源代碼安全管理組織及各角色崗位執(zhí)行策略

源代碼安全管理組織角色及各崗位執(zhí)行策略

目錄

一、源代碼管理安全的組織結(jié)構(gòu)及角色職能定義..........................2

二、職責(zé)分離.........................................................3

三、相關(guān)角色、相關(guān)部門執(zhí)行策略......................................6

1、監(jiān)督檢查小組（監(jiān)督崗）執(zhí)行策略：............................6

2、源代碼管理人員及運(yùn)營(yíng)服務(wù)器配置管理（管理崗）執(zhí)行策略........7

3、源代碼研發(fā)人員（所有者）執(zhí)行策略：..........................8

4、源代碼使用人員（用戶）執(zhí)行策略..............................8

目的：建立一個(gè)管理框架，以啟動(dòng)和控制組織內(nèi)源代碼管理安全策略的實(shí)

現(xiàn)和運(yùn)行。

本文檔的主要名詞解釋：

角色：源代碼管理中相關(guān)人員權(quán)限分派的標(biāo)識(shí)，據(jù)此給相關(guān)組織人員分派訪

問許可和權(quán)限。

組織：負(fù)責(zé)源代碼管理安全策略中各部分策略實(shí)際實(shí)施的機(jī)構(gòu)。

受控庫(kù)：具有創(chuàng)建、修改、刪除等操作權(quán)限的源代碼所有者日常工作的源碼

代碼存諸庫(kù)。

版本庫(kù)：源代碼編譯后或腳本代碼打包后生成的具有版本編號(hào)的、可發(fā)布的

組件或集成軟件存儲(chǔ)庫(kù)。

職能：具有某一角色的各部組織人員的工作范圍。

職責(zé)：具有相應(yīng)工作職能的組織人員應(yīng)承擔(dān)的管理責(zé)任，即職能和責(zé)任。

策略：此處指源代碼管理的安全規(guī)范集合，統(tǒng)稱源代碼管理安全策略。

一、源代碼管理安全的組織結(jié)構(gòu)及角色職能定義

1、源代碼管理安全監(jiān)督檢查小組：

(1)角色：監(jiān)督崗。

(2)成員構(gòu)成(3人)：

服務(wù)一人、測(cè)試一人、研發(fā)一人。

(3)職能定義：一季一次檢查源代碼安全規(guī)范的組織實(shí)施情況，并及時(shí)向主管

領(lǐng)導(dǎo)提交執(zhí)行情況的報(bào)告，對(duì)出現(xiàn)的問題反饋給相關(guān)執(zhí)行人員限期解決。

2、源代碼管理人員：

(1)角色:管理崗。

(2)成員構(gòu)成(2人)：

源代碼庫(kù)管理一人，服務(wù)人員一人。

(3)職能定義：完成系統(tǒng)建設(shè)、權(quán)限分派、建立目錄結(jié)構(gòu)與目錄安全策略、部

署服務(wù)器與建立服務(wù)器安全策略、完成備份策略的，避免源代碼及其生成版本丟

失、損壞的風(fēng)險(xiǎn)，及非法復(fù)制傳播的風(fēng)險(xiǎn)。

3、源代碼研發(fā)人員：

(1)角色：所有者。

(2)成員構(gòu)成

研發(fā)部。

(3)職能定義：對(duì)受控庫(kù)有權(quán)限的目錄下源代碼進(jìn)行創(chuàng)建、修改等操作更新，

保證受控庫(kù)代碼簽出修改后的及時(shí)簽入，避免源代碼丟失、損壞以及非正常修改

的風(fēng)險(xiǎn)。

4、源代碼使用人員：

(1)角色：用戶。

(2)成員構(gòu)成(4個(gè)相關(guān)方)

服務(wù)人員，測(cè)試人員，最終客戶，相關(guān)第三方。

(3)職能定義：因項(xiàng)目安裝，系統(tǒng)測(cè)試、客戶售賣，相關(guān)方借閱等需求，須獲

得源代碼或相關(guān)編譯版本的使用權(quán)限的人員或組織，具有在合同和協(xié)議規(guī)定范圍

內(nèi)，保證相關(guān)代碼和軟件版本不被復(fù)制傳播或丟失損壞的風(fēng)險(xiǎn)。

二、職責(zé)分離

源代碼管理安全角色對(duì)應(yīng)的公司職能部門及其職責(zé)如下：

1、監(jiān)督崗：源代碼管理安全監(jiān)督檢查小組

(1)監(jiān)查小組：以季度為單位進(jìn)行權(quán)限控制檢查，以季度為單位進(jìn)行全面

信息安全評(píng)估，對(duì)發(fā)現(xiàn)的問題要求整改，在下次檢查前還沒有完成整改的，進(jìn)行

相關(guān)的處理整頓。

匯報(bào)對(duì)象：源代碼監(jiān)查小組領(lǐng)導(dǎo)。

反饋對(duì)象：被檢查的織織機(jī)構(gòu)主管人員。

(2)源代碼監(jiān)查小組領(lǐng)導(dǎo)：根據(jù)公司實(shí)際經(jīng)營(yíng)情況，組織小組成員建立管

理組織結(jié)構(gòu)，制定管理規(guī)范以及評(píng)審標(biāo)準(zhǔn)，監(jiān)管、督促源代碼安全管理的有效執(zhí)

行，以及源代碼向研發(fā)部門以外復(fù)制的授權(quán)審批C

領(lǐng)導(dǎo)對(duì)象：監(jiān)查小組

監(jiān)督對(duì)象：源代碼管理安全相關(guān)組織機(jī)構(gòu)。

(3)服務(wù)部門監(jiān)查人員：監(jiān)查小組的檢查督導(dǎo)人員，主導(dǎo)對(duì)源代碼安全規(guī)

范執(zhí)行情況的監(jiān)查，并監(jiān)管小組成員的監(jiān)杳操作是否規(guī)范。

匯報(bào)對(duì)象：源代碼監(jiān)查小組領(lǐng)導(dǎo)

反饋對(duì)象：監(jiān)查小組其它成員。

(4)測(cè)試部門監(jiān)查人員：監(jiān)查小組的測(cè)試人員，輔助監(jiān)查，并負(fù)責(zé)源代碼

安全管理執(zhí)行的規(guī)范性測(cè)試和檢查，如源代碼帳戶授權(quán)、系統(tǒng)帳戶的授權(quán)測(cè)試,

網(wǎng)絡(luò)環(huán)境、源代碼安全的完整性可用性的測(cè)試等。

匯報(bào)對(duì)象：源代碼監(jiān)查小組領(lǐng)導(dǎo)

反饋對(duì)象：運(yùn)營(yíng)部主管，研發(fā)主管，源代碼管理人員。

(5)研發(fā)部門監(jiān)查人員：監(jiān)查小組的研發(fā)安全監(jiān)查人員，輔助監(jiān)查，負(fù)責(zé)

所涉源代碼接觸人員的操作權(quán)限檢查、本地源代碼工作目錄規(guī)范性檢查、研發(fā)環(huán)

境的安全規(guī)范檢查。

匯報(bào)對(duì)象：源代碼監(jiān)查小組領(lǐng)導(dǎo)

反饋對(duì)象：運(yùn)營(yíng)部主管、研發(fā)主管，源代碼管理人員。

2、管理崗：原測(cè)試部的源代碼管理人員、服務(wù)器配置維護(hù)運(yùn)營(yíng)人員

(1)運(yùn)營(yíng)人員配置并查驗(yàn)源代碼管理服務(wù)器的系統(tǒng)帳戶安全，配置服務(wù)器目錄

權(quán)限控制，實(shí)施服務(wù)器環(huán)境及研發(fā)環(huán)境安全及網(wǎng)絡(luò)安全策略。

匯報(bào)對(duì)象：運(yùn)營(yíng)部主管

反饋對(duì)象：研發(fā)主管，源代碼管理人員

(2)服務(wù)主管：負(fù)責(zé)日常的研發(fā)網(wǎng)絡(luò)、源代碼存儲(chǔ)服務(wù)器網(wǎng)絡(luò)的維護(hù)和監(jiān)管，

通過對(duì)自動(dòng)化系統(tǒng)檢測(cè)，對(duì)安全事件及時(shí)以短信通知到相關(guān)責(zé)任人。

匯報(bào)對(duì)象:服務(wù)總監(jiān)

反饋對(duì)象：運(yùn)營(yíng)環(huán)境配置人員

(3)源代碼管理人員配置SVN,soucesafe等源代碼管理軟件的安全權(quán)限。日常

查驗(yàn)研發(fā)項(xiàng)目源代碼狀態(tài)狀況。填寫狀態(tài)記錄表，及時(shí)提交監(jiān)督崗相關(guān)人員。負(fù)

責(zé)對(duì)源代碼管理環(huán)境安全策略的實(shí)施。

匯報(bào)對(duì)象：研發(fā)主管、測(cè)試主管

反饋對(duì)象：相關(guān)研發(fā)人員、相關(guān)測(cè)試人員

3、所有者:平臺(tái)研發(fā)部、云計(jì)算與移動(dòng)互聯(lián)網(wǎng)研發(fā)部、應(yīng)用創(chuàng)新部

(1)研發(fā)人員：建立濟(jì)發(fā)項(xiàng)目，建立本地源代碼管理工作目錄，提交受控牽管

理。負(fù)責(zé)研發(fā)源代碼更新源代碼。負(fù)責(zé)研發(fā)版本源代碼的完整性存儲(chǔ)。保證研發(fā)

版本源代碼的可用性。確定發(fā)布版本版本號(hào)。

匯報(bào)對(duì)象：研發(fā)主管

反饋對(duì)象：源代碼管理人員

(2)研發(fā)主管：每天一次對(duì)研發(fā)人員的相關(guān)源代碼的新建、更新進(jìn)行完整性檢

查及代碼存儲(chǔ)的檢查，對(duì)研發(fā)人員研發(fā)帳號(hào)權(quán)限進(jìn)行例行性檢查，保證每天班發(fā)

完成的源代碼不被丟失或損壞。

監(jiān)管對(duì)象：研發(fā)人員

反饋對(duì)象：研發(fā)人員、源代碼管理人員、人員

4、用戶：項(xiàng)目管理人員、客戶，測(cè)試部測(cè)試人員

(1)外部客戶：對(duì)持有的軟件及代碼負(fù)有對(duì)源代碼及其發(fā)布版本有保管保全的

責(zé)任。遵守合同或協(xié)議規(guī)定的與相關(guān)軟件及源代碼相關(guān)的安全責(zé)任條款。保證使

用環(huán)境及查閱代碼的的安全規(guī)范，對(duì)使用環(huán)境進(jìn)行安全檢查，保證軟件及代碼不

被非法復(fù)制、損失和傳播。。

匯報(bào)對(duì)象：內(nèi)部相關(guān)責(zé)任人

反饋對(duì)象：外部客戶方安全環(huán)境維護(hù)人員

(2)內(nèi)部相關(guān)人員：對(duì)所獲取的相關(guān)源代碼文件有保證安全、不被非授權(quán)復(fù)制、

不被損壞和丟失的責(zé)任。獲取源代碼及其附屬文件須符合安全管理規(guī)范，執(zhí)行源

代碼安全管理的相關(guān)策略才丸行相關(guān)獲取流程。須執(zhí)行相關(guān)合同規(guī)定的安全要求。

對(duì)客戶方安全環(huán)境進(jìn)行檢查，并在安全保證前提下授權(quán)使用。

匯報(bào)對(duì)象：源代碼監(jiān)查小組領(lǐng)導(dǎo)

監(jiān)管對(duì)象：客戶方使用人員及使用環(huán)境

反饋對(duì)象：外部客戶方安全環(huán)境維護(hù)人員、客戶方軟件及代碼使用人員。

三、相關(guān)角色、相關(guān)部門執(zhí)行策略

1、監(jiān)督檢查小組(監(jiān)督崗)執(zhí)行策略：

在監(jiān)查過程中，因監(jiān)查需要，需獲得某項(xiàng)權(quán)限時(shí)，需獲得源代碼監(jiān)查領(lǐng)導(dǎo)的

審核批準(zhǔn)，再由源代碼管理人員分配，審查結(jié)束，因由源代碼管理人員注銷，另

此過程中的所有需求審批進(jìn)行登記存檔。在監(jiān)查過程中，監(jiān)查小組成員只有讀取

權(quán)限，無編寫、修改的權(quán)限。

①對(duì)服務(wù)器權(quán)限進(jìn)行審查。

②對(duì)源代碼目錄權(quán)限進(jìn)行審查。

③對(duì)系統(tǒng)和數(shù)據(jù)的保密性和完整性進(jìn)行如下檢查：

④對(duì)系統(tǒng)的維護(hù)的檢查

⑤監(jiān)查場(chǎng)地安全：保證辦公場(chǎng)地的安全。

⑥其他要求：各類日志文件或記錄文件應(yīng)保留6個(gè)月。

2、源代碼管理人員及服務(wù)器配置管理人員（管理崗）執(zhí)行策略

①源代碼管理人員的職責(zé)權(quán)限：源代碼管理人員執(zhí)行源代碼管理員權(quán)限。

②用戶權(quán)限控制

a）按崗位職能、安全級(jí)別以及權(quán)限最小化進(jìn)行權(quán)限安全管理。

b）按安全策略要求嚴(yán)格分配用戶權(quán)限.

③系統(tǒng)的維護(hù)

a）源代碼安全管理人員的辦公計(jì)算機(jī)都必須安裝合法軟件，并保證操作系統(tǒng)

都能得到及時(shí)更新和維護(hù)。系統(tǒng)補(bǔ)丁在分發(fā)升級(jí)之前必須先做好兼容性等方面的

測(cè)試，以保證不影響系統(tǒng)。

b）應(yīng)建立防范計(jì)算機(jī)病毒的檢測(cè)、預(yù)防和恢復(fù)程序，辦公、生產(chǎn)計(jì)算機(jī)都必

須安裝正版防病毒軟件。病毒庫(kù)采用自動(dòng)升級(jí)方式，并保證所有殺毒軟件都能得

到及時(shí)更新和維護(hù)。保證病毒庫(kù)為最新。病毒庫(kù)在分發(fā)升級(jí)之前必須先做好兼容

性等方面的測(cè)試，以保證不影響系統(tǒng)。

④維護(hù)辦公場(chǎng)地安全：保證日常辦公地點(diǎn)的辦公安全

3、源代碼研發(fā)人員（所有者）執(zhí)行策略：

①用戶權(quán)限控制

a）員工須得到本部門主管批準(zhǔn)，才能申請(qǐng)開通源代碼管理系統(tǒng)工作帳號(hào)。

b）員工都必須使用自己的用戶ID和密碼登錄源代碼管理系統(tǒng)。

②目錄結(jié)構(gòu)控制

a）必須按統(tǒng)策略一規(guī)劃在本地建立個(gè)人工作目錄

b）在工作目錄進(jìn)行源代碼的研發(fā)、創(chuàng)建、編輯。

c）當(dāng)天完成的代碼，須保存在服務(wù)器上。確保一周結(jié)束時(shí)所有的源代碼都保

存在服務(wù)器上。

③保證代碼的保密性

a）涉密信息的文件或信息傳輸必須采用加密傳輸。

b）所有不再具備使用價(jià)值的信息的介質(zhì)都必須在其失效后一個(gè)工作日內(nèi)銷

毀，使之無法復(fù)原和再被使用。

c）數(shù)據(jù)處理的設(shè)備另作它用或更換存儲(chǔ)介質(zhì)時(shí)，必須在安全人員監(jiān)督下刪除

所有數(shù)據(jù)，并做好記錄。

d）數(shù)據(jù)處理的設(shè)備報(bào)廢時(shí)，必須物理銷毀設(shè)備中的存儲(chǔ)介質(zhì)，并做好記錄。

④保證代碼的完整性

保存在服務(wù)上的版本，應(yīng)與本地研發(fā)目錄下的版本內(nèi)容一致，注意確