發(fā)的產(chǎn)品軟件運(yùn)行所必須的第三方軟件、控件和其它支撐庫等文件也必須及時(shí)加入源代碼服務(wù)器中指定的 SVN 庫中。2.3.軟件開始編寫或者調(diào)整代碼之前，其相應(yīng)的設(shè)計(jì)文檔必須簽入SVN 庫。軟件編碼或功能調(diào)整結(jié)束提交技術(shù)支撐部測(cè)試驗(yàn)證之前，相應(yīng)的源代碼必須簽入SVN 庫。2.4.第八條 ? 技術(shù)支撐部門對(duì)代碼的測(cè)試時(shí)必須從源代碼服務(wù)器上的SVN 庫中獲取代碼， 包括必須的第三方軟件、控件和其它支撐庫等文件，

3、然后進(jìn)行集成編譯測(cè)試。3 ?源代碼的授權(quán)訪問3.1.源代碼服務(wù)器對(duì)于共享的SVN 庫的訪問建立操作系統(tǒng)級(jí)的，基于身份和口令的訪問授權(quán)。3.2.在 SVN 庫中設(shè)置用戶，并為不同用戶分配不同的，適合工作的最小訪問權(quán)限。3.3.要求連接 SVN 庫時(shí)必須校驗(yàn) SVN 中用戶身份及其口令。 在 SVN 庫中要求區(qū)別對(duì)待不同用戶的可訪問權(quán)、可創(chuàng)建權(quán)、可編輯權(quán)、可刪除權(quán)、可銷毀權(quán)。嚴(yán)格控制用戶的讀寫權(quán)限，應(yīng)以最低權(quán)限為原則分配權(quán)限；開發(fā)人員不再需要對(duì)相關(guān)信息系統(tǒng)源代碼做更新時(shí)，須及時(shí)刪除賬號(hào)3.4.工作任務(wù)變化后要實(shí)時(shí)回收用戶的相關(guān)權(quán)限，對(duì) SVN 庫的管理要求建立專人管理制度專人專管。每個(gè)普通用戶切實(shí)

4、保證自己的用戶身份和口令不泄露。用戶要經(jīng)常更換自己在VSS 庫中賬號(hào)的口令。3.5.涉及、接觸源代碼的計(jì)算機(jī)必須建立專人專用制度，任何其他人不得在未獲得研發(fā)部經(jīng)理授權(quán)的情況下操作和使用此計(jì)算機(jī)。此計(jì)算機(jī)的專用人也不得私自同意或者漠視他人非獲得授權(quán)使用本計(jì)算機(jī)。對(duì)涉及、觸及源代碼計(jì)算機(jī)的使用授權(quán)僅由研發(fā)部經(jīng)理發(fā)出，其他人都無權(quán)執(zhí)行此授權(quán)。3.6.曾經(jīng)涉及、 觸及源代碼的計(jì)算機(jī)在轉(zhuǎn)作它用，或者離開研發(fā)部門之前必須由網(wǎng)絡(luò)管理人員全面清除計(jì)算機(jī)硬盤中存儲(chǔ)的源代碼。如果不能確定，必須對(duì)計(jì)算機(jī)中所有硬盤進(jìn)行全面格式化后方可以轉(zhuǎn)做它用或離開研發(fā)部門。3.7.外來存儲(chǔ)設(shè)備不得直接連接到研發(fā)部門的計(jì)算機(jī)設(shè)備上。

5、如需拷貝文件， 必須通過統(tǒng)一的研發(fā)部指定的公用計(jì)算機(jī)上在網(wǎng)管人員監(jiān)督之下進(jìn)行。此公用計(jì)算機(jī)在任何時(shí)候不得接觸、訪問、存儲(chǔ)源代碼文件。3.8.通過網(wǎng)段隔離方式使研發(fā)部的計(jì)算機(jī)只能自行組成局域網(wǎng)，并保證其它網(wǎng)段不能訪問到研發(fā)部的網(wǎng)絡(luò)和網(wǎng)絡(luò)中的計(jì)算機(jī)設(shè)備。4?源代碼復(fù)制和傳播4.1.任何源代碼文件包括設(shè)計(jì)文檔等技術(shù)資料不得利用如QQ 、 MSN 、郵件等涉外網(wǎng)絡(luò)環(huán)境形式進(jìn)行傳輸。4.2.源代碼向研發(fā)部門以外復(fù)制必須獲得總經(jīng)理的書面授權(quán)。并必需記錄復(fù)制人、批準(zhǔn)人、復(fù)制時(shí)間、復(fù)制目的、文件流向、文件版本或內(nèi)容。4.3.源代碼以任何介質(zhì)形式進(jìn)行存儲(chǔ)的備份，必須由專人負(fù)責(zé)保管。對(duì)于這些介質(zhì)地借閱，用于研發(fā)部

6、內(nèi)部使用的必須獲得研發(fā)部經(jīng)理的授權(quán)，對(duì)于用于研發(fā)部以外使用的必須獲得總經(jīng)理的書面授權(quán)。4.4.對(duì)于以紙質(zhì)形式存在的源代碼清單、設(shè)計(jì)文檔等，需進(jìn)行專人管理。對(duì)于這些紙質(zhì)材料的外借、分發(fā)、復(fù)印等，只要非研發(fā)部門內(nèi)部使用的情況均必需獲得總經(jīng)理的書面授權(quán)，對(duì)于研發(fā)部門內(nèi)部使用的則必需如數(shù)按時(shí)按量回收，并且使用區(qū)域僅限于研發(fā)部門內(nèi)部，對(duì)于需要離開研發(fā)部門場(chǎng)所的情況，同樣需要獲得總經(jīng)理的書面授權(quán)。4.5.對(duì)于因合作需要，需要向外復(fù)制、傳播、分發(fā)源代碼的，不論是全部還是部分代碼和資料，均必需和對(duì)方簽訂技術(shù)、源碼的保密協(xié)定，明確對(duì)方應(yīng)當(dāng)承擔(dān)的對(duì)源碼保密的責(zé)任和義務(wù)。5源代碼平臺(tái)的日常管理 ?5.1.軟件的源代碼文件及相應(yīng)的開發(fā)涉及文檔應(yīng)及時(shí)加入指定的源代碼服務(wù)器的指定庫中。?5.2.源代碼管理平臺(tái)中不得存放任何生產(chǎn)環(huán)境配置，包括但不限于IP 地址、端口號(hào)、數(shù)據(jù)庫密碼等。?5.3.定期巡檢源代碼管理平臺(tái)賬號(hào)，清理無效或不再使用的賬號(hào)，整理賬號(hào)權(quán)限。?5.4.項(xiàng)目上線階段檢查源代碼管理平臺(tái)各項(xiàng)目的使用情況，檢查內(nèi)容包括但不限于硬盤空間檢查、目錄規(guī)范性檢查、歸檔檢查。5.5.定期