源代碼安全管理制度

1、.源代碼安全管理制度（初稿）1 總則1.1.為有效控制管理源代碼的完整性，確保其不被非授權(quán)獲取、復(fù)制、傳播和更改，明確源代碼控制管理流程， 特制定此管理制度（以下簡稱制度）。1.2.本辦法所指源代碼包括開發(fā)人員編寫實(shí)現(xiàn)功能的程序代碼，相應(yīng)的開發(fā)設(shè)計(jì)文檔及相關(guān)資料，全部須納入源代碼管理體系。1.3.本制度適用于所有涉及接觸源代碼的各崗位，所涉及人員都必須嚴(yán)格執(zhí)行本管理辦法。2 源代碼完整性保障2.1.所有軟件的源代碼文件及相應(yīng)的開發(fā)設(shè)計(jì)文檔均必須及時(shí)加入到指定的源代碼服務(wù)器中的指定SVN庫中。2.2.研發(fā)的產(chǎn)品軟件運(yùn)行所必須的第三方軟件、控件和其它支撐庫等文件也必須及時(shí)加入源代碼服務(wù)器中指定的S

2、VN庫中。3 源代碼的授權(quán)訪問3.1.源代碼服務(wù)器對(duì)于共享的SVN庫的訪問建立操作系統(tǒng)級(jí)的，基于身份和口令的訪問授權(quán)。3.2.在SVN庫中設(shè)置用戶， 并為不同用戶分配不同的， 適合工作的最小訪問權(quán)限。.3.3.要求連接 SVN庫時(shí)必須校驗(yàn) SVN中用戶身份及其口令。 在SVN庫中要求區(qū)別對(duì)待不同用戶的可訪問權(quán)、可創(chuàng)建權(quán)、可編輯權(quán)、可刪除權(quán)、可銷毀權(quán)。嚴(yán)格控制用戶的讀寫權(quán)限，應(yīng)以最低權(quán)限為原則分配權(quán)限；開發(fā)人員不再需要對(duì)相關(guān)信息系統(tǒng)源代碼做更新時(shí)，須及時(shí)刪除賬號(hào)。3.4.工作任務(wù)變化后要實(shí)時(shí)回收用戶的相關(guān)權(quán)限，對(duì)SVN庫的管理要求建立專人管理制度專人專管。3.5.涉及、接觸源代碼的計(jì)算機(jī)必須建立

3、專人專用制度，任何其他人不得在未獲得研發(fā)部經(jīng)理授權(quán)的情況下操作和使用此計(jì)算機(jī)。此計(jì)算機(jī)的專用人也不得私自同意或者漠視他人獲得授權(quán)使用本計(jì)算機(jī)。對(duì)涉及、觸及源代碼計(jì)算機(jī)的使用授權(quán)僅由項(xiàng)目經(jīng)理或部門經(jīng)理發(fā)出，其他人都無權(quán)執(zhí)行此授權(quán)。3.6.曾經(jīng)涉及、觸及源代碼的計(jì)算機(jī)在轉(zhuǎn)作它用，或者離開研發(fā)部門之前必須全面清除計(jì)算機(jī)硬盤中存儲(chǔ)的源代碼。如果不能確定，必須對(duì)計(jì)算機(jī)中所有硬盤進(jìn)行全面格式化后方可以轉(zhuǎn)做它用或離開研發(fā)部門。3.7.對(duì)公司每個(gè)軟件產(chǎn)品的核心功能進(jìn)行編譯，核心功能源碼交項(xiàng)目經(jīng)理保管，其他研發(fā)人員開發(fā)項(xiàng)目時(shí)直接引用編譯好的文件。如果需要修改核心功能，由研發(fā)人員提出，交由項(xiàng)目經(jīng)理統(tǒng)一修改。3.8.公司所有軟件及產(chǎn)品， 全部通過公司的加密工具進(jìn)行加密，每個(gè)軟件及產(chǎn)品都要限定開發(fā)人員及開發(fā)電腦。每個(gè)軟件及產(chǎn)品開發(fā)權(quán)限由項(xiàng)目經(jīng)理進(jìn)行管理。.4 源代碼復(fù)制和傳播4.1.任何源代碼文件包括設(shè)計(jì)文檔等技術(shù)資料不得利用如QQ、MSN、郵件等涉外網(wǎng)絡(luò)環(huán)境形式進(jìn)行傳輸。4.2.源代碼向研發(fā)部門以外復(fù)制必須獲得部門經(jīng)理的授權(quán)。并必需記錄復(fù)制人、批準(zhǔn)人、復(fù)制時(shí)間、復(fù)制目的、文件流向、文件版本或內(nèi)容。5 軟件的部署5.1.所有軟件產(chǎn)品的部署要求必須為發(fā)布后的程序，嚴(yán)格