源代码管理指引

XXXX商业银行股份有限公司源代码管理指引（暂行）第一章总则第一条为确保XXXX商业银行（以下简称“本行”）信息系统代码安全，保障各业务系统不间断、安全及稳定运行，根据《计算机信息系统安全保护等级划分准则》、《商业银行信息科技风险管理指引》等有关法律、法规、规章及其他规范性文件，特制定本指引。第二条本指引适用于本行所有涉及和接触源代码的部门及岗位，所涉及部门必须严格执行本指引。第三条本指引所指源代码不仅限于针对软件或硬件开发的程序源代码，还包括相应的开发涉及文档及用于支撑各个系统运行所必须具备的第三方开源软件、控件及其他支持库等文件。第四条本指引所指程序源代码是指未经编译的、具有可读性、由开发人员编写的代码，涉及公司方自主知识产权的程序源代码不包含在内。第五条本指引所指源代码管理是指源代码编写规范管理和源代码日常管理。第六条本指引管理重点在于控制管理源代码的完整性，确保其不被非授权获取、复制、传播和更改。第二章职责与权限第七条信息技术部代码管理岗位负责对本行所有信息系统的源代码进行统筹管理，职责如下：（一）检查各应用系统《开发技术手册》中的源代码规范部分（以下简称《源代码规范》）。（二）在信息系统开发阶段，监督各应用系统源代码规范的执行情况。（三）负责源代码管理系统日常维护和定期检查，包括源代码管理系统空间管理、项目管理、人员管理、备份管理等。（四）在系统上线前检查各项目源代码建档、存档工作。（五）定期检查系统维护阶段的源代码的阶段性存档工作。（六）配合质量控制岗进行项目的项目编码质量评审。（七）根据安全管理相关策略及规范，制定源代码安全管理策略，并定期进行检查。第八条行内项目经理对相应项目源代码进行管理，职责如下：（一）为开发人员制定相应的源代码访问策略。（二）制定适用于该项目的命名规范及编码格式，形成《源代码规范》，并在项目开发期间指导和监督开发人员的源代码编写工作。（三）在信息系统各个阶段对源代码做历史修改检查，并做好存档工作。（四）配合代码管理员和质量控制岗对项目编码质量进行评审。第九条开发人员对各自项目负责的源代码进行管理，主要职责如下：（一）根据指定的访问策略管理本人的源代码。（二）根据源代码规范编写代码。（三）配合代码管理岗、质量控制岗和安全审计岗对个人编码质量进行评审。第三章原则与要求第十条本行所有存量及新开发信息系统必须纳入源代码管理体系。第十一条制定各信息系统的源代码编写规范应当遵循以下原则：（一）各应用系统应根据实际情况，制定切实可行的源代码规范，增强各信息系统源代码规范的可实施性。（二）源代码规范的执行应贯穿整个软件开发流程，包括开发、测试及后续升级阶段，使源代码规范具有可持续性。第十二条信息系统的源代码管理应遵循以下原则：（一）各应用系统应根据实际情况进行源代码管理。（二）源代码管理应覆盖项目软件的各个版本，源代码相关配置文件应不使用机密性生产配置参数。（三）代码管理岗位可向不合规项目的项目经理提出整改意见或建议，不得擅自更改各项目内容或更改用户权限。第四章管理内容第十三条源代码规范（一）项目编码阶段前项目经理应根据实际情况制定统一的命名规范、编码格式并形成《源代码规范》。（二）项目经理应监督开发人员对《源代码规范》的执行情况，代码管理岗位应定期检查《源代码规范》的实施状况。第十四条源代码管理（一）为各信息系统源代码在源代码管理平台中分配不同的空间，禁止多个信息系统共用一个空间。（二）源代码管理平台账号的管理1.为各账号分配适合工作的最小访问权限。2.严格控制用户的读写权限，应以最低权限为原则分配权限。3.为用户提供账号与密码，在连接源代码管理平台时必须校验用户身份及口令。4.定期巡检源代码管理平台账号使用情况。5.项目结束且开发人员不再需要对相关信息系统源代码做更新时，须及时删除账号。（三）源代码平台的日常管理1.软件的源代码文件及相应的开发涉及文档应及时加入指定的源代码服务器的指定库中。2.软件运行所必须的第三方软件、空间和其他支撑库等文件应及时加入源代码服务器中的指定库中。3.在上线阶段前必须检查对应软件源代码的归档记录，确保发布的程序可以在源代码管理平台中找到对应的全部源代码。4.源代码管理平台中不得存放任何生产环境配置，包括但不限于IP地址、端口号、数据库密码等。5.定期巡检源代码管理平台，确保源代码管理平台的稳定运行。（1）定期巡检源代码管理平台账号，清理无效或不再使用的账号，整理账号权限。（2）项目上线阶段检查源代码管理平台各项目的使用情况，检查内容包括但不限于硬盘空间检查、目录规范性检查、归档检查。（3）定期巡检源代码管理平台服务器使用状况，巡检内容包括但不限于服务器性能检查、定期备份检查、服务器安全性检查。（4）每季度出具源代码平台季度运行报告。（5）定期进行源代码管理平台漏洞检测及各类补丁版本维护。第五章管理程序第十五条信息系统源代码管理程序（一）项目经理根据项目情况确定目录结构及项目组成员权限。（二）代码管理岗位根据项目经理的要求在源代码管理平台中设置对应目录及权限。（三）开发阶段完成后，检查源代码平台是否符合源代码管理规范，根据投产版本源代码和编译版本在指定目录建档《投产版本检查表》。第十六条信息系统源代码权限管理程序（一）项目经理确定项目组成员所需要的源代码权限。（二）各成员分别填写《源代码管理平台账号登记表》，本人签字确认后递交信息技术部代码管理岗，代码管理岗根据该表新增或修改账户权限，权限变更须登记到《源代码平台账号权限变更表》。（三）项目组离场后，原则上保留项目经理权限，项目经理告知代码管理岗删除开发人员对本项目的权限。第六章管理文件第十七条文件依据（一）国家质量技术监督局《计算机信息系统安全保护等级划分准则》（二）中国银行业监督管理委员会《商业银行信息科技风险管理指引》第七章附则第十八条本办法由XXXX商业银行负责解释、修订和补充。第十九条本办法自公布之日起执行。