源代码安全管理规范

第页源代码安全管理规范 TOC\o"1-3"\f\h\u6796一、管理目标 4123221、保证源代码和开发文档的完整性。 4106122、规范源代码的授权获取、复制、传播。 443363、提高技术人员及管理人员对源代码及开发文档损伤、丢失、被恶意获取、复制、传播的风险安全防范意识。 469334、管控项目程序开发过程中存在的相关安全风险。 418952二、定性指标 4264891、源代码库必须包括工作库、受控库、项目库和产品库。 463922、保证开发人员工作目录及其代码与工作库保存的版本相一致。 433193、开发人员要遵守修改过程完成后立即入库的原则。 4260334、有完善的检查机制。 448175、有完善的备份机制。 495316、有生成版本的规则。 485887、生成的版本要进行完整性和可用性测试。 4202568、对开发人员和管理人员要有源代码安全管理培训 4264289、对开发人员和管理人员访问代码要有相应的权限管理 42535510、源代码保存服务器要有安全权限控制。 42845611、控制开发环境网络访问权限。 410342三、管理策略 439361、建立管理组织结构 4245832、制定管理规范 4256673、制定评审标准 582354、执行管理监督 520749四、组织结构 554491、源代码的管理相关方 5301702、组织职责 5303463、与职能机构的协同管理 8201654、应维护与特定相关方、其他专业安全论坛和专业协会的适当联系。 813025五、管理制度（见文档《源代码安全管理制度.docx》） 83346六、管理流程 8174421、服务器部署流程 86362、源代码管理软件配置流程 9162583、源代码创建修改流程 9307514、版本控制流程 10141855、源代码测试流程（组件测试） 10219166、组件发布流程 11247007、软件发布流程 11251888、项目人员获取版本流程 12154289、外部借阅流程 123130810、源代码目录工作状态安全监控流程 122404211、源代码目录和项目权限安全监控流程 13610712、与源代码相关人员离职审查流程 1316853七、表单 13271221、见B07离职交接表单 14141252、见B09《重要应用系统权限评审表》 1460723、见（B09）《重要服务器-应用系统清单》 1447564、外部借阅审批表 14115105、软件获取申请表 14234496、信息安全规范检查记录表 15

管理目标保证源代码和开发文档的完整性。规范源代码的授权获取、复制、传播。提高技术人员及管理人员对源代码及开发文档损伤、丢失、被恶意获取、复制、传播的风险安全防范意识。管控项目程序开发过程中存在的相关安全风险。定性指标源代码库必须包括工作库、受控库、项目库和产品库。保证开发人员工作目录及其代码与工作库保存的版本相一致。开发人员要遵守修改过程完成后立即入库的原则。有完善的检查机制。有完善的备份机制。有生成版本的规则。生成的版本要进行完整性和可用性测试。对开发人员和管理人员要有源代码安全管理培训。对开发人员和管理人员访问代码要有相应的权限管理。源代码保存服务器要有安全权限控制。控制开发环境网络访问权限。管理策略建立管理组织结构制定管理规范制定评审标准执行管理监督组织结构源代码的管理相关方研发部项目管理部及管理人员工程技术人员测试部源代码管理人员源代码安全管理领导人员服务部组织职责信息安全管理工作小组：组织完成的任务是，建立管理组织结构、制定管理规范，制定评审标准，执行管理监督。具体完成的工作：协调制定源代码管理组织协调制定源代码分级管理规范制定源代码安全评审标准执行源代码安全规范的组织实施和监督，每季度进行一次权限控制检查及全面信息安全评估，对发现的问题要求整改，在下次检查前还没有完成整改的，进行相关的处理整顿。源代码向研发部门以外复制的授权审批。源代码管理人员：组织完成的任务是，完成系统建设、权限分派、建立目录结构与目录安全策略、部署服务器与建立服务器安全策略、完成备份策略。具体完成的工作：部署源代码管理服务器，完成服务器安全控制设置，并安装源代码管理软件。建立帐号，维护帐号，为帐号指派目录权限。开发人员，工程技术人员，只允许查看修改自有工作目录（允许签入签出）。工程技术主管只允许查看，不允许有修改（不允许签入签出）权限。测试部门只对发布前的版本有获取的权利，没有修改签入的权利。除测试文档外的目录外不与授权。联调整合代码：只授与经部门主管委托的有权限操作的人员。定期做好备份。测试部门：组织完成的任务是，版本库版本的完整性测试、可用性测试。具体工作如下：做好测试的组织、管理、设计、实施等工作。制定完整的测试方案。审核软件需求。审核设计规格说明功能验证。找出软件中潜在的各种错误和缺陷。完成集成测试、确认测试、系统测试。工程技术人员：实施获取版本后的安全控制风险，实施项目文件的入库规范操作。主要完成的工作：对外版本风险控制。项目实施细节文件编写。项目验收报告签署。项目完工后过程文件入库。服务部及管理人员：监督管理对工程技术人员的文档控制，版本安全风险控制。主要完成的工作：项目实施管理。监督项目进行过程中文档及软件的安全风险。评估项目实施过程中的其它风险。研发部：对工作库进行操作更新，保证工作库的安全风险防范。具体完成的工作：所有软件的源代码文件及相应的开发设计文档都必须加入到指定服务器的指定库中。在软件开始编写修改之前，其相应的设计文档和代码，必须先从工作库中取出编辑。在最终提交之前，需要进行一次更新操作，看是不是有冲突，冲突解决后，再做提交。配置管理人员：完成版本配置工作，进行软件发布，给出发布日期，以便开发、测试、项目、客户等相关人员参考。配置人员确定准备发布的版本号。版本号规范如下：软件版本由四部分组成：每一部分为主版本号，第二部分为次版本号，第三部分为修订版本号，第四部分软件修改编译后形成顺序版本号。第一部分：需求书版本。第二部分：对应需求书的软件版本号。第三部分：对应需求书功能做微小调整后的版本号。第四部分：软件修改编译后形成顺序版本号。服务部：分配部署用于源代码管理的服务器，配置源代码开发的网络环境，配合源代码管理人员完成服务器目录权限配置。主要完成的工作：根据源代码安全管理规范的要求配置服务器。配置安全的网络环境访问权限。配合源代码管理人员完成服务器目录权限的配置。3、与职能机构的协同管理主要维护与人力资源部的协作关系，要求人力资源部配合完成如下工作：须对与源代码相关人员进行入职背景调查。对与源代码相关人员的入职培训，重点进行公司规章制度中与源代码安全管理相关的培训。与源代码相关的离职人员，在经过人力资源部审核时，重点审核是否符合与源代码相关人员离职审批流程，是否出现异常状况，如存在严重安全隐患，主管人员应立即上报进行处理。应维护与特定相关方、其他专业安全论坛和专业协会的适当联系。管理制度（见文档《源代码安全管理制度.docx》）管理流程服务器部署流程结束源代码管理人员提出服务器配置方案主管领导审批结束源代码管理人员提出服务器配置方案主管领导审批进入采购流程交付服务部配置部署维护人员安装操作系统并作安全策略配置源代码管理人员安装配置VSS或SVN交付服务人员作目录权限配置源代码管理人检查目录权限配置结果是否合规是否合规是否源代码管理软件配置流程结束开发主管提出人员配置及目录结构方案交付源代码管理人员结束开发主管提出人员配置及目录结构方案交付源代码管理人员建立相应目录结构交付开发人员建立本地工作目录源代码管理人员为每一个开发人员建立帐号开发人员登录VSS或SVN测试权限是否可用是否开发人员修改帐号密码源代码管理人员为每一个开发帐号配置目录权限开发主管检查配置是否合规是否源代码创建修改流程结束开发人员在本地工作目录下建立源代码文件结束开发人员在本地工作目录下建立源代码文件开发人员登录源代码管理软件开发人员签出源代码新增提交到对应目录中开发人员签入源代码开发人员修改源代码版本控制流程结束开发主管结束开发主管收到用户需求书转变为软件需求书后确定版本第一位编号开发主管依据软件需求书完成软件设计书后确定第二位编号开发人员在代码开发过程中定义内部版本序列号，每一次编译代码产生第四位版本号开发人员在详细设计过程中形成的版本确定第三位编号开发主管确定内部组件版本号第四位的某一个版本为可发布的版本号软件配置人员发布软件版本源代码测试流程（组件测试）通过？是通过？是否执行源代码创建修改流程结束开发人员发布最终编译版本测试人员获取编译版本测试人员编写测试用例测试人员与开发人员评估测试用例测试人员完成测试报告测试人员完成测试测试部执行发布流程通过？是否组件发布流程结束测试人员测结束测试人员测试组件开发人员提交组件测试通过后确定版本号发布组件软件发布流程开发主管发出软件发布指令结束开发主管发出软件发布指令结束软件配置人员从发布的组件中提取发布版本配置人员获取软件功能描述编制发布软件的功能表及规格书测试部门进入测试流程进行测试将软件包提交测试部门测试测试通过后确定发布版本号发布软件项目人员获取版本流程项目人员接受项目任务配置人员收到申请，将正确的版本移交给项目人员项目人员接受项目任务配置人员收到申请，将正确的版本移交给项目人员结束项目人员获取项目软件供应合同项目人员整理软件需求开发主管根据需求提供软件版本号项目人员向开发主管申请获取软件版本项目主管和开发主管共同签发提取版本申请外部借阅流程结束结束总经理审批开发主管确定借阅版本配置人员提供正确的版本给借阅人员开发主管向配置人员提出借阅申请借阅时间到配置人员向借阅人追缴归还借阅人员提出申请借阅人员与配置