源代碼安全管理規(guī)范

源代碼安全管理規(guī)范第頁源代碼安全管理規(guī)范 TOC\o"1-3"\f\h\u6796一、管理目標 4123221、保證源代碼和開發(fā)文檔的完整性。 4106122、規(guī)范源代碼的授權(quán)獲取、復制、傳播。 443363、提高技術(shù)人員及管理人員對源代碼及開發(fā)文檔損傷、丟失、被惡意獲取、復制、傳播的風險安全防范意識。 469334、管控項目程序開發(fā)過程中存在的相關(guān)安全風險。 418952二、定性指標 4264891、源代碼庫必須包括工作庫、受控庫、項目庫和產(chǎn)品庫。 463922、保證開發(fā)人員工作目錄及其代碼與工作庫保存的版本相一致。 433193、開發(fā)人員要遵守修改過程完成后立即入庫的原則。 4260334、有完善的檢查機制。 448175、有完善的備份機制。 495316、有生成版本的規(guī)則。 485887、生成的版本要進行完整性和可用性測試。 4202568、對開發(fā)人員和管理人員要有源代碼安全管理培訓 4264289、對開發(fā)人員和管理人員訪問代碼要有相應的權(quán)限管理 42535510、源代碼保存服務器要有安全權(quán)限控制。 42845611、控制開發(fā)環(huán)境網(wǎng)絡訪問權(quán)限。 410342三、管理策略 439361、建立管理組織結(jié)構(gòu) 4245832、制定管理規(guī)范 4256673、制定評審標準 582354、執(zhí)行管理監(jiān)督 520749四、組織結(jié)構(gòu) 554491、源代碼的管理相關(guān)方 5301702、組織職責 5303463、與職能機構(gòu)的協(xié)同管理 8201654、應維護與特定相關(guān)方、其他專業(yè)安全論壇和專業(yè)協(xié)會的適當聯(lián)系。 813025五、管理制度（見文檔《源代碼安全管理制度.docx》） 83346六、管理流程 8174421、服務器部署流程 86362、源代碼管理軟件配置流程 9162583、源代碼創(chuàng)建修改流程 9307514、版本控制流程 10141855、源代碼測試流程（組件測試） 10219166、組件發(fā)布流程 11247007、軟件發(fā)布流程 11251888、項目人員獲取版本流程 12154289、外部借閱流程 123130810、源代碼目錄工作狀態(tài)安全監(jiān)控流程 122404211、源代碼目錄和項目權(quán)限安全監(jiān)控流程 13610712、與源代碼相關(guān)人員離職審查流程 1316853七、表單 13271221、見B07離職交接表單 14141252、見B09《重要應用系統(tǒng)權(quán)限評審表》 1460723、見（B09）《重要服務器-應用系統(tǒng)清單》 1447564、外部借閱審批表 14115105、軟件獲取申請表 14234496、信息安全規(guī)范檢查記錄表 15

管理目標保證源代碼和開發(fā)文檔的完整性。規(guī)范源代碼的授權(quán)獲取、復制、傳播。提高技術(shù)人員及管理人員對源代碼及開發(fā)文檔損傷、丟失、被惡意獲取、復制、傳播的風險安全防范意識。管控項目程序開發(fā)過程中存在的相關(guān)安全風險。定性指標源代碼庫必須包括工作庫、受控庫、項目庫和產(chǎn)品庫。保證開發(fā)人員工作目錄及其代碼與工作庫保存的版本相一致。開發(fā)人員要遵守修改過程完成后立即入庫的原則。有完善的檢查機制。有完善的備份機制。有生成版本的規(guī)則。生成的版本要進行完整性和可用性測試。對開發(fā)人員和管理人員要有源代碼安全管理培訓。對開發(fā)人員和管理人員訪問代碼要有相應的權(quán)限管理。源代碼保存服務器要有安全權(quán)限控制?？刂崎_發(fā)環(huán)境網(wǎng)絡訪問權(quán)限。管理策略建立管理組織結(jié)構(gòu)制定管理規(guī)范制定評審標準執(zhí)行管理監(jiān)督組織結(jié)構(gòu)源代碼的管理相關(guān)方研發(fā)部項目管理部及管理人員工程技術(shù)人員測試部源代碼管理人員源代碼安全管理領(lǐng)導人員服務部組織職責信息安全管理工作小組：組織完成的任務是，建立管理組織結(jié)構(gòu)、制定管理規(guī)范，制定評審標準，執(zhí)行管理監(jiān)督。具體完成的工作：協(xié)調(diào)制定源代碼管理組織協(xié)調(diào)制定源代碼分級管理規(guī)范制定源代碼安全評審標準執(zhí)行源代碼安全規(guī)范的組織實施和監(jiān)督，每季度進行一次權(quán)限控制檢查及全面信息安全評估，對發(fā)現(xiàn)的問題要求整改，在下次檢查前還沒有完成整改的，進行相關(guān)的處理整頓。源代碼向研發(fā)部門以外復制的授權(quán)審批。源代碼管理人員：組織完成的任務是，完成系統(tǒng)建設(shè)、權(quán)限分派、建立目錄結(jié)構(gòu)與目錄安全策略、部署服務器與建立服務器安全策略、完成備份策略。具體完成的工作：部署源代碼管理服務器，完成服務器安全控制設(shè)置，并安裝源代碼管理軟件。建立帳號，維護帳號，為帳號指派目錄權(quán)限。開發(fā)人員，工程技術(shù)人員，只允許查看修改自有工作目錄（允許簽入簽出）。工程技術(shù)主管只允許查看，不允許有修改（不允許簽入簽出）權(quán)限。測試部門只對發(fā)布前的版本有獲取的權(quán)利，沒有修改簽入的權(quán)利。除測試文檔外的目錄外不與授權(quán)。聯(lián)調(diào)整合代碼：只授與經(jīng)部門主管委托的有權(quán)限操作的人員。定期做好備份。測試部門：組織完成的任務是，版本庫版本的完整性測試、可用性測試。具體工作如下：做好測試的組織、管理、設(shè)計、實施等工作。制定完整的測試方案。審核軟件需求。審核設(shè)計規(guī)格說明功能驗證。找出軟件中潛在的各種錯誤和缺陷。完成集成測試、確認測試、系統(tǒng)測試。工程技術(shù)人員：實施獲取版本后的安全控制風險，實施項目文件的入庫規(guī)范操作。主要完成的工作：對外版本風險控制。項目實施細節(jié)文件編寫。項目驗收報告簽署。項目完工后過程文件入庫。服務部及管理人員：監(jiān)督管理對工程技術(shù)人員的文檔控制，版本安全風險控制。主要完成的工作：項目實施管理。監(jiān)督項目進行過程中文檔及軟件的安全風險。評估項目實施過程中的其它風險。研發(fā)部：對工作庫進行操作更新，保證工作庫的安全風險防范。具體完成的工作：所有軟件的源代碼文件及相應的開發(fā)設(shè)計文檔都必須加入到指定服務器的指定庫中。在軟件開始編寫修改之前，其相應的設(shè)計文檔和代碼，必須先從工作庫中取出編輯。在最終提交之前，需要進行一次更新操作，看是不是有沖突，沖突解決后，再做提交。配置管理人員：完成版本配置工作，進行軟件發(fā)布，給出發(fā)布日期，以便開發(fā)、測試、項目、客戶等相關(guān)人員參考。配置人員確定準備發(fā)布的版本號。版本號規(guī)范如下：軟件版本由四部分組成：每一部分為主版本號，第二部分為次版本號，第三部分為修訂版本號，第四部分軟件修改編譯后形成順序版本號。第一部分：需求書版本。第二部分：對應需求書的軟件版本號。第三部分：對應需求書功能做微小調(diào)整后的版本號。第四部分：軟件修改編譯后形成順序版本號。服務部：分配部署用于源代碼管理的服務器，配置源代碼開發(fā)的網(wǎng)絡環(huán)境，配合源代碼管理人員完成服務器目錄權(quán)限配置。主要完成的工作：根據(jù)源代碼安全管理規(guī)范的要求配置服務器。配置安全的網(wǎng)絡環(huán)境訪問權(quán)限。配合源代碼管理人員完成服務器目錄權(quán)限的配置。3、與職能機構(gòu)的協(xié)同管理主要維護與人力資源部的協(xié)作關(guān)系，要求人力資源部配合完成如下工作：須對與源代碼相關(guān)人員進行入職背景調(diào)查。對與源代碼相關(guān)人員的入職培訓，重點進行公司規(guī)章制度中與源代碼安全管理相關(guān)的培訓。與源代碼相關(guān)的離職人員，在經(jīng)過人力資源部審核時，重點審核是否符合與源代碼相關(guān)人員離職審批流程，是否出現(xiàn)異常狀況，如存在嚴重安全隱患，主管人員應立即上報進行處理。應維護與特定相關(guān)方、其他專業(yè)安全論壇和專業(yè)協(xié)會的適當聯(lián)系。管理制度（見文檔《源代碼安全管理制度.docx》）管理流程服務器部署流程結(jié)束源代碼管理人員提出服務器配置方案主管領(lǐng)導審批結(jié)束源代碼管理人員提出服務器配置方案主管領(lǐng)導審批進入采購流程交付服務部配置部署維護人員安裝操作系統(tǒng)并作安全策略配置源代碼管理人員安裝配置VSS或SVN交付服務人員作目錄權(quán)限配置源代碼管理人檢查目錄權(quán)限配置結(jié)果是否合規(guī)是否合規(guī)是否源代碼管理軟件配置流程結(jié)束開發(fā)主管提出人員配置及目錄結(jié)構(gòu)方案交付源代碼管理人員結(jié)束開發(fā)主管提出人員配置及目錄結(jié)構(gòu)方案交付源代碼管理人員建立相應目錄結(jié)構(gòu)交付開發(fā)人員建立本地工作目錄源代碼管理人員為每一個開發(fā)人員建立帳號開發(fā)人員登錄VSS或SVN測試權(quán)限是否可用是否開發(fā)人員修改帳號密碼源代碼管理人員為每一個開發(fā)帳號配置目錄權(quán)限開發(fā)主管檢查配置是否合規(guī)是否源代碼創(chuàng)建修改流程結(jié)束開發(fā)人員在本地工作目錄下建立源代碼文件結(jié)束開發(fā)人員在本地工作目錄下建立源代碼文件開發(fā)人員登錄源代碼管理軟件開發(fā)人員簽出源代碼新增提交到對應目錄中開發(fā)人員簽入源代碼開發(fā)人員修改源代碼版本控制流程結(jié)束開發(fā)主管結(jié)束開發(fā)主管收到用戶需求書轉(zhuǎn)變?yōu)檐浖枨髸蟠_定版本第一位編號開發(fā)主管依據(jù)軟件需求書完成軟件設(shè)計書后確定第二位編號開發(fā)人員在代碼開發(fā)過程中定義內(nèi)部版本序列號，每一次編譯代碼產(chǎn)生第四位版本號開發(fā)人員在詳細設(shè)計過程中形成的版本確定第三位編號開發(fā)主管確定內(nèi)部組件版本號第四位的某一個版本為可發(fā)布的版本號軟件配置人員發(fā)布軟件版本源代碼測試流程（組件測試）通過？是通過？是否執(zhí)行源代碼創(chuàng)建修改流程結(jié)束開發(fā)人員發(fā)布最終編譯版本測試人員獲取編譯版本測試人員編寫測試用例測試人員與開發(fā)人員評估測試用例測試人員完成測試報告測試人員完成測試測試部執(zhí)行發(fā)布流程通過？是否組件發(fā)布流程結(jié)束測試人員測試組件結(jié)束測試人員測試組件開發(fā)人員提交組件測試通過后確定版本號發(fā)布組件軟件發(fā)布流程開發(fā)主管發(fā)出軟件發(fā)布指令結(jié)束開發(fā)主管發(fā)出軟件發(fā)布指令結(jié)束軟件配置人員從發(fā)布的組件中提取發(fā)布版本配置人員獲取軟件功能描述編制發(fā)布軟件的功能表及規(guī)格書測試部門進入測試流程進行測試將軟件包提交測試部門測試測試通過后確定發(fā)布版本號發(fā)布軟件項目人員獲取版本流程項目人員接受項目任務配置人員收到申請，將正確的版本移交給項目人員項目人員接受項目任務配置人員收到申請，將正確的版本移交給項目人員結(jié)束項目人員獲取項目軟件供應合同項目人員整理軟件需求開發(fā)主管根據(jù)需求提供軟件版本號項目人員向開發(fā)主管申請獲取軟件版本項目主管和開發(fā)主管共同簽發(fā)提取版本申請外部借閱流程結(jié)束結(jié)束總經(jīng)理審批開發(fā)主管確定借閱版本配置人員提供正確的版本給借閱人員開發(fā)主管向配置人員提出借閱申請借閱時間到配置人員向借閱人追繳歸還借閱人員提出申請借閱人員與配置人員簽署借閱協(xié)議借閱人員歸還存檔源代碼目錄工作狀態(tài)安全監(jiān)控流程結(jié)束源代碼管理人員查看服務器控制目錄狀態(tài)將目錄狀態(tài)報告開發(fā)主管結(jié)束源代碼管理人員查看服務器控制目錄狀態(tài)將目錄狀態(tài)報告開發(fā)主管針對異常狀態(tài)的目錄責成相關(guān)開發(fā)人員進行糾正開發(fā)主管檢查核實組件和軟件完成的情況源代碼目錄和項目權(quán)限安全監(jiān)控流程結(jié)束源代碼管理人員查看源代碼目錄和項目權(quán)限狀態(tài)結(jié)束源代碼管理人員查看源代碼目錄和項目權(quán)限狀態(tài)將目錄與項目權(quán)限狀態(tài)報告開發(fā)主管針對異常狀態(tài)的改正后提交源代碼管理人員開發(fā)主管核實目錄權(quán)限狀態(tài)情況源代碼管理人員更正權(quán)限設(shè)定與源代碼相關(guān)人員離職審查流程開發(fā)主管核實離職單并簽字開發(fā)主管核實離職單并簽字通過人事離職流程結(jié)束提交離職申請開發(fā)主管檢查本地工作目錄狀況源代碼管理人員收回相關(guān)帳號權(quán)限源代碼管理人員檢查服務器相關(guān)目錄權(quán)限源代碼管理人員刪除相關(guān)帳號，在離職單上簽字表單見B07離職交接表單見B09《重要應用系統(tǒng)權(quán)限評審表》見（B0