Especificación de gestión de seguridad del código fuente

Tabla de contenido

una meta

2 preámbulo

1 Requisitos de seguridad

2 alcance de uso

3 Operación concreta

Tres garantías de integridad del código fuente

Acceso autorizado a cuatro códigos fuente

Copia y difusión de cinco códigos

Gestión diaria de seis plataformas de código fuente

Siete resumen

---

una meta

        Para proteger los derechos de propiedad intelectual de la empresa, controlar eficazmente la integridad y la confidencialidad del código fuente de datos importantes de la empresa y garantizar que no se adquiera, copie, difunda ni cambie sin autorización, puede consultar esta especificación de gestión de seguridad del código fuente. para la gestión;

2 preámbulo

1 Requisitos de seguridad

        El código fuente incluye el código del programa escrito por el desarrollador para realizar la función, los documentos de desarrollo y diseño correspondientes y los materiales relacionados, y los módulos clave que deben protegerse incluyen: módulos de información confidencial, como algoritmos de cifrado y descifrado, etc. Módulos lógicos básicos, como la biblioteca de clase básica de operación de base de datos. Para los módulos clave, se adoptan para la protección varios métodos efectivos, como la nomenclatura sólida de ensamblados, la ofuscación, el cifrado y el control de autoridad.

2 alcance de uso

Esta especificación se aplica a todo el personal en varios puestos involucrados en el acceso al código fuente, incluido el personal de subcontratación de terceros, y todo el personal debe seguir esta especificación.

3 Operación concreta

Se requiere que todo el personal, incluido el personal de terceros, firme un acuerdo de confidencialidad, especifique las obligaciones de confidencialidad, comprenda varias normas de confidencialidad y las implemente estrictamente.

Tres garantías de integridad del código fuente

1. Todos los archivos de código fuente de software y los documentos de desarrollo y diseño correspondientes se agregarán al almacén de administración de código fuente designado en el servidor de código fuente designado a tiempo.
2. El software de terceros, los controles y otras bibliotecas de soporte necesarias para que el software se ejecute también deben agregarse a la biblioteca especificada en el servidor de código fuente a tiempo.
3. Antes de que el software pueda escribirse o codificarse, sus documentos de diseño correspondientes deben verificarse en un repositorio de control de código fuente. Antes de enviar la codificación del software o el ajuste de la función al departamento de soporte técnico para su prueba y verificación, el código fuente correspondiente debe verificarse en el almacén de gestión del código fuente.
4. Al probar el código, el departamento de soporte técnico debe obtener el código del almacén de administración de código fuente en el servidor de código fuente, incluido el software de terceros, los controles y otras bibliotecas de soporte necesarios, y luego realizar una prueba de compilación integrada.

Acceso autorizado a cuatro códigos fuente

1. El servidor de código fuente establece una autorización de acceso basada en identidad y contraseña a nivel del sistema operativo para acceder al repositorio de administración de código fuente compartido.
2. Configure usuarios en el repositorio de administración de código fuente y asigne diferentes permisos de acceso mínimo adecuados para el trabajo a diferentes usuarios.
3. Es necesario verificar la identidad del usuario y la contraseña en el almacén de administración del código fuente al conectarse al almacén de administración del código fuente. En el almacén de gestión de código fuente, es necesario tratar los derechos de acceso, los derechos de creación, los derechos de edición, los derechos de eliminación y los derechos de destrucción de los diferentes usuarios de manera diferente. Controle estrictamente los permisos de lectura y escritura del usuario y asigne permisos según el principio de permisos mínimos; cuando los desarrolladores ya no necesiten actualizar el código fuente del sistema de información relevante, deben eliminar la cuenta a tiempo.
4. Después de cambiar la tarea de trabajo, la autoridad relevante del usuario debe revocarse en tiempo real, y la gestión del almacén de gestión del código fuente requiere el establecimiento de un sistema de gestión de personas dedicado. Todo usuario común garantiza que su identidad de usuario y contraseña no serán divulgadas. Los usuarios deben cambiar a menudo la contraseña de su cuenta en la base de datos de VSS.
5. Las computadoras que involucren y accedan a los códigos fuente deben estar dedicadas a personal especial, y nadie más puede operar y usar esta computadora sin la autorización del gerente del departamento de I+D. El propietario de esta computadora no aceptará ni ignorará el uso no autorizado de esta computadora por parte de otras personas. La autorización para usar la computadora que involucre y toque el código fuente es emitida solo por el gerente del departamento de I + D, y nadie más tiene derecho a ejecutar esta autorización.
6. Antes de que una computadora que ha estado involucrada o tocado el código fuente se use para otros fines o deje el departamento de I+D, el administrador de la red debe borrar completamente el código fuente almacenado en el disco duro de la computadora. Si no está seguro, todas las unidades de disco duro de la computadora deben estar completamente formateadas antes de que puedan usarse para otros fines o dejar el departamento de I+D.
7. Los dispositivos de almacenamiento externo no deben conectarse directamente a equipos informáticos de I+D. Si es necesario copiar archivos, debe hacerse en una computadora pública designada por el departamento unificado de I+D bajo la supervisión de los administradores de red. Esta computadora pública no tocará, accederá ni almacenará archivos de código fuente en ningún momento.
8. A través del aislamiento del segmento de red, las computadoras del departamento de I + D solo pueden formar una red de área local por sí mismas y garantizar que otros segmentos de la red no puedan acceder a la red del departamento de I + D y al equipo informático en la red.

Copia y difusión de cinco códigos

1. Los archivos de código fuente, incluidos los materiales técnicos, como los documentos de diseño, no se transmitirán en entornos de red relacionados con el extranjero, como QQ, MSN y correo electrónico.
2. La copia del código fuente fuera del departamento de I+D deberá obtener la autorización por escrito del director general. Y es necesario registrar el copiador, el aprobador, la hora de la copia, el propósito de la copia, el flujo del archivo, la versión del archivo o el contenido.
3. La copia de seguridad del código fuente almacenado en cualquier forma de medio debe ser conservada por una persona designada. Para el préstamo de estos medios, los utilizados dentro del departamento de I+D deberán ser autorizados por el responsable del departamento de I+D, y los utilizados fuera del departamento de I+D deberán ser autorizados por escrito por el director general.
4. Para las listas de códigos fuente, documentos de diseño, etc. que existen en papel, se requiere personal especial para gestionarlos. Para el préstamo, distribución, copia, etc., de estos materiales en papel, siempre que no sean de uso interno del departamento de I+D+i, se debe obtener autorización por escrito del director general, se limita al departamento de I+D+i y la autorización por escrito del director general también se requiere para dejar el departamento de I + D.
5. Para aquellos que necesitan copiar, difundir y distribuir el código fuente debido a necesidades de cooperación, ya sea todo o parte del código y los materiales, es necesario firmar un acuerdo de confidencialidad de tecnología y código fuente con la otra parte para aclarar la responsabilidad de la otra parte de mantener la confidencialidad y obligación del código fuente.

Gestión diaria de seis plataformas de código fuente

1. Los archivos de código fuente del software y los documentos de desarrollo y diseño correspondientes se agregarán a la biblioteca designada del servidor de código fuente designado a tiempo.
2. La plataforma de gestión del código fuente no almacenará ninguna configuración del entorno de producción, incluidos, entre otros, la dirección IP, el número de puerto, la contraseña de la base de datos, etc.
3. Inspeccione regularmente las cuentas de la plataforma de administración de código fuente, elimine las cuentas no válidas o que ya no se usan y organice los permisos de la cuenta.
4. Verifique el uso de cada proyecto en la plataforma de administración de código fuente durante la fase de lanzamiento del proyecto, incluidas, entre otras, las verificaciones de espacio en el disco duro, las verificaciones de estandarización de directorios y las verificaciones de archivos.
5. Inspeccione periódicamente el estado de uso del servidor de la plataforma de gestión de código fuente. El contenido de la inspección incluye, entre otros, la inspección del rendimiento del servidor, la inspección periódica de copias de seguridad y la inspección de seguridad del servidor.
6. El informe operativo trimestral de la plataforma de código fuente se emite cada trimestre.
7. Realice periódicamente la detección de vulnerabilidades de la plataforma de administración de código fuente y el mantenimiento de varias versiones de parches.

Siete resumen

Este documento es principalmente orientativo y debe ajustarse y revisarse de acuerdo con la situación específica.