ISO27001指引:
8.4 對原始碼之存取
控制措施
宜適切管理對原始碼、開發工具及軟體函式庫之讀寫存取。
目的
預防引進未經授種之功能性、避免非蓄意或惡意的變更,並維持有價值智慧財產之機密性。
指引
宜嚴格控制對原始碼及相關聯項目(諸加設計、規格、查證計畫及驗核計畫),以及對開發工具(例:編譯器、建置器、整合工具、測試平台及環境)之存取。
對原始碼而言,此可藉控制此種程式碼之集中儲存達成,最好存於原始碼管理系統中。
對原始碼之讀取存取及寫人存取可能因人員角色而異。例:可於組織内部廣泛提供對原始碼之讀取存取,但對原始碼的寫入存取僅提供予特殊權限人員或指定之擁有者。若組織內之數個開發者使用程式碼組件,則宜實作對集中程式碼儲存庫之讀取存取。此外,若於組織內部使用開原始碼或第三方程式碼組件,則可廣泛提供對此種外部程式碼儲存庫之讀取存取。然而,寫人存取仍宜受限制。
為控制程式原始碼函式庫之存取,宜考量下列指導網要,以減少電腦程式毀損的可能性:
(a)對程式原始碼及程式原始碼函式庫之存取,依已建立的程序管理。
(b)依營運需要,授予對原始碼之讀寫權限,並依已建立的程序管理,以因應更改或誤用之風險。
(c)依變更控制程序(參照8.32),更新原始碼及相關聯項目並授予對原始碼之存取權限,且僅於獲得適切授權後,方進行。
(d)不授予開發者直接存取原始碼儲存庫之權限,而是透過開發者工具,控制對原始碼的活動及授權。
(e)程式清單保存於安全環境中,其讀寫存取權限宜適切管理及指派。
(f)維持對原始碼之所有存取及所有變更的稽核日誌。
若欲發布程式原始碼,則宜考量額外控制措施,以提供對其完整性的保證(例:數位簽章)。
其他資訊
若對原始碼之存取未受妥適控制,則原始碼可能遭修改,或開發環境中之某些資料(例:生產資料之複本、組態細節)可能遭未經授權人員檢索。