源代碼安全管理規(guī)范

源代碼安全管理規(guī)范第頁(yè)源代碼安全管理規(guī)范 TOC\o"1-3"\f\h\u6796一、管理目標(biāo) 4123221、保證源代碼和開(kāi)發(fā)文檔的完整性。 4106122、規(guī)范源代碼的授權(quán)獲取、復(fù)制、傳播。 443363、提高技術(shù)人員及管理人員對(duì)源代碼及開(kāi)發(fā)文檔損傷、丟失、被惡意獲取、復(fù)制、傳播的風(fēng)險(xiǎn)安全防范意識(shí)。 469334、管控項(xiàng)目程序開(kāi)發(fā)過(guò)程中存在的相關(guān)安全風(fēng)險(xiǎn)。 418952二、定性指標(biāo) 4264891、源代碼庫(kù)必須包括工作庫(kù)、受控庫(kù)、項(xiàng)目庫(kù)和產(chǎn)品庫(kù)。 463922、保證開(kāi)發(fā)人員工作目錄及其代碼與工作庫(kù)保存的版本相一致。 433193、開(kāi)發(fā)人員要遵守修改過(guò)程完成后立即入庫(kù)的原則。 4260334、有完善的檢查機(jī)制。 448175、有完善的備份機(jī)制。 495316、有生成版本的規(guī)則。 485887、生成的版本要進(jìn)行完整性和可用性測(cè)試。 4202568、對(duì)開(kāi)發(fā)人員和管理人員要有源代碼安全管理培訓(xùn) 4264289、對(duì)開(kāi)發(fā)人員和管理人員訪問(wèn)代碼要有相應(yīng)的權(quán)限管理 42535510、源代碼保存服務(wù)器要有安全權(quán)限控制。 42845611、控制開(kāi)發(fā)環(huán)境網(wǎng)絡(luò)訪問(wèn)權(quán)限。 410342三、管理策略 439361、建立管理組織結(jié)構(gòu) 4245832、制定管理規(guī)范 4256673、制定評(píng)審標(biāo)準(zhǔn) 582354、執(zhí)行管理監(jiān)督 520749四、組織結(jié)構(gòu) 554491、源代碼的管理相關(guān)方 5301702、組織職責(zé) 5303463、與職能機(jī)構(gòu)的協(xié)同管理 8201654、應(yīng)維護(hù)與特定相關(guān)方、其他專業(yè)安全論壇和專業(yè)協(xié)會(huì)的適當(dāng)聯(lián)系。 813025五、管理制度（見(jiàn)文檔《源代碼安全管理制度.docx》） 83346六、管理流程 8174421、服務(wù)器部署流程 86362、源代碼管理軟件配置流程 9162583、源代碼創(chuàng)建修改流程 9307514、版本控制流程 10141855、源代碼測(cè)試流程（組件測(cè)試） 10219166、組件發(fā)布流程 11247007、軟件發(fā)布流程 11251888、項(xiàng)目人員獲取版本流程 12154289、外部借閱流程 123130810、源代碼目錄工作狀態(tài)安全監(jiān)控流程 122404211、源代碼目錄和項(xiàng)目權(quán)限安全監(jiān)控流程 13610712、與源代碼相關(guān)人員離職審查流程 1316853七、表單 13271221、見(jiàn)B07離職交接表單 14141252、見(jiàn)B09《重要應(yīng)用系統(tǒng)權(quán)限評(píng)審表》 1460723、見(jiàn)（B09）《重要服務(wù)器-應(yīng)用系統(tǒng)清單》 1447564、外部借閱審批表 14115105、軟件獲取申請(qǐng)表 14234496、信息安全規(guī)范檢查記錄表 15

管理目標(biāo)保證源代碼和開(kāi)發(fā)文檔的完整性。規(guī)范源代碼的授權(quán)獲取、復(fù)制、傳播。提高技術(shù)人員及管理人員對(duì)源代碼及開(kāi)發(fā)文檔損傷、丟失、被惡意獲取、復(fù)制、傳播的風(fēng)險(xiǎn)安全防范意識(shí)。管控項(xiàng)目程序開(kāi)發(fā)過(guò)程中存在的相關(guān)安全風(fēng)險(xiǎn)。定性指標(biāo)源代碼庫(kù)必須包括工作庫(kù)、受控庫(kù)、項(xiàng)目庫(kù)和產(chǎn)品庫(kù)。保證開(kāi)發(fā)人員工作目錄及其代碼與工作庫(kù)保存的版本相一致。開(kāi)發(fā)人員要遵守修改過(guò)程完成后立即入庫(kù)的原則。有完善的檢查機(jī)制。有完善的備份機(jī)制。有生成版本的規(guī)則。生成的版本要進(jìn)行完整性和可用性測(cè)試。對(duì)開(kāi)發(fā)人員和管理人員要有源代碼安全管理培訓(xùn)。對(duì)開(kāi)發(fā)人員和管理人員訪問(wèn)代碼要有相應(yīng)的權(quán)限管理。源代碼保存服務(wù)器要有安全權(quán)限控制?？刂崎_(kāi)發(fā)環(huán)境網(wǎng)絡(luò)訪問(wèn)權(quán)限。管理策略建立管理組織結(jié)構(gòu)制定管理規(guī)范制定評(píng)審標(biāo)準(zhǔn)執(zhí)行管理監(jiān)督組織結(jié)構(gòu)源代碼的管理相關(guān)方研發(fā)部項(xiàng)目管理部及管理人員工程技術(shù)人員測(cè)試部源代碼管理人員源代碼安全管理領(lǐng)導(dǎo)人員服務(wù)部組織職責(zé)信息安全管理工作小組：組織完成的任務(wù)是，建立管理組織結(jié)構(gòu)、制定管理規(guī)范，制定評(píng)審標(biāo)準(zhǔn)，執(zhí)行管理監(jiān)督。具體完成的工作：協(xié)調(diào)制定源代碼管理組織協(xié)調(diào)制定源代碼分級(jí)管理規(guī)范制定源代碼安全評(píng)審標(biāo)準(zhǔn)執(zhí)行源代碼安全規(guī)范的組織實(shí)施和監(jiān)督，每季度進(jìn)行一次權(quán)限控制檢查及全面信息安全評(píng)估，對(duì)發(fā)現(xiàn)的問(wèn)題要求整改，在下次檢查前還沒(méi)有完成整改的，進(jìn)行相關(guān)的處理整頓。源代碼向研發(fā)部門(mén)以外復(fù)制的授權(quán)審批。源代碼管理人員：組織完成的任務(wù)是，完成系統(tǒng)建設(shè)、權(quán)限分派、建立目錄結(jié)構(gòu)與目錄安全策略、部署服務(wù)器與建立服務(wù)器安全策略、完成備份策略。具體完成的工作：部署源代碼管理服務(wù)器，完成服務(wù)器安全控制設(shè)置，并安裝源代碼管理軟件。建立帳號(hào)，維護(hù)帳號(hào)，為帳號(hào)指派目錄權(quán)限。開(kāi)發(fā)人員，工程技術(shù)人員，只允許查看修改自有工作目錄（允許簽入簽出）。工程技術(shù)主管只允許查看，不允許有修改（不允許簽入簽出）權(quán)限。測(cè)試部門(mén)只對(duì)發(fā)布前的版本有獲取的權(quán)利，沒(méi)有修改簽入的權(quán)利。除測(cè)試文檔外的目錄外不與授權(quán)。聯(lián)調(diào)整合代碼：只授與經(jīng)部門(mén)主管委托的有權(quán)限操作的人員。定期做好備份。測(cè)試部門(mén)：組織完成的任務(wù)是，版本庫(kù)版本的完整性測(cè)試、可用性測(cè)試。具體工作如下：做好測(cè)試的組織、管理、設(shè)計(jì)、實(shí)施等工作。制定完整的測(cè)試方案。審核軟件需求。審核設(shè)計(jì)規(guī)格說(shuō)明功能驗(yàn)證。找出軟件中潛在的各種錯(cuò)誤和缺陷。完成集成測(cè)試、確認(rèn)測(cè)試、系統(tǒng)測(cè)試。工程技術(shù)人員：實(shí)施獲取版本后的安全控制風(fēng)險(xiǎn)，實(shí)施項(xiàng)目文件的入庫(kù)規(guī)范操作。主要完成的工作：對(duì)外版本風(fēng)險(xiǎn)控制。項(xiàng)目實(shí)施細(xì)節(jié)文件編寫(xiě)。項(xiàng)目驗(yàn)收?qǐng)?bào)告簽署。項(xiàng)目完工后過(guò)程文件入庫(kù)。服務(wù)部及管理人員：監(jiān)督管理對(duì)工程技術(shù)人員的文檔控制，版本安全風(fēng)險(xiǎn)控制。主要完成的工作：項(xiàng)目實(shí)施管理。監(jiān)督項(xiàng)目進(jìn)行過(guò)程中文檔及軟件的安全風(fēng)險(xiǎn)。評(píng)估項(xiàng)目實(shí)施過(guò)程中的其它風(fēng)險(xiǎn)。研發(fā)部：對(duì)工作庫(kù)進(jìn)行操作更新，保證工作庫(kù)的安全風(fēng)險(xiǎn)防范。具體完成的工作：所有軟件的源代碼文件及相應(yīng)的開(kāi)發(fā)設(shè)計(jì)文檔都必須加入到指定服務(wù)器的指定庫(kù)中。在軟件開(kāi)始編寫(xiě)修改之前，其相應(yīng)的設(shè)計(jì)文檔和代碼，必須先從工作庫(kù)中取出編輯。在最終提交之前，需要進(jìn)行一次更新操作，看是不是有沖突，沖突解決后，再做提交。配置管理人員：完成版本配置工作，進(jìn)行軟件發(fā)布，給出發(fā)布日期，以便開(kāi)發(fā)、測(cè)試、項(xiàng)目、客戶等相關(guān)人員參考。配置人員確定準(zhǔn)備發(fā)布的版本號(hào)。版本號(hào)規(guī)范如下：軟件版本由四部分組成：每一部分為主版本號(hào)，第二部分為次版本號(hào)，第三部分為修訂版本號(hào)，第四部分軟件修改編譯后形成順序版本號(hào)。第一部分：需求書(shū)版本。第二部分：對(duì)應(yīng)需求書(shū)的軟件版本號(hào)。第三部分：對(duì)應(yīng)需求書(shū)功能做微小調(diào)整后的版本號(hào)。第四部分：軟件修改編譯后形成順序版本號(hào)。服務(wù)部：分配部署用于源代碼管理的服務(wù)器，配置源代碼開(kāi)發(fā)的網(wǎng)絡(luò)環(huán)境，配合源代碼管理人員完成服務(wù)器目錄權(quán)限配置。主要完成的工作：根據(jù)源代碼安全管理規(guī)范的要求配置服務(wù)器。配置安全的網(wǎng)絡(luò)環(huán)境訪問(wèn)權(quán)限。配合源代碼管理人員完成服務(wù)器目錄權(quán)限的配置。3、與職能機(jī)構(gòu)的協(xié)同管理主要維護(hù)與人力資源部的協(xié)作關(guān)系，要求人力資源部配合完成如下工作：須對(duì)與源代碼相關(guān)人員進(jìn)行入職背景調(diào)查。對(duì)與源代碼相關(guān)人員的入職培訓(xùn)，重點(diǎn)進(jìn)行公司規(guī)章制度中與源代碼安全管理相關(guān)的培訓(xùn)。與源代碼相關(guān)的離職人員，在經(jīng)過(guò)人力資源部審核時(shí)，重點(diǎn)審核是否符合與源代碼相關(guān)人員離職審批流程，是否出現(xiàn)異常狀況，如存在嚴(yán)重安全隱患，主管人員應(yīng)立即上報(bào)進(jìn)行處理。應(yīng)維護(hù)與特定相關(guān)方、其他專業(yè)安全論壇和專業(yè)協(xié)會(huì)的適當(dāng)聯(lián)系。管理制度（見(jiàn)文檔《源代碼安全管理制度.docx》）管理流程服務(wù)器部署流程結(jié)束源代碼管理人員提出服務(wù)器配置方案主管領(lǐng)導(dǎo)審批結(jié)束源代碼管理人員提出服務(wù)器配置方案主管領(lǐng)導(dǎo)審批進(jìn)入采購(gòu)流程交付服務(wù)部配置部署維護(hù)人員安裝操作系統(tǒng)并作安全策略配置源代碼管理人員安裝配置VSS或SVN交付服務(wù)人員作目錄權(quán)限配置源代碼管理人檢查目錄權(quán)限配置結(jié)果是否合規(guī)是否合規(guī)是否源代碼管理軟件配置流程結(jié)束開(kāi)發(fā)主管提出人員配置及目錄結(jié)構(gòu)方案交付源代碼管理人員結(jié)束開(kāi)發(fā)主管提出人員配置及目錄結(jié)構(gòu)方案交付源代碼管理人員建立相應(yīng)目錄結(jié)構(gòu)交付開(kāi)發(fā)人員建立本地工作目錄源代碼管理人員為每一個(gè)開(kāi)發(fā)人員建立帳號(hào)開(kāi)發(fā)人員登錄VSS或SVN測(cè)試權(quán)限是否可用是否開(kāi)發(fā)人員修改帳號(hào)密碼源代碼管理人員為每一個(gè)開(kāi)發(fā)帳號(hào)配置目錄權(quán)限開(kāi)發(fā)主管檢查配置是否合規(guī)是否源代碼創(chuàng)建修改流程結(jié)束開(kāi)發(fā)人員在本地工作目錄下建立源代碼文件結(jié)束開(kāi)發(fā)人員在本地工作目錄下建立源代碼文件開(kāi)發(fā)人員登錄源代碼管理軟件開(kāi)發(fā)人員簽出源代碼新增提交到對(duì)應(yīng)目錄中開(kāi)發(fā)人員簽入源代碼開(kāi)發(fā)人員修改源代碼版本控制流程結(jié)束開(kāi)發(fā)主管結(jié)束開(kāi)發(fā)主管收到用戶需求書(shū)轉(zhuǎn)變?yōu)檐浖枨髸?shū)后確定版本第一位編號(hào)開(kāi)發(fā)主管依據(jù)軟件需求書(shū)完成軟件設(shè)計(jì)書(shū)后確定第二位編號(hào)開(kāi)發(fā)人員在代碼開(kāi)發(fā)過(guò)程中定義內(nèi)部版本序列號(hào)，每一次編譯代碼產(chǎn)生第四位版本號(hào)開(kāi)發(fā)人員在詳細(xì)設(shè)計(jì)過(guò)程中形成的版本確定第三位編號(hào)開(kāi)發(fā)主管確定內(nèi)部組件版本號(hào)第四位的某一個(gè)版本為可發(fā)布的版本號(hào)軟件配置人員發(fā)布軟件版本源代碼測(cè)試流程（組件測(cè)試）通過(guò)？是通過(guò)？是否執(zhí)行源代碼創(chuàng)建修改流程結(jié)束開(kāi)發(fā)人員發(fā)布最終編譯版本測(cè)試人員獲取編譯版本測(cè)試人員編寫(xiě)測(cè)試用例測(cè)試人員與開(kāi)發(fā)人員評(píng)估測(cè)試用例測(cè)試人員完成測(cè)試報(bào)告測(cè)試人員完成測(cè)試測(cè)試部執(zhí)行發(fā)布流程通過(guò)？是否組件發(fā)布流程結(jié)束測(cè)試人員測(cè)試組件結(jié)束測(cè)試人員測(cè)試組件開(kāi)發(fā)人員提交組件測(cè)試通過(guò)后確定版本號(hào)發(fā)布組件軟件發(fā)布流程開(kāi)發(fā)主管發(fā)出軟件發(fā)布指令結(jié)束開(kāi)發(fā)主管發(fā)出軟件發(fā)布指令結(jié)束軟件配置人員從發(fā)布的組件中提取發(fā)布版本配置人員獲取軟件功能描述編制發(fā)布軟件的功能表及規(guī)格書(shū)測(cè)試部門(mén)進(jìn)入測(cè)試流程進(jìn)行測(cè)試將軟件包提交測(cè)試部門(mén)測(cè)試測(cè)試通過(guò)后確定發(fā)布版本號(hào)發(fā)布軟件項(xiàng)目人員獲取版本流程項(xiàng)目人員接受項(xiàng)目任務(wù)配置人員收到申請(qǐng)，將正確的版本移交給項(xiàng)目人員項(xiàng)目人員接受項(xiàng)目任務(wù)配置人員收到申請(qǐng)，將正確的版本移交給項(xiàng)目人員結(jié)束項(xiàng)目人員獲取項(xiàng)目軟件供應(yīng)合同項(xiàng)目人員整理軟件需求開(kāi)發(fā)主管根據(jù)需求提供軟件版本號(hào)項(xiàng)目人員向開(kāi)發(fā)主管申請(qǐng)獲取軟件版本項(xiàng)目主管和開(kāi)發(fā)主管共同簽發(fā)提取版本申請(qǐng)外部借閱流程結(jié)束結(jié)束總經(jīng)理審批開(kāi)發(fā)主管確定借閱版本配置人員提供正確的版本給借閱人員開(kāi)發(fā)主管向配置人員提出借閱申請(qǐng)借閱時(shí)間到配置人員向借閱人追繳歸還借閱人員提出申請(qǐng)借閱人員與配置人員簽署借閱協(xié)議借閱人員歸還存檔源代碼目錄工作狀態(tài)安全監(jiān)控流程結(jié)束源代碼管理人員查看服務(wù)器控制目錄狀態(tài)將目錄狀態(tài)報(bào)告開(kāi)發(fā)主管結(jié)束源代碼管理人員查看服務(wù)器控制目錄狀態(tài)將目錄狀態(tài)報(bào)告開(kāi)發(fā)主管針對(duì)異常狀態(tài)的目錄責(zé)成相關(guān)開(kāi)發(fā)人員進(jìn)行糾正開(kāi)發(fā)主管檢查核實(shí)組件和軟件完成的情況源代碼目錄和項(xiàng)目權(quán)限安全監(jiān)控流程結(jié)束源代碼管理人員查看源代碼目錄和項(xiàng)目權(quán)限狀態(tài)結(jié)束源代碼管理人員查看源代碼目錄和項(xiàng)目權(quán)限狀態(tài)將目錄與項(xiàng)目權(quán)限狀態(tài)報(bào)告開(kāi)發(fā)主管針對(duì)異常狀態(tài)的改正后提交源代碼管理人員開(kāi)發(fā)主管核實(shí)目錄權(quán)限狀態(tài)情況源代碼管理人員更正權(quán)限設(shè)定與源代碼相關(guān)人員離職審查流程開(kāi)發(fā)主管核實(shí)離職單并簽字開(kāi)發(fā)主管核實(shí)離職單并簽字通過(guò)人事離職流程結(jié)束提交離職申請(qǐng)開(kāi)發(fā)主管檢查本地工作目錄狀況源代碼管理人員收回相關(guān)帳號(hào)權(quán)限源代碼管理人員檢查服務(wù)器相關(guān)目錄權(quán)限源代碼管理人員刪除相關(guān)帳號(hào)，在離職單上簽字表單見(jiàn)B07離職交接表單見(jiàn)B09《重要應(yīng)用系統(tǒng)權(quán)限評(píng)審表》見(jiàn)（B0