源代碼安全管理制度

1、.源代碼安全管理制度（初稿）1 總則1.1. 為有效控制管理源代碼的完整性，確保其不被非授權(quán)獲取、復(fù)制、傳播和更改，明確源代碼控制管理流程，特制定此管理制度（以下簡稱制度）。1.2. 本辦法所指源代碼包括開發(fā)人員編寫實現(xiàn)功能的程序代碼，相應(yīng)的開發(fā)設(shè)計文檔及相關(guān)資料，全部須納入源代碼管理體系。1.3. 本制度適用于所有涉及接觸源代碼的各崗位，所涉及人員都必須嚴(yán)格執(zhí)行本管理辦法。2源代碼完整性保障2.1. 所有軟件的源代碼文件及相應(yīng)的開發(fā)設(shè)計文檔均必須及時加入到指定的源代碼服務(wù)器中的指定SVN庫中。2.2. 研發(fā)的產(chǎn)品軟件運行所必須的第三方軟件、控件和其它支撐庫等文件也必須及時加入源代碼服務(wù)器中指

2、定的SVN庫中。3源代碼的授權(quán)訪問3.1. 源代碼服務(wù)器對于共享的SVN庫的訪問建立操作系統(tǒng)級的，基于身份和口令的訪問授權(quán)。3.2. 在SVN庫中設(shè)置用戶，并為不同用戶分配不同的，適合工作的最小訪問權(quán)限。3.3. 要求連接SVN庫時必須校驗SVN中用戶身份及其口令。在SVN庫中要求區(qū)別對待不同用戶的可訪問權(quán)、可創(chuàng)建權(quán)、可編輯權(quán)、可刪除權(quán)、可銷毀權(quán)。嚴(yán)格控制用戶的讀寫權(quán)限，應(yīng)以最低權(quán)限為原則分配權(quán)限；開發(fā)人員不再需要對相關(guān)信息系統(tǒng)源代碼做更新時，須及時刪除賬號。3.4. 工作任務(wù)變化后要實時回收用戶的相關(guān)權(quán)限，對SVN庫的管理要求建立專人管理制度專人專管。3.5. 涉及、接觸源代碼的計算機必須建

3、立專人專用制度，任何其他人不得在未獲得研發(fā)部經(jīng)理授權(quán)的情況下操作和使用此計算機。此計算機的專用人也不得私自同意或者漠視他人獲得授權(quán)使用本計算機。對涉及、觸及源代碼計算機的使用授權(quán)僅由項目經(jīng)理或部門經(jīng)理發(fā)出，其他人都無權(quán)執(zhí)行此授權(quán)。3.6. 曾經(jīng)涉及、觸及源代碼的計算機在轉(zhuǎn)作它用，或者離開研發(fā)部門之前必須全面清除計算機硬盤中存儲的源代碼。如果不能確定，必須對計算機中所有硬盤進(jìn)行全面格式化后方可以轉(zhuǎn)做它用或離開研發(fā)部門。3.7. 對公司每個軟件產(chǎn)品的核心功能進(jìn)行編譯，核心功能源碼交項目經(jīng)理保管，其他研發(fā)人員開發(fā)項目時直接引用編譯好的文件。如果需要修改核心功能，由研發(fā)人員提出，交由項目經(jīng)理統(tǒng)一修改。3.8. 公司所有軟件及產(chǎn)品，全部通過公司的加密工具進(jìn)行加密，每個軟件及產(chǎn)品都要限定開發(fā)人員及開發(fā)電腦。每個軟件及產(chǎn)品開發(fā)權(quán)限由項目經(jīng)理進(jìn)行管理。4 源代碼復(fù)制和傳播4.1. 任何源代碼文件包括設(shè)計文檔等技術(shù)資料不得利用如QQ、MSN、郵件等涉外網(wǎng)絡(luò)環(huán)境形式進(jìn)行傳輸。4.2. 源代碼向研發(fā)部門以外復(fù)制必須獲得部門經(jīng)理的授權(quán)。并必需記錄復(fù)制人、批準(zhǔn)人、復(fù)制時間、復(fù)制目的、文件流向、文件版本或內(nèi)容。5軟件的部署5.1. 所有軟件產(chǎn)品的部署要求必須為發(fā)布后的程序，嚴(yán)格