本文介绍了企业开源项目的安全检查规范,包括禁止上传核心业务代码,设立安全检测机制,源代码审查,敏感信息审查,以及后期的持续监控和权限管理,旨在保障信息安全。
有些公司为了提高在IT圈的技术知名度,增加行业影响力,一些技术会定期将非核心业务源代码以公司级名义上传到源码开源平台,如GitHub。特此输出相关的安全检查规范
第一条 开源的代码项目可以为通用的解决方案,禁止将公司业务相关的核心代码上传到开源平台。
第二条 为保证上传的源代码未泄漏公司内部敏感信息(配置信息、密码、密钥、公司内网IP地址等),降低公司风险几率,在开源项目发布环节,引入安全检测机制。
第三条 安全检测是指对开源代码项目进行源代码审查,利用爬虫、关键字匹配等检测机制,检测代码中是否含有核心代码及公司内部敏感信息。
第四条 开发人员将需要开源项目所在的代码仓库地址、计划上传的开源平台等信息以邮件的方式发送给项目主管、部门负责人、技术负责人申请发布审批,待项目主管、部门负责人及技术负责人审批完成后,开发人员将原始邮件信息全部抄送给网络信息安全管理小组,申请发布前的安全检测。
第七条 网络信息安全管理小组接收到邮件后,与开发人员确认相关的细节信息,设置针对性的关键字,对源码进行爬虫扫描。扫描完成后,由网络信息安全管理小组进行人工确认,将检测结果邮件全部回复给开发人员、项目主管、部门负责人、技术负责人。
第八条 当检测过程中发现敏感信息,开发人员应将敏感信息删除或模糊化处置之后,再次邮件提交安全检测申请。
最低0.47元/天 解锁文章
扫一扫
780
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
