有些公司为了提高在IT圈的技术知名度,增加行业影响力,一些技术会定期将非核心业务源代码以公司级名义上传到源码开源平台,如GitHub。特此输出相关的安全检查规范
第一条 开源的代码项目可以为通用的解决方案,禁止将公司业务相关的核心代码上传到开源平台。
第二条 为保证上传的源代码未泄漏公司内部敏感信息(配置信息、密码、密钥、公司内网IP地址等),降低公司风险几率,在开源项目发布环节,引入安全检测机制。
第三条 安全检测是指对开源代码项目进行源代码审查,利用爬虫、关键字匹配等检测机制,检测代码中是否含有核心代码及公司内部敏感信息。
第四条 开发人员将需要开源项目所在的代码仓库地址、计划上传的开源平台等信息以邮件的方式发送给项目主管、部门负责人、技术负责人申请发布审批,待项目主管、部门负责人及技术负责人审批完成后,开发人员将原始邮件信息全部抄送给网络信息安全管理小组,申请发布前的安全检测。
第七条 网络信息安全管理小组接收到邮件后,与开发人员确认相关的细节信息,设置针对性的关键字,对源码进行爬虫扫描。扫描完成后,由网络信息安全管理小组进行人工确认,将检测结果邮件全部回复给开发人员、项目主管、部门负责人、技术负责人。
第八条 当检测过程中发现敏感信息,开发人员应将敏感信息删除或模糊化处置之后,再次邮件提交安全检测申请。
第九条 当开源项目代码上传到开源平台,如GitHub上之后,网络信息安全管理小组定期在GitHub上对公司上传的源代码进行不同特征的爬虫扫描,以防止漏检。
第十条 Github上的主账号由安全组进行管理,对公司名下的用户组及用户账号进行管理,用户账号遵循最小权限的原则开放权限,如repo管理员,repo管理员会分配给相应的开发人员进行repo管理。
第十一条 网络信息安全管理小组每季度对开源代码项目的安全检测次数进行统计回顾,确保持续跟踪。
