【开发安全】源代码安全管理规范

一、 管理目标

1、 保证源代码和开发文档的完整性。

2、 规范源代码的授权获取、复制、传播。

3、 提高技术人员及管理人员对源代码及开发文档损伤、丢失、被恶意获取、复制、传播的风险安全防范意识。

4、 管控项目程序开发过程中存在的相关安全风险。

二、 定性指标

1、 源代码库必须包括工作库、受控库、项目库和产品库。

2、 保证开发人员工作目录及其代码与工作库保存的版本相一致。

3、 开发人员要遵守修改过程完成后立即入库的原则。

4、 有完善的检查机制。

5、 有完善的备份机制。

6、 有生成版本的规则。

7、 生成的版本要进行完整性和可用性测试。

8、 对开发人员和管理人员要有源代码安全管理培训

9、 对开发人员和管理人员访问代码要有相应的权限管理

10、 源代码保存服务器要有安全权限控制。

11、 控制开发环境网络访问权限。

三、 管理策略

1、 建立管理组织结构

2、 制定管理规范

3、 制定评审标准

4、 执行管理监督

四、 组织结构

1、 源代码的管理相关方

2、 组织职责

3、与职能机构的协同管理

4、 应维护与特定相关方、其他专业安全论坛和专业协会的适当联系。

五、 管理制度(见文档《源代码安全管理制度.docx》)

六、 管理流程

1、 服务器部署流程

2、 源代码管理软件配置流程

3、 源代码创建修改流程

4、 版本控制流程

5、 源代码测试流程(组件测试)

6、 组件发布流程

7、 软件发布流程

8、 项目人员获取版本流程

9、 外部借阅流程

10、 源代码目录工作状态安全监控流程

11、 源代码目录和项目权限安全监控流程

12、 与源代码相关人员离职审查流程

七、 表单

1、 见B07离职交接表单

2、 见B09《重要应用系统权限评审表》

3、 见(B09)《重要服务器-应用系统清单》

4、 外部借阅审批表

5、 软件获取申请表

6、 信息安全规范检查记录表

下载地址:https://t.zsxq.com/08Z7MHVeG

发表评论

电子邮件地址不会被公开。 必填项已用*标注