源代码安全管理规范.docx

XXX信息安全有限公司源代码安全管理规范文件编号:1保证源代码和开发文档的完整性。2、规范源代码的授权获取、复制、传播。3、提高技术人员及管理人员对源代码及开发文档损伤、丢失、被恶意获取、复制、传播的风险安全防范意识。4、管控项目程序开发过程中存在的相关安全风险。一、定性指标1、源代码库必须包括工作库、受控库、项目库和产品库。2、保证开发人员工作目录及其代码与工作库保存的版本相一致。3、开发人员要遵守修改过程完成后立即入库的原则。4、有完善的检查机制。5、有完善的备份机制。6、有生成版本的规则。7、生成的版本要进行完整性和可用性测试。8、对开发人员和管理人员要有源代码安全管理培训。9、对开发人员和管理人员访问代码要有相应的权限管理。10、源代码保存服务器要有安全权限控制。11、控制开发环境网络访问权限。二、管理策略1、建立管理组织结构2、制定管理规范3、制定评审标准4、执行管理监督三、组织结构1、源代码的管理相关方（1）研发部（2）项目管理部及管理人员（3）工程技术人员（4）测试部（5）源代码管理人员（6）源代码安全管理领导人员（7）服务部2、组织职责信息安全管理工作小组：组织完成的任务是，建立管理组织结构、制定管理规范，制定评审标准，执行管理监督。具体完成的工作：（1）协调制定源代码管理组织（2）协调制定源代码分级管理规范（3）制定源代码安全评审标准（4）执行源代码安全规范的组织实施和监督，每季度进行一次权限控制检查及全面信息安全评估，对发现的问题要求整改，在下次检查前还没有完成整改的，进行相关的处理整顿。（5）源代码向研发部门以外复制的授权审批。源代码管理人员：组织完成的任务是，完成系统建设、权限分派、建立目录结构与目录安全策略、部署服务器与建立服务器安全策略、完成备份策略。具体完成的工作：（1）部署源代码管理服务器，完成服务器安全控制设置，并安装源代码管理软件。（2）建立帐号，维护帐号，为帐号指派目录权限。（3）开发人员，工程技术人员，只允许查看修改自有工作目录（允许签入签出）。（4）工程技术主管只允许查看，不允许有修改（不允许签入签出）权限。（5）测试部门只对发布前的版本有获取的权利，没有修改签入的权利。除测试文档外的目录外不与授权。（6）联调整合代码：只授与经部门主管委托的有权限操作的人员。（7）定期做好备份。测试部门：组织完成的任务是，版木库版本的完整性测试、可用性测试。具体工作如下：（1）做好测试的组织、管理、设计、实施等工作。（2）制定完整的测试方案。（3）审核软件需求。（4）审核设计规格说明（5）功能验证。（6）找出软件中潜在的各种错误和缺陷。（7）完成集成测试、确认测试、系统测试。工程技术人员：实施获取版本后的安全控制风险，实施项目文件的入库规范操作。主要完成的工作:（1）对外版本风险控制。（2）项目实施细节文件编写。（3）项目验收报告签署。（4）项目完工后过程文件入库。服务部及管理人员：监督管理对工程技术人员的文档控制，版本安全风险控制。主要完成的工作：（1）项目实施管理。（2）监督项目进行过程中文档及软件的安全风险。（3）评估项目实施过程中的其它风险。研发部：对工作库进行操作更新，保证工作库的安全风险防范。具体完成的工作：（1）所有软件的源代码文件及相应的开发设计文档都必须加入到指定服务器的指定库中。（2）在软件开始编写修改之前，其相应的设计文档和代码，必须先从工作库中取出编辑。在最终提交之前，需要进行一次更新操作，看是不是有冲突，冲突解决后，再做提交。配置管理人员：完成版本配置工作，进行软件发布，给出发布日期，以便开发、测试、项目、客户等相关人员参考。配置人员确定准备发布的版本号。版本号规范如下：软件版本由四部分组成：每一部分为主版本号，第二部分为次版本号，第三部分为修订版本号，第四部分软件修改编译后形成顺序版本号。第一部分：需求书版本。第二部分：对应需求书的软件版本号。第三部分：对应需求书功能做微小调整后的版本号。第四部分：软件修改编译后形成顺序版本号。服务部：分配部署用于源代码管理的服务器，配置源代码开发的网络环境，配合源代码管理人员完成服务器目录权限配置。主要完成的工作：（1）根据源代码安全管理规范的要求配置服务器。（2）配置安全的网络环境访问权限。（3）配合源代码管理人员完成服务器目录权限的配置。3、与职能机构的协同管理主要维护与人力资源部的协作关系，要求人力资源部配合完成如下工作：（1）须对与源代码相关人员进行入职背景调查。（2）对与源代码相关人员的入职培训，重点进行公司规章制度中与源代码安全管理相关的培训。（3）与源代码相关的离职人员，在经过人力资源部审核时，重点审核是否符合与源代码相关人员离职审批流程，是否出现异常状况，如存在严重安全隐患，主管人员应立即上报进行处理。4、应维护与特定相关方、其他专业安全论坛和专业协会的适当联系。四、管理制度（见文档源代码安全管理制度.docx）五、管理流程1、服务器部署流程源代码管理人员提出服务器配音方案主管领导审批进入采购流程交付服务部配皆部署交付服务人员作目录权限配置源代码管理人员安装配者VSS或SVN维护人员安装操作系统并作安全策略源代码管理人检查目录权限布置结果（结束）2、源代码管理软件配置流程开发主管提出人员配省及目录结构方案交付源代码管理人员律立.相应目录结构源代码管理人员为每一个开发人员建立帐号交付开发人员建立本地T作目录开发人员登录VSS或SVN测试权限源代码管理人员为每一个开发帐号配置目录权限开发人员修改帐号密码开发主管检杳配置否z是否是2Sfc÷m /（结束）3、源代码创建修改流程开发人员在本地工作目录下建立源代码文件开发人员登录源代码管理软件新增提交到对应目录中开发人员签出源代码开发人员签入源代码开发人员修改源代码4、版本控制流程开发人员在详细设计过程中形成的版 -4-rz. r 4or - /-U<ij O开发主管收到用户需求书转变为软件需求书后扁士跖-«结一后盾开发主管依据软件需求书完成软件设计书U济空一A4卫开发人员在代码开发过程中定义内部版本序列号，每一 出 绰迷心知 京 生给皿付屈-±-软件配置人员发布软件版本开发主管确定内部组件版本号第四位的某一个匚*“TKT心士IVl此：*且5、源代码测试流程（组件测试）6、组件发布流程开发人员提交组件测试人员测试组件测试通过后确定版本号发布组件（结束）7、软件发布流程8、项目人员获取版本流程项目人员接受项目人员获取项项目任务目软件供应合同项目人员整理软件需求项目人员向开发主管申请获取软/4-3-1.、配置人员收到申结束， 请，将正确的版 未在泰处饰FJ 项目主管和开发主管共同签发提而叼；*出：主开发主管根据需求提供软件版本9、外部借阅流程借阅人员提出申请总经理审批开发主管确定借阅版本开发主管向配置人员提出借阅申借阅人员归还存档借阅时间到配置人员向借阅人追配置人员提供正确的版本给借阅K品借阅人员与配置人员签署借阅协10、源代码目录工作状态安全监控流程源代码管理人员查看服务器控制目录出太将目录状态报告开发主管开发主管检查核实组件和软件完成的AQrt针对异常状态的目录责成相关开发人吊冰行列Tr11、源代码目录和项目权限安全监控流程源代码管理人员查看源代码目录和项日如R曰4P太将目录与项目权限状态报告开发十指停开发主管核实目录权限状态情况源代码管理人员更正权限设定针对异常状态的改正后提交源代码管TW S12、与源代码相关人员离职审查流程提交离职申请本地工作目录UP '.U开发主管检查源代码管理人员检查服务器相关口N. 4-rj R口源代码管理人员收回相关帐号权I®（结束）开发主管核实离职单并签字源代码管理人员删除相关帐号，六、表单1、见B07离职交接表单2、见B09重要应用系统权限评审表3、见（B09）重要服务器应用系统清单4、外部借阅审批表外部借阅审批表借阅内容借阅目的及原因借阅介质借阅开始时间借阅时长借阅归还时间总经理审批意见及签字开发主管签字管理人员转交时间及签字借阅实际归还时间及完好性确认经手人签字借阅归档时间及归档人签字5、软件获取申请表软件获取申请表软件名称和版本获取目的协议或合同编号获取时间获取介质申请人签字开发主管签字管理人员转交时间及签字6、信息安全规范检查记录表季度信息安全规范检查记录表检查项目（例）执行状态检查时间检查人员签名操作权限控制服务器安全控制O。OOOG本制度相关修改及解释权属于研发服务体系文档编号（由总裁办填写）密级内部公开文档发布级别公司级文档发布及实行范围全员制度试行日期（可选）制度执行日期文档起草人签字：文档修订人：签字：修订说明：备注：文档负责人：签字：文档审批信息安全管理者代表签字：文档审批人签字：