源代码安全管理制度1 总则1.1. 为有效控制管理源代码的完整性,确保其不被非授权猎取、复制、传播和更改,明确源代码控制管理流程,特制定此管理制度(以下简称制度).1.2. 本办法所指源代码包括开发人员自行编写实现功能的程序代码,相应的开发设计文档及相关资料,属于明确注明的商业秘密,须纳入源代码管理体系。1.3. 本制度适用于所有涉及接触源代码的各岗位,所涉及人员都必须严格执行本管理办法。1.4. 所有人员入职均需签订保密协议,明确保密义务,了解包含此制度在内的各项保密规定并严格执行。1.5. 重点保护的关键模块包括: 敏感信息的模块,如加解密算法等.基本逻辑模块,如如数据库操作基本类库。对关键模块,实行程序集强命名、混淆、加密、权限控制等各种有效方法进行保护。2源代码完整性保障2.1. 所有软件的源代码文件及相应的开发设计文档均必须及时加入到指定的源代码服务器中的指定 SVN 库中。2.2. 我们研发的产品软件运行所必须的第三方软件、控件和其它支撑库等文件也必须及时加入源代码服务器中指定的 SVN 库中。2.3. 软件开始编写或者调整代码之前,其相应的设计文档必须签入 SVN 库。软件编码或功能调整结束提交技术支撑部测试验证之前,相应的源代码必须签入 SVN 库.2.4. 第八条 技术支撑部门对代码的测试时必须从源代码服务器上的 SVN 库中猎取代码,包括必须的第三方软件、控件和其它支撑库等文件,然后进行集成编译测试。3 源代码的授权访问3.1. 源代码服务器对于共享的 SVN 库的访问建立操作系统级的,基于身份和口令的访问授权。3.2. 在 SVN 库中设置用户,并为不同用户分配不同的,适合工作的最小访问权限。3.3. 要求连接 SVN 库时必须校验 SVN 中用户身份及其口令。在 SVN 库中要求区别对待不同用户的可访问权、可创建权、可编辑权、可删除权、可销毁权。严格控制用户的读写权限,应以最低权限为原则分配权限;开发人员不再需要对相关信息系统源代码做更新时,须及时删除账号3.4. 工作任务变化后要实时回收用户的相关权限,对 SVN 库的管理要求建立专人管理制度专人专管。每个普通用户切实保证自己的用户身份和口令不泄露。用户要常常更换自己在VSS 库中账号的口令。3.5. 涉及、接触源代码的计算机必须建立专人专用制度,任何其他人不得在未获得研发部经理授权的情况下操作和使用此计算机。此计算机的专用人也不得私自同意或者漠视他人非获得授权使用本计算机.对涉及、触及源代...
