longerwood
发表于 2012-10-17 10:51:08
代码安全检查的具体工作是如何进行的?一定要代码部署在平台(生产环境)之后才可以做吗?
如果不是,那么在平台交付给用户前需要有安检部对于代码的审核意见,平台才交付;
如果是,那么代码部署后确定一个时间窗口,在此窗口关闭前,须有安检部的检查意见回馈给平台部,否则平台部将关闭平台。
流程的执行需要组织文化、人员意识、制度规范等共同保证,尤其是对于不按流程执行的人员或部门要有相应追责措施,这个需要领导层的决心和力度。
另外流程的设计需要考虑一个流转的载体(如事件单、变更单等),从那上面的流程图看不到有什么载体可以承载流程的流转记录,记录下每一个活动的输入输出,从而就不好控制和约束流程的执行。
daisy8
发表于 2012-10-17 10:51:39
挨踢达人 发表于 2012-10-17 10:49 static/image/common/back.gif
担心用户拿到了环境,自行丢进去代码,而不通过安检,就直接去生产环境了。。
我大概明白,就是很有可能在很多赶工的情况下,程序员不按照代码规范去做,
然后直接上线了,是不是类似这种情况?
挨踢达人
发表于 2012-10-17 11:02:12
本帖最后由 挨踢达人 于 2012-10-17 11:04 编辑
longerwood 发表于 2012-10-17 10:51 http://ITIL-foundation.cn/static/image/common/back.gif
代码安全检查的具体工作是如何进行的?一定要代码部署在平台(生产环境)之后才可以做吗?
如果不是,那么 ...
1.之前的流程是平台搭建完,就在那边等待,有可能代码还没部署,平台搭建的已经把平台给安检了,但是安检的知识空壳子而已。。 所以后来决定必须把代码丢进去之后再做安检。。还有一点就是每天安检部都会对平台搭建的内容做什么漏洞扫描之内的,这个是日常工作,一天三次。。
2.代码安检,是把代码部署到平台之后才能安检。。
这个是一个服务申请流程
daisy8
发表于 2012-10-17 11:22:44
挨踢达人 发表于 2012-10-17 11:02 static/image/common/back.gif
1.之前的流程是平台搭建完,就在那边等待,有可能代码还没部署,平台搭建的已经把平台给安检了,但是安 ...
要明确1点,由谁部署?
挨踢达人
发表于 2012-10-17 11:55:40
gogoat 发表于 2012-10-17 11:22 static/image/common/back.gif
要明确1点,由谁部署?
申请人部署代码