我们银行,也有用外员。我理解外员安全开发有两个层面意思:
一、访问安全,外员可以访问那些行内资源,比如可以看那些文档、可以参与那些开发、可以访问那些网络、可以访问那些服务器。这方面管理严了,效率低,管理松了有担心出问题。我建议是开发环境与其他行内环境隔离,源码按照角色控制范围范围。至于需求、设计,最好不要让外员参与,其实业务比代码值钱!否则你就没有什么商业机密了。
二、代码安全,外员要发挥作用,就要参与模块设计,参与编码,可能因工作需要还会引入一些第三方类库。因此要对代码安全、代码质量、代码可读性进行控制,否则即使不出安全问题,那天他离开了也够你头疼的。在这方面我这里是通过工具实现的,主要用了CheckStyle、Findbugs、PMD、CheckMarx,管理者几个方面。不过这几个工具都需要自己定制与集成。
收起