源代码安全管理制度范文(2篇).pdfVIP

源代码安全管理制度范文

1总则

1.1.为有效控制管理源代码的完整性，确保其不被非授权获取、

复制、传播和更改，明确源代码控制管理流程，特制定此管理制度(以

下简称制度)。

1.2.本办法所指源代码包括开发人员自行编写实现功能的程序代

码，相应的开发设计文档及相关资料，属于明确注明的商业秘密，须

纳入源代码管理体系。

1.3.本制度适用于所有涉及接触源代码的各岗位，所涉及人员都

必须严格执行本管理办法。

1.4.所有人员入职均需签订必威体育官网网址协议，明确必威体育官网网址义务，了解包含

此制度在内的各项必威体育官网网址规定并严格执行。

1.5.重点保护的关键模块包括。敏感信息的模块，如加解密算法

等。基本逻辑模块，如如数据库操作基本类库。对关键模块，采取程

序集强命名、混淆、加密、权限控制等各种有效方法进行保护。

2源代码完整性保障

2.1.所有软件的源代码文件及相应的开发设计文档均必须及时加

入到指定的源代码服务器中的指定svn库中。

2.2.我们研发的产品软件运行所必须的第三方软件、控件和其它

支撑库等文件也必须及时加入源代码服务器中指定的svn库中。

2.3.软件开始编写或者调整代码之前，其相应的设计文档必须签

入svn库。软件编码或功能调整结束提交技术支撑部测试验证之前，

相应的源代码必须签入svn库。

第1页共9页

2.4.第八条

技术支撑部门对代码的测试时必须从源代码服务器上的svn库中

获取代码，包括必须的第三方软件、控件和其它支撑库等文件，然后

进行集成编译测试。

3源代码的授权访问

3.1.源代码服务器对于共享的svn库的访问建立操作系统级的，

基于身份和口令的访问授权。

3.2.在svn库中设置用户，并为不同用户分配不同的，适合工作

的最小访问权限。

3.3.要求连接svn库时必须校验svn中用户身份及其口令。在

svn库中要求区别对待不同用户的可访问权、可创建权、可编辑权、可

删除权、可销毁权。严格控制用户的读写权限，应以最低权限为原则

分配权限；开发人员不再需要对相关信息系统源代码做更新时，须及

时删除账号

3.4.工作任务变化后要实时回收用户的相关权限，对svn库的管

理要求建立专人管理制度专人专管。每个普通用户切实保证自己的用

户身份和口令不泄露。用户要经常更换自己在vss库中账号的口令。

3.5.涉及、接触源代码的计算机必须建立专人专用制度，任何其

他人不得在未获得研发部经理授权的情况下操作和使用此计算机。此

计算机的专用人也不得私自同意或者漠视他人非获得授权使用本计算

机。对涉及、触及源代码计算机的使用授权仅由研发部经理发出，其

他人都无权执行此授权。

3.6.曾经涉及、触及源代码的计算机在转作它用，或者离开研发

部门之前必须由网络管理人员全面清除计算机硬盘中存储的源代码。

第2页共9页

如果不能确定，必须对计算机中所有硬盘进行全面格式化后方可以转

做它用或离开研发部门。

3.7.外来存储设备不得直接连接到研发部门的计算机设备上。如

需拷贝文件，必须通过统一的研发部指定的公用计算机上在网管人员

监督之下进行。此公用计算机在任何时候不得接触、访问、存储源代

码文件。

3.8.通过网段隔离方式使研发部的计算机只能自行组成局域网，

并保证其它网段不能访问到研发部的网络和网络中的计算机设备。

4源代码复制和传播

4.1.任何源代码文件包括设计文档等技术资料不得利用如、msn、

邮件等涉外网络环境形式进行传输。

4.2.源代码向研发部门以外复制必须获得总经理的书面授权。并

必需记录复制人、批准人、复制时间、复制目的、文件流向、文件版

本或内容。

4.3.源代码以任何介质形式进行存储的备份，必须由专人负责保

管。对于这些介质地借阅，用于研发部内部使用的必须获得研发部经

理的授权，对于用于研发部以外使用的必须获得总经理的书面授权。

4.4.对于以纸质形式存在的源代码清单、设计文档等，需进行专

人管