源代码安全管理制度.doc

源代码安全管理制度（初稿） 1 总则 1.1. 为有效控制管理源代码的完整性，确保其不被非授权获取、复制、传播和更改，明确源代码控制管理流程，特制定此管理制度(以下简称制度）. 1.2. 本办法所指源代码包括开发人员编写实现功能的程序代码，相应的开发设计文档及相关资料,全部须纳入源代码管理体系。 1.3. 本制度适用于所有涉及接触源代码的各岗位，所涉及人员都必须严格执行本管理办法。 2 源代码完整性保障 2.1. 所有软件的源代码文件及相应的开发设计文档均必须及时加入到指定的源代码服务器中的指定SVN库中。 2.2. 研发的产品软件运行所必须的第三方软件、控件和其它支撑库等文件也必须及时加入源代码服务器中指定的SVN库中. 3  源代码的授权访问 3.1. 源代码服务器对于共享的SVN库的访问建立操作系统级的，基于身份和口令的访问授权。 3.2. 在SVN库中设置用户，并为不同用户分配不同的,适合工作的最小访问权限。 3.3. 要求连接SVN库时必须校验SVN中用户身份及其口令。在SVN库中要求区别对待不同用户的可访问权、可创建权、可编辑权、可删除权、可销毁权。严格控制用户的读写权限，应以最低权限为原则分配权限；开发人员不再需要对相关信息系统源代码做更新时，须及时删除账号。 3.4. 工作任务变化后要实时回收用户的相关权限，对SVN库的管理要求建立专人管理制度专人专管。 3.5. 涉及、接触源代码的计算机必须建立专人专用制度，任何其他人不得在未获得研发部经理授权的情况下操作和使用此计算机.此计算机的专用人也不得私自同意或者漠视他人获得授权使用本计算机。对涉及、触及源代码计算机的使用授权仅由项目经理或部门经理发出,其他人都无权执行此授权。 3.6. 曾经涉及、触及源代码的计算机在转作它用，或者离开研发部门之前必须全面清除计算机硬盘中存储的源代码。如果不能确定，必须对计算机中所有硬盘进行全面格式化后方可以转做它用或离开研发部门。 3.7. 对公司每个软件产品的核心功能进行编译，核心功能源码交项目经理保管，其他研发人员开发项目时直接引用编译好的文件。如果需要修改核心功能，由研发人员提出，交由项目经理统一修改。 3.8. 公司所有软件及产品，全部通过公司的加密工具进行加密，每个软件及产品都要限定开发人员及开发电脑。每个软件及产品开发权限由项目经理进行管理。 4  源代码复制和传播 4.1. 任何源代码文件包括设计文档等技术资料不得利用如QQ、MSN、邮件等涉外网络环境形式进行传输。 4.2. 源代码向研发部门以外复制必须获得部门经理的授权。并必需记录复制人、批准人、复制时间、复制目的、文件流向、文件版本或内容。 5 软件的部署 5.1. 所有软件产品的部署要求必须为发布后的程序，严格禁止直接部署源码。  5.2. 所有软件产品部署前，必须通过公司的加密工具进行加密，加密后的产品只能在指定的机器上运行。