源代碼安全管理組織角色及各崗位執(zhí)行策略

目錄

一、源代碼管理安全的組織結(jié)構(gòu)及角色職能定義..........................2

二、職責(zé)分離.........................................................3

三、相關(guān)角色、相關(guān)部門執(zhí)行策略......................................6

1、監(jiān)督檢查小組（監(jiān)督崗）執(zhí)行策略：............................6

2、源代碼管理人員及運營服務(wù)器配置管理（管理崗）執(zhí)行策略........7

3、源代碼研發(fā)人員（所有者）執(zhí)行策略：..........................8

4、源代碼使用人員（用戶）執(zhí)行策略..............................8

目的：建立一個管理框架，以啟動和控制組織內(nèi)源代碼管理安全策略的實

現(xiàn)和運行。

本文檔的主要名詞解釋：

角色：源代碼管理中相關(guān)人員權(quán)限分派的標識，據(jù)此給相關(guān)組織人員分派訪

問許可和權(quán)限。

組織：負責(zé)源代碼管理安全策略中各部分策略實際實施的機構(gòu)。

受控庫：具有創(chuàng)建、修改、刪除等操作權(quán)限的源代碼所有者日常工作的源碼

代碼存諸庫。

版本庫：源代碼編譯后或腳本代碼打包后生成的具有版本編號的、可發(fā)布的

組件或集成軟件存儲庫。

職能：具有某一角色的各部組織人員的工作范圍。

職責(zé)：具有相應(yīng)工作職能的組織人員應(yīng)承擔(dān)的管理責(zé)任，即職能和責(zé)任。

策略：此處指源代碼管理的安全規(guī)范集合，統(tǒng)稱源代碼管理安全策略。

一、源代碼管理安全的組織結(jié)構(gòu)及角色職能定義

1、源代碼管理安全監(jiān)督檢查小組：

(1)角色：監(jiān)督崗。

(2)成員構(gòu)成(3人)：

服務(wù)一人、測試一人、研發(fā)一人。

(3)職能定義：一季一次檢查源代碼安全規(guī)范的組織實施情況，并及時向主管

領(lǐng)導(dǎo)提交執(zhí)行情況的報告，對出現(xiàn)的問題反饋給相關(guān)執(zhí)行人員限期解決。

2、源代碼管理人員：

(1)角色:管理崗。

(2)成員構(gòu)成(2人)：

源代碼庫管理一人，服務(wù)人員一人。

(3)職能定義：完成系統(tǒng)建設(shè)、權(quán)限分派、建立目錄結(jié)構(gòu)與目錄安全策略、部

署服務(wù)器與建立服務(wù)器安全策略、完成備份策略的，避免源代碼及其生成版本丟

失、損壞的風(fēng)險，及非法復(fù)制傳播的風(fēng)險。

3、源代碼研發(fā)人員：

(1)角色：所有者。

(2)成員構(gòu)成

研發(fā)部。

(3)職能定義：對受控庫有權(quán)限的目錄下源代碼進行創(chuàng)建、修改等操作更新，

保證受控庫代碼簽出修改后的及時簽入，避免源代碼丟失、損壞以及非正常修改

的風(fēng)險。

4、源代碼使用人員：

(1)角色：用戶。

(2)成員構(gòu)成(4個相關(guān)方)

服務(wù)人員，測試人員，最終客戶，相關(guān)第三方。

(3)職能定義：因項目安裝，系統(tǒng)測試、客戶售賣，相關(guān)方借閱等需求，須獲

得源代碼或相關(guān)編譯版本的使用權(quán)限的人員或組織，具有在合同和協(xié)議規(guī)定范圍

內(nèi)，保證相關(guān)代碼和軟件版本不被復(fù)制傳播或丟失損壞的風(fēng)險。

二、職責(zé)分離

源代碼管理安全角色對應(yīng)的公司職能部門及其職責(zé)如下：

1、監(jiān)督崗：源代碼管理安全監(jiān)督檢查小組

(1)監(jiān)查小組：以季度為單位進行權(quán)限控制檢查，以季度為單位進行全面

信息安全評估，對發(fā)現(xiàn)的問題要求整改，在下次檢查前還沒有完成整改的，進行

相關(guān)的處理整頓。

匯報對象：源代碼監(jiān)查小組領(lǐng)導(dǎo)。

反饋對象：被檢查的織織機構(gòu)主管人員。

(2)源代碼監(jiān)查小組領(lǐng)導(dǎo)：根據(jù)公司實際經(jīng)營情況，組織小組成員建立管

理組織結(jié)構(gòu)，制定管理規(guī)范以及評審標準，監(jiān)管、督促源代碼安全管理的有效執(zhí)

行，以及源代碼向研發(fā)部門以外復(fù)制的授權(quán)審批C

領(lǐng)導(dǎo)對象：監(jiān)查小組

監(jiān)督對象：源代碼管理安全相關(guān)組織機構(gòu)。

(3)服務(wù)部門監(jiān)查人員：監(jiān)查小組的檢查督導(dǎo)人員，主導(dǎo)對源代碼安全規(guī)

范執(zhí)行情況的監(jiān)查，并監(jiān)管小組成員的監(jiān)杳操作是否規(guī)范。

匯報對象：源代碼監(jiān)查小組領(lǐng)導(dǎo)

反饋對象：監(jiān)查小組其它成員。

(4)測試部門監(jiān)查人員：監(jiān)查小組的測試人員，輔助監(jiān)查，并負責(zé)源代碼

安全管理執(zhí)行的規(guī)范性測試和檢查，如源代碼帳戶授權(quán)、系統(tǒng)帳戶的授權(quán)測試,

網(wǎng)絡(luò)環(huán)境、源代碼安全的完整性可用性的測試等。

匯報對象：源代碼監(jiān)查小組領(lǐng)導(dǎo)

反饋對象：運營部主管，研發(fā)主管，源代碼管理人員。

(5)研發(fā)部門監(jiān)查人員：監(jiān)查小組的研發(fā)安全監(jiān)查人員，輔助監(jiān)查，負責(zé)

所涉源代碼接觸人員的操作權(quán)限檢查、本地源代碼工作目錄規(guī)范性檢查、研發(fā)環(huán)

境的安全規(guī)范檢查。

匯報對象：源代碼監(jiān)查小組領(lǐng)導(dǎo)

反饋對象：運營部主管、研發(fā)主管，源代碼管理人員。

2、管理崗：原測試部的源代碼管理人員、服務(wù)器配置維護運營人員

(1)運營人員配置并查驗源代碼管理服務(wù)器的系統(tǒng)帳戶安全，配置服務(wù)器目錄

權(quán)限控制，實施服務(wù)器環(huán)境及研發(fā)環(huán)境安全及網(wǎng)絡(luò)安全策略。

匯報對象：運營部主管

反饋對象：研發(fā)主管，源代碼管理人員

(2)服務(wù)主管：負責(zé)日常的研發(fā)網(wǎng)絡(luò)、源代碼存儲服務(wù)器網(wǎng)絡(luò)的維護和監(jiān)管，

通過對自動化系統(tǒng)檢測，對安全事件及時以短信通知到相關(guān)責(zé)任人。

匯報對象:服務(wù)總監(jiān)

反饋對象：運營環(huán)境配置人員

(3)源代碼管理人員配置SVN,soucesafe等源代碼管理軟件的安全權(quán)限。日常

查驗研發(fā)項目源代碼狀態(tài)狀況。填寫狀態(tài)記錄表，及時提交監(jiān)督崗相關(guān)人員。負

責(zé)對源代碼管理環(huán)境安全策略的實施。

匯報對象：研發(fā)主管、測試主管

反饋對象：相關(guān)研發(fā)人員、相關(guān)測試人員

3、所有者:平臺研發(fā)部、云計算與移動互聯(lián)網(wǎng)研發(fā)部、應(yīng)用創(chuàng)新部

(1)研發(fā)人員：建立濟發(fā)項目，建立本地源代碼管理工作目錄，提交受控牽管

理。負責(zé)研發(fā)源代碼更新源代碼。負責(zé)研發(fā)版本源代碼的完整性存儲。保證研發(fā)

版本源代碼的可用性。確定發(fā)布版本版本號。

匯報對象：研發(fā)主管

反饋對象：源代碼管理人員

(2)研發(fā)主管：每天一次對研發(fā)人員的相關(guān)源代碼的新建、更新進行完整性檢

查及代碼存儲的檢查，對研發(fā)人員研發(fā)帳號權(quán)限進行例行性檢查，保證每天班發(fā)

完成的源代碼不被丟失或損壞。

監(jiān)管對象：研發(fā)人員

反饋對象：研發(fā)人員、源代碼管理人員、人員

4、用戶：項目管理人員、客戶，測試部測試人員

(1)外部客戶：對持有的軟件及代碼負有對源代碼及其發(fā)布版本有保管保全的

責(zé)任。遵守合同或協(xié)議規(guī)定的與相關(guān)軟件及源代碼相關(guān)的安全責(zé)任條款。保證使

用環(huán)境及查閱代碼的的安全規(guī)范，對使用環(huán)境進行安全檢查，保證軟件及代碼不

被非法復(fù)制、損失和傳播。。

匯報對象：內(nèi)部相關(guān)責(zé)任人

反饋對象：外部客戶方安全環(huán)境維護人員

(2)內(nèi)部相關(guān)人員：對所獲取的相關(guān)源代碼文件有保證安全、不被非授權(quán)復(fù)制、

不被損壞和丟失的責(zé)任。獲取源代碼及其附屬文件須符合安全管理規(guī)范，執(zhí)行源

代碼安全管理的相關(guān)策略才丸行相關(guān)獲取流程。須執(zhí)行相關(guān)合同規(guī)定的安全要求。

對客戶方安全環(huán)境進行檢查，并在安全保證前提下授權(quán)使用。

匯報對象：源代碼監(jiān)查小組領(lǐng)導(dǎo)

監(jiān)管對象：客戶方使用人員及使用環(huán)境

反饋對象：外部客戶方安全環(huán)境維護人員、客戶方軟件及代碼使用人員。

三、相關(guān)角色、相關(guān)部門執(zhí)行策略

1、監(jiān)督檢查小組(監(jiān)督崗)執(zhí)行策略：

在監(jiān)查過程中，因監(jiān)查需要，需獲得某項權(quán)限時，需獲得源代碼監(jiān)查領(lǐng)導(dǎo)的

審核批準，再由源代碼管理人員分配，審查結(jié)束，因由源代碼管理人員注銷，另

此過程中的所有需求審批進行登記存檔。在監(jiān)查過程中，監(jiān)查小組成員只有讀取

權(quán)限，無編寫、修改的權(quán)限。

①對服務(wù)器權(quán)限進行審查。

②對源代碼目錄權(quán)限進行審查。

③對系統(tǒng)和數(shù)據(jù)的保密性和完整性進行如下檢查：

④對系統(tǒng)的維護的檢查

⑤監(jiān)查場地安全：保證辦公場地的安全。

⑥其他要求：各類日志文件或記錄文件應(yīng)保留6個月。

2、源代碼管理人員及服務(wù)器配置管理人員（管理崗）執(zhí)行策略

①源代碼管理人員的職責(zé)權(quán)限：源代碼管理人員執(zhí)行源代碼管理員權(quán)限。

②用戶權(quán)限控制

a）按崗位職能、安全級別以及權(quán)限最小化進行權(quán)限安全管理。

b）按安全策略要求嚴格分配用戶權(quán)限.

③系統(tǒng)的維護

a）源代碼安全管理人員的辦公計算機都必須安裝合法軟件，并保證操作系統(tǒng)

都能得到及時更新和維護。系統(tǒng)補丁在分發(fā)升級之前必須先做好兼容性等方面的

測試，以保證不影響系統(tǒng)。

b）應(yīng)建立防范計算機病毒的檢測、預(yù)防和恢復(fù)程序，辦公、生產(chǎn)計算機都必

須安裝正版防病毒軟件。病毒庫采用自動升級方式，并保證所有殺毒軟件都能得

到及時更新和維護。保證病毒庫為最新。病毒庫在分發(fā)升級之前必須先做好兼容

性等方面的測試，以保證不影響系統(tǒng)。

④維護辦公場地安全：保證日常辦公地點的辦公安全

3、源代碼研發(fā)人員（所有者）執(zhí)行策略：

①用戶權(quán)限控制

a）員工須得到本部門主管批準，才能申請開通源代碼管理系統(tǒng)工作帳號。

b）員工都必須使用自己的用戶ID和密碼登錄源代碼管理系統(tǒng)。

②目錄結(jié)構(gòu)控制

a）必須按統(tǒng)策略一規(guī)劃在本地建立個人工作目錄

b）在工作目錄進行源代碼的研發(fā)、創(chuàng)建、編輯。

c）當天完成的代碼，須保存在服務(wù)器上。確保一周結(jié)束時所有的源代碼都保

存在服務(wù)器上。

③保證代碼的保密性

a）涉密信息的文件或信息傳輸必須采用加密傳輸。

b）所有不再具備使用價值的信息的介質(zhì)都必須在其失效后一個工作日內(nèi)銷

毀，使之無法復(fù)原和再被使用。

c）數(shù)據(jù)處理的設(shè)備另作它用或更換存儲介質(zhì)時，必須在安全人員監(jiān)督下刪除

所有數(shù)據(jù)，并做好記錄。

d）數(shù)據(jù)處理的設(shè)備報廢時，必須物理銷毀設(shè)備中的存儲介質(zhì)，并做好記錄。

④保證代碼的完整性

保存在服務(wù)上的版本，應(yīng)與本地研發(fā)目錄下的版本內(nèi)容一致，注意確