源代码安全管理规定.docx

源代码安全管理规定 Revised by Liu Jing on January 12, 2021 源 代 码 安 全 管 理 制 度 总则 为有效控制管理源代码的完整性，确保其不被非授权获取、复制、传播和 更改，明确源代码控制管理流程，特制定此管理制度（以下简称制度）。 本办法所指源代码包括开发人员自行编写实现功能的程序代码，相应的开 发设计文档及相关资料，属于明确注明的商业秘密，须纳入源代码管理体 系。 本制度适用于所有涉及接触源代码的各岗位，所涉及人员都必须严格执行 本管理办法。 所有人员入职均需签订保密协议，明确保密义务，了解包含此制度在内的 各项保密规定并严格执行。 重点保护的关键模块包括：敏感信息的模块，如加解密算法等。基本逻辑 模块，如如数据库操作基本类库。对关键模块，采取程序集强命名、混 淆、加密、权限控制等各种有效方法进行保护。 源代码完整性保障 所有软件的源代码文件及相应的开发设计文档均必须及时加入到指定的源 代码服务器中的指定SVN库中。 我们研发的产品软件运行所必须的第三方软件、控件和其它支撑库等文件 也必须及时加入源代码服务器中指定的SV、?库中。 3.2.4. 3. 2.4. 3 1. 3. 2. 3. 3. 3. 4. 3. 5. 软件开始编写或者调整代码之前，其相应的设计文档必须签入SV、?库。软件 编码或功能调整结束提交技术支撑部測试验证之前，相应的源代码必须签 入SVN库。 第八条技术支撑部门对代码的测试时必须从源代码服务器上的SVN库中获 取代码，包括必须的第三方软件、控件和其它支撑库等文件，然后进行集 成编译测试。 源代码的授权访问 源代码服务器对于共享的SVN库的访问建立操作系统级的，基于身份和口令 的访问授权。 在SVN库中设置用户，并为不同用户分配不同的，适合工作的最小访问权 限。 要求连接SVN库时必须校验SVN中用户身份及其口令。在SVN库中要求区 别对待不同用户的可访问权、可创建权、可编辑权、可删除权、可销毁 权。严格控制用户的读写权限，应以最低权限为原则分配权限；开发人员 不再需要对相关信息系统源代码做更新时，须及时删除账号 工作任务变化后要实时回收用户的相关权限，对SVN库的管理要求建立专人 管理制度专人专管。每个普通用户切实保证自己的用户身份和口令不泄 露。用户要经常更换自己在VSS库中账号的口令。 涉及、接触源代码的计算机必须建立专人专用制度，任何其他人不得在未 获得研发部经理授权的情况下操作和使用此计算机。此计算机的专用人也 不得私自同意或者漠视他人非获得授权使用本计算机。对涉及、触及源代 码计算机的使用授权仅由硏发部经理发出，其他人都无权执行此授权。 曾经涉及、触及源代码的计算机在转作它用，或者离开研发部门之前必须 由网络管理人员全面清除计算机硬盘中存储的源代码。如果不能确定，必 须对计算机中所有硬盘进行全面格式化后方可以转做它用或离开研发部 门。 外来存储设备不得直接连接到研发部门的计算机设备上。如需拷贝文件， 必须通过统一的研发部指定的公用计算机上在网管人员监督之下进行。此 公用计算机在任何时候不得接触、访问、存储源代码文件。 通过网段隔离方式使研发部的计算机只能自行组成局域网，并保证其它网 段不能访问到研发部的网络和网络中的计算机设备。 4 源代码复制和传播 任何源代码文件包括设计文档等技术资料不得利用如QQ、MSN、邮件等涉外 网络环境形式进行传输。 源代码向研发部门以外复制必须获得总经理的书面授权。并必需记录复制 人、批准人、复制时间、复制目的、文件流向、文件版本或内容。 源代码以任何介质形式进行存储的备份，必须由专人负责保管。对于这些 介质地借阅，用于研发部内部使用的必须获得研发部经理的授权，对于用 于研发部以外使用的必须获得总经理的书面授权。 对于以纸质形式存在的源代码清单、设计文档等，需进行专人管理。对于 这些纸质材料的外借、分发、复印等，只要非研发部门内部使用的情况均 必需获得总经理的书面授权，对于研发部门内部使用的则必需如数按时按 量回收，并且使用区域仅限于研发部门内部，对于需要离开研发部门场所 的情况，同样需要获得总经理的书面授权。 5.5 5. 5 5.1. 2. 5. 3. 5. 4. 5. 5. 5.6. 源代码平台的日常管理 软件的源代码文件及相应的开发涉及文档应及时加入指定的源代码服务器 的指定库中。 源代码管理平台中不得存放任何生产环境配置，包括但不限于IP地址、端 口号、数据库密码等。 定期巡检源代码管理平台账号，清理无效或不再使用的账号，整理账号权 限。 项目上线阶段检查源代码管理平台各项目的使用情况，检査内容包括但不 限于硬盘空间检査、目录规范性检査、归档检查。 定期巡检源代码管理平台服务器使用状况，巡检内容包括但不限于服