源代码安全管理规范.docx
《源代码安全管理规范.docx》由会员分享,可在线阅读,更多相关《源代码安全管理规范.docx(12页珍藏版)》请在第壹文秘上搜索。
1、XXX信息安全有限公司源代码安全管理规范文件编号:1保证源代码和开发文档的完整性。2、规范源代码的授权获取、复制、传播。3、提高技术人员及管理人员对源代码及开发文档损伤、丢失、被恶意获取、复制、传播的风险安全防范意识。4、管控项目程序开发过程中存在的相关安全风险。一、定性指标1、源代码库必须包括工作库、受控库、项目库和产品库。2、保证开发人员工作目录及其代码与工作库保存的版本相一致。3、开发人员要遵守修改过程完成后立即入库的原则。4、有完善的检查机制。5、有完善的备份机制。6、有生成版本的规则。7、生成的版本要进行完整性和可用性测试。8、对开发人员和管理人员要有源代码安全管理培训。9、对开发人
2、员和管理人员访问代码要有相应的权限管理。10、源代码保存服务器要有安全权限控制。11、控制开发环境网络访问权限。二、管理策略1、建立管理组织结构2、制定管理规范3、制定评审标准4、执行管理监督三、组织结构1、源代码的管理相关方(1)研发部(2)项目管理部及管理人员(3)工程技术人员(4)测试部(5)源代码管理人员(6)源代码安全管理领导人员(7)服务部2、组织职责信息安全管理工作小组:组织完成的任务是,建立管理组织结构、制定管理规范,制定评审标准,执行管理监督。具体完成的工作:(1)协调制定源代码管理组织(2)协调制定源代码分级管理规范(3)制定源代码安全评审标准(4)执行源代码安全规范的组织
3、实施和监督,每季度进行一次权限控制检查及全面信息安全评估,对发现的问题要求整改,在下次检查前还没有完成整改的,进行相关的处理整顿。(5)源代码向研发部门以外复制的授权审批。源代码管理人员:组织完成的任务是,完成系统建设、权限分派、建立目录结构与目录安全策略、部署服务器与建立服务器安全策略、完成备份策略。具体完成的工作:(1)部署源代码管理服务器,完成服务器安全控制设置,并安装源代码管理软件。(2)建立帐号,维护帐号,为帐号指派目录权限。(3)开发人员,工程技术人员,只允许查看修改自有工作目录(允许签入签出)。(4)工程技术主管只允许查看,不允许有修改(不允许签入签出)权限。(5)测试部门只对发
4、布前的版本有获取的权利,没有修改签入的权利。除测试文档外的目录外不与授权。(6)联调整合代码:只授与经部门主管委托的有权限操作的人员。(7)定期做好备份。测试部门:组织完成的任务是,版木库版本的完整性测试、可用性测试。具体工作如下:(1)做好测试的组织、管理、设计、实施等工作。(2)制定完整的测试方案。(3)审核软件需求。(4)审核设计规格说明(5)功能验证。(6)找出软件中潜在的各种错误和缺陷。(7)完成集成测试、确认测试、系统测试。工程技术人员:实施获取版本后的安全控制风险,实施项目文件的入库规范操作。主要完成的工作:(1)对外版本风险控制。(2)项目实施细节文件编写。(3)项目验收报告签
5、署。(4)项目完工后过程文件入库。服务部及管理人员:监督管理对工程技术人员的文档控制,版本安全风险控制。主要完成的工作:(1)项目实施管理。(2)监督项目进行过程中文档及软件的安全风险。(3)评估项目实施过程中的其它风险。研发部:对工作库进行操作更新,保证工作库的安全风险防范。具体完成的工作:(1)所有软件的源代码文件及相应的开发设计文档都必须加入到指定服务器的指定库中。(2)在软件开始编写修改之前,其相应的设计文档和代码,必须先从工作库中取出编辑。在最终提交之前,需要进行一次更新操作,看是不是有冲突,冲突解决后,再做提交。配置管理人员:完成版本配置工作,进行软件发布,给出发布日期,以便开发、
6、测试、项目、客户等相关人员参考。配置人员确定准备发布的版本号。版本号规范如下:软件版本由四部分组成:每一部分为主版本号,第二部分为次版本号,第三部分为修订版本号,第四部分软件修改编译后形成顺序版本号。第一部分:需求书版本。第二部分:对应需求书的软件版本号。第三部分:对应需求书功能做微小调整后的版本号。第四部分:软件修改编译后形成顺序版本号。服务部:分配部署用于源代码管理的服务器,配置源代码开发的网络环境,配合源代码管理人员完成服务器目录权限配置。主要完成的工作:(1)根据源代码安全管理规范的要求配置服务器。(2)配置安全的网络环境访问权限。(3)配合源代码管理人员完成服务器目录权限的配置。3、
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 源代码 安全管理 规范