ゴール

会社の知的財産権を保護し、会社の重要なデータソースコードの完全性と機密性を効果的に管理し、許可なく取得、コピー、配布、変更されないようにするには、このソースコードセキュリティ管理仕様を参照してください。管理用。

2 プリアンブル

1 セキュリティ要件

ソースコードには、機能を実現するために開発者が記述したプログラムコード、対応する開発・設計文書および関連資料が含まれ、保護される主要なモジュールには、暗号化および復号アルゴリズムなどの機密情報のモジュールなどが含まれます。データベース操作基本クラスライブラリなどの基本ロジックモジュール。主要なモジュールについては、強力なアセンブリ命名、難読化、暗号化、権限制御などのさまざまな効果的な方法が保護のために採用されています。

2 使用範囲

この仕様は、サードパーティのアウトソーシング担当者を含む、ソースコードへのアクセスに関与するさまざまな立場のすべての担当者に適用され、すべての担当者はこの仕様に従う必要があります。

3 具体操作

第三者の担当者を含むすべての担当者は、機密保持契約に署名し、機密保持義務を明記し、さまざまな機密保持規定を理解し、それらを厳格に履行する必要があります。

3 つのソースコード完全性保証

すべてのソフトウェアソースコードファイルおよび対応する開発および設計ドキュメントは、指定されたソースコードサーバー内の指定されたソースコード管理ウェアハウスに適時に追加されるものとします。
サードパーティのソフトウェア、コントロール、およびソフトウェアの実行に必要なその他のサポートライブラリも、ソースコードサーバー上の指定されたライブラリに適時に追加する必要があります。
ソフトウェアを作成またはコード化する前に、対応する設計ドキュメントをソース管理リポジトリにチェックインする必要があります。ソフトウェアのコーディングまたは機能調整をテストおよび検証のためにテクニカルサポート部門に提出する前に、対応するソースコードをソースコード管理ウェアハウスにチェックインする必要があります。
コードをテストするとき、テクニカルサポート部門は、必要なサードパーティソフトウェア、コントロール、その他のサポートライブラリを含むコードをソースコードサーバー上のソースコード管理ウェアハウスから取得し、統合コンパイルテストを実施する必要があります。

4 つのソースコードへの許可されたアクセス

ソースコードサーバーは、共有ソースコード管理リポジトリにアクセスするための、オペレーティングシステムレベルの ID およびパスワードベースのアクセス許可を確立します。
ソースコード管理リポジトリにユーザーを設定し、作業に適した異なる最小アクセス権限をユーザーごとに割り当てます。
ソースコード管理ウェアハウスに接続するときに、ソースコード管理ウェアハウスのユーザー ID とパスワードを検証する必要があります。ソースコード管理ウェアハウスでは、ユーザーごとにアクセス権、作成権、編集権、削除権、破棄権を別々に扱う必要があります。ユーザーの読み取りおよび書き込み権限を厳密に管理し、最小限の権限の原則に基づいて権限を割り当て、開発者が関連する情報システムのソースコードを更新する必要がなくなった場合は、適時にアカウントを削除する必要があります。
作業タスクが変更された後は、ユーザーの関連権限をリアルタイムで取り消す必要があり、ソースコード管理倉庫の管理には専用の担当者管理システムの確立が必要です。すべての一般ユーザーは、自分のユーザー ID とパスワードが公開されないことを保証します。ユーザーは、VSS データベース内の自分のアカウントのパスワードを頻繁に変更する必要があります。
ソースコードに関与し、ソースコードにアクセスするコンピュータは特別な担当者専用でなければならず、研究開発部門の管理者の許可なしに他の人がこのコンピュータを操作および使用することはできません。このコンピュータの所有者は、他人によるこのコンピュータの無許可使用に同意したり、無視したりしてはなりません。ソースコードに触れるコンピュータの使用許可は研究開発部門の責任者のみが発行し、それ以外の者にはこの許可を実行する権利はありません。
ソースコードに関与したりソースコードに触れたコンピュータを他の目的に使用したり、研究開発部門から離れたりする前に、ネットワーク管理者はコンピュータのハードディスクに保存されているソースコードを完全に消去する必要があります。よくわからない場合は、コンピュータ内のすべてのハードドライブを他の目的に使用したり、研究開発部門から離れたりする前に、完全にフォーマットする必要があります。
外部記憶装置は研究開発用コンピュータ機器に直接接続しないでください。ファイルのコピーが必要な場合は、ネットワーク管理者の監督のもと、統合研究開発部門が指定する共用コンピュータ上で行う必要があります。この公共のコンピュータは、いかなるときもソースコードファイルに触れたり、アクセスしたり、保存したりしてはなりません。
ネットワークセグメントの分離により、研究開発部門のコンピュータはそれ自体でローカルエリアネットワークのみを形成でき、他のネットワークセグメントが研究開発部門のネットワークおよびネットワーク内のコンピュータ機器にアクセスできないようにします。

5 つのコードのコピーと配布

設計書などの技術資料を含むソースコードファイルは、QQ、MSN、電子メールなどの海外関連のネットワーク環境で送信してはなりません。
研究開発部門外でソースコードをコピーする場合は、部長の書面による許可を得る必要があります。そして、コピー者、承認者、コピー時間、コピー目的、ファイルの流れ、ファイルのバージョンや内容を記録する必要があります。
あらゆる形式のメディアに保存されたソースコードのバックアップは、指定された担当者が保管する必要があります。これらのメディアの貸与については、研究開発部門内で使用する場合は研究開発部門長の許可が必要であり、研究開発部門外で使用する場合は部長の書面による許可が必要です。
紙で存在するソースコードリストや設計書などは、管理するための専門の人員が必要になります。これらの紙資料の借用、頒布、複写等については、研究開発部門内で使用する場合を除き、研究開発部門内に限り、部長の書面による許諾が必要となります。研究開発部門を退職する場合には部長職の辞任も必要となります。
協力の必要によりソースコードを複製、普及、頒布する必要がある者は、コードや資料の全部または一部であっても、相手方と技術およびソースコードの秘密保持契約を締結し、内容を明確にする必要があります。ソースコードの機密保持に対する相手方の責任と義務。

6 つのソースコードプラットフォームの日常管理

ソフトウェアのソースコードファイルおよび対応する開発および設計ドキュメントは、指定されたソースコードサーバーの指定されたライブラリに適時に追加されるものとします。
ソースコード管理プラットフォームには、IP アドレス、ポート番号、データベースパスワードなどを含む (ただしこれらに限定されない) 運用環境の構成は保存されません。
ソースコード管理プラットフォームのアカウントを定期的に検査し、無効なアカウントや使用されなくなったアカウントを削除し、アカウントの権限を整理します。
プロジェクトの起動段階で、ソースコード管理プラットフォーム上の各プロジェクトの使用状況を確認します。これには、ハードディスク容量のチェック、ディレクトリの標準化のチェック、アーカイブのチェックなどが含まれますが、これらに限定されません。
ソースコード管理基盤のサーバーの利用状況を定期的に検査し、検査内容はサーバーの性能検査、定期的なバックアップ検査、サーバーのセキュリティ検査などに限定されません。
ソースコードプラットフォームの四半期運用報告書は四半期ごとに発行されます。
ソースコード管理プラットフォームの脆弱性検出や各種パッチのバージョンメンテナンスを定期的に実施します。

7つのまとめ

この文書は主にガイダンスを目的としており、特定の状況に応じて調整および改訂する必要があります。

ソースコードセキュリティ管理仕様

ゴール