第三方及開源軟件管理辦法第一章總則隨著業(yè)務(wù)系統(tǒng)第三方及開源軟件的不斷引入，在快速提升需求開發(fā)效率，滿足客戶業(yè)務(wù)需求方面起到了很大的作用。但因第三方及開源軟件更新速度快、軟件性能不穩(wěn)定、軟件版本管理時(shí)效差等問(wèn)題，后端技術(shù)支持和經(jīng)驗(yàn)欠缺，導(dǎo)致后續(xù)運(yùn)維面臨很大挑戰(zhàn)，為此急需針對(duì)越來(lái)越多的第三方及開源軟件，制定從準(zhǔn)入、上線、日常運(yùn)維、質(zhì)量評(píng)估到下線一整套管理準(zhǔn)則和管理流程，確保生產(chǎn)系統(tǒng)在面對(duì)新技術(shù)、新產(chǎn)品的同時(shí)，能持續(xù)穩(wěn)定運(yùn)行，為此特制定本管理辦法。第三方及開源軟件是指相對(duì)于傳統(tǒng)商業(yè)軟件，是一種源代碼公開的軟件，并且此軟件的使用，修改和分發(fā)不受許可證的限制。本管理辦法適用于天潤(rùn)融通信息安全部、研發(fā)部、網(wǎng)絡(luò)部。本管理辦法的解釋和修改權(quán)歸屬天潤(rùn)融通信息安全部。本管理辦法自正式發(fā)布之日起執(zhí)行。第二章第三方及開源軟件管理范圍本管理辦法所涉及的第三方及開源軟件管理范圍，是涵蓋目前系統(tǒng)中所有在用的軟件全集，研發(fā)部門無(wú)論在用，或者不在用，在今后啟用過(guò)程中都應(yīng)遵循本管理辦法要求進(jìn)行管理。同時(shí)第三方及開源軟件隨著應(yīng)用范圍擴(kuò)大，信息安全部有權(quán)進(jìn)行擴(kuò)充和修訂。第三方及開源軟件管理范圍包括：操作系統(tǒng)、中間件、關(guān)系數(shù)據(jù)庫(kù)、非關(guān)系數(shù)據(jù)庫(kù)、內(nèi)存數(shù)據(jù)庫(kù)、容器、分布式管理類軟件、其他配套管理軟件。具體范圍如下：操作系統(tǒng)類：redhat、SUSE、linux等中間件類：web容器、web服務(wù)器軟件、網(wǎng)頁(yè)服務(wù)器軟件等關(guān)系數(shù)據(jù)庫(kù)：MySql、Postgresql等非關(guān)系數(shù)據(jù)庫(kù)：Redis、Hbase、Memcached、MongoDB等內(nèi)存數(shù)據(jù)庫(kù):TimesTen、ALTIBASE、SQLite等容器：Docker分布式消息處理:Kafka、ActiveMQ、RabbitMQ等分布式實(shí)時(shí)計(jì)算：SparkStreaming.Storm等分布式并行計(jì)算：MapReduce分布式任務(wù)調(diào)度：ZooKeeperQuartz.Springcloudsdubbo、Oozie等分布式資源管理：YARNMesos等第三章第三方及開源軟件管理職責(zé)一、信息安全部與各部門的職責(zé)分工1.信息安全部（1）負(fù)責(zé)制定和宣貫公司各業(yè)務(wù)系統(tǒng)第三方及開源軟件管理辦法，統(tǒng)一規(guī)范公司各業(yè)務(wù)系統(tǒng)的第三方及開源軟件運(yùn)維管理；（2）負(fù)責(zé)收集接收研發(fā)部門上報(bào)的新增第三方及開源軟件，以及第三方及開源軟件開發(fā)人員面的問(wèn)題，及時(shí)總結(jié)經(jīng)驗(yàn)教訓(xùn)，優(yōu)化第三方及開源軟件管理規(guī)范；（3）負(fù)責(zé)跟進(jìn)并研究第三方及開源軟件技術(shù)更新趨勢(shì)，及時(shí)督導(dǎo)各部門合理使用第三方及開源軟件；（4）負(fù)責(zé)更新發(fā)布新型第三方及開源軟件模型庫(kù)，確保第三方及開源軟件管理及時(shí)到位；（5）負(fù)責(zé)監(jiān)督考核各部門在使用第三方及開源軟件方面合規(guī)與不合規(guī)情況，確保第三方及開源軟件穩(wěn)定運(yùn)行。2.各部門（1）貫徹第三方及開源軟件管理辦法，結(jié)合本部門情況進(jìn)行細(xì)化，制定和宣貫本部門業(yè)務(wù)系統(tǒng)第三方及開源軟件管理辦法；（2）負(fù)責(zé)定期上報(bào)新增第三方及開源軟件，以及第三方及開源軟件開發(fā)人員面的問(wèn)題，確保及時(shí)將經(jīng)驗(yàn)和教訓(xùn)反饋給信息安全部；（3）安排專人負(fù)責(zé)第三方及開源軟件的全面管理，配合信息安全部進(jìn)行第三方及開源軟件管理工作的監(jiān)督檢查和考核，并根據(jù)考評(píng)情況改進(jìn)和完善本部門第三方及開源軟件管理工作。二、第三方及開源軟件負(fù)責(zé)人，由部門指定專有、專業(yè)人員擔(dān)任，主要職責(zé)：1、負(fù)責(zé)根據(jù)信息安全部管理要求，制定、培訓(xùn)本部門第三方及開源軟件管理辦法；2、負(fù)責(zé)定期開展第三方及開源軟件使用過(guò)程中的自查自糾工作；3、負(fù)責(zé)收集關(guān)于第三方及開源軟件管理方面的意見和建議，定期進(jìn)行回顧和優(yōu)化修訂。4、各部門需分別設(shè)置1-2名第三方及開源軟件負(fù)責(zé)人。第四章第三方及開源軟件管理內(nèi)容第三方及開源軟件的管理覆蓋從準(zhǔn)入、上線、版本管理、日常運(yùn)維、質(zhì)量評(píng)估到下線一整套管理準(zhǔn)則和管理流程，以及對(duì)新增第三方及開源軟件的引入和發(fā)布要求。一、準(zhǔn)入管理要求1、準(zhǔn)入定義針對(duì)即將引入到生產(chǎn)系統(tǒng)中的第三方及開源軟件，通過(guò)對(duì)產(chǎn)品特性、產(chǎn)品成熟度、產(chǎn)品功能、產(chǎn)品性能要求以及服務(wù)要求等進(jìn)行評(píng)估，確定符合生產(chǎn)系統(tǒng)技術(shù)標(biāo)準(zhǔn)要求，不會(huì)對(duì)生產(chǎn)系統(tǒng)造成危害，而進(jìn)行的合規(guī)性管理流程。通過(guò)加強(qiáng)對(duì)新第三方及開源軟件的準(zhǔn)入管理，使具備質(zhì)量高的第三方及開源軟件進(jìn)入業(yè)務(wù)系統(tǒng)，為快速支撐客戶服務(wù)，同時(shí)保障系統(tǒng)穩(wěn)定生產(chǎn)提供有力的保障。2、準(zhǔn)入規(guī)則不同類型的第三方及開源軟件，因其產(chǎn)品特性的不同，從而形成不同的準(zhǔn)入規(guī)則。研發(fā)部門需嚴(yán)格按照準(zhǔn)入規(guī)則在項(xiàng)目審批過(guò)程中進(jìn)行審核審批。3、準(zhǔn)入管理流程第三方及開源軟件準(zhǔn)備引入到生產(chǎn)系統(tǒng)前必須經(jīng)過(guò)本部門審批過(guò)程，審批通過(guò)后方可開展后續(xù)可研、立項(xiàng)、招標(biāo)、簽訂合同、購(gòu)買等環(huán)節(jié)。(1)責(zé)任人：開發(fā)人員、維護(hù)人員、部門領(lǐng)導(dǎo)，各部門可根據(jù)需求細(xì)分不同的責(zé)任人。(2)提交審批工單：開發(fā)人員建立審批工單，按照產(chǎn)品類型的準(zhǔn)入規(guī)則提供產(chǎn)品本身的分析報(bào)告及性能測(cè)試報(bào)告；提供使用在生產(chǎn)環(huán)境范圍、引入目的、解決何種問(wèn)題等內(nèi)容。(3)準(zhǔn)入評(píng)估：維護(hù)人員根據(jù)提供的報(bào)告內(nèi)容進(jìn)行評(píng)估，提供對(duì)生產(chǎn)環(huán)境可能造成的影響、是否允許引入等報(bào)告，并會(huì)同開發(fā)人員就維護(hù)人員面的責(zé)、權(quán)、利劃分清晰，對(duì)后期出現(xiàn)問(wèn)題的補(bǔ)丁修復(fù)等內(nèi)容進(jìn)行約定。(4)領(lǐng)導(dǎo)審批：根據(jù)上述兩方提供的材料，部門領(lǐng)導(dǎo)最終根據(jù)提供報(bào)告進(jìn)行進(jìn)行同意、不同意、建議修改等審批意見。如同意引入,則開始進(jìn)行準(zhǔn)備后續(xù)與計(jì)劃部門、采購(gòu)部門之間的流程，按照本部門既有流程執(zhí)行。二、上線管理要求1、上線定義針對(duì)已經(jīng)批準(zhǔn)準(zhǔn)入業(yè)務(wù)系統(tǒng)的第三方及開源軟件，通過(guò)規(guī)范安裝上線工作，形成第三方及開源軟件的固化安裝流程，確保上線后不影響生產(chǎn)環(huán)境的穩(wěn)定運(yùn)行。2、上線規(guī)則不同類型的第三方及開源軟件，因其產(chǎn)品特性的不同，從而形成不同的安裝上線固化要求。(需要制定不同產(chǎn)品上線管理腳本和規(guī)則).例如可以有安裝模塊、配置文件、環(huán)境變量、啟動(dòng)方式等。3、回退策略對(duì)于上線后出現(xiàn)的故障，應(yīng)及時(shí)回退到原版本。4、自動(dòng)化要求對(duì)于第三方及開源軟件安裝上線，應(yīng)提供自動(dòng)化執(zhí)行功能，按照不同產(chǎn)品的固化內(nèi)容，自動(dòng)執(zhí)行。5、上線管理流程第三方及開源軟件進(jìn)入生產(chǎn)環(huán)境前必須經(jīng)過(guò)審批過(guò)程，審批通過(guò)后方可上線。(1)責(zé)任人：開發(fā)人員、維護(hù)人員、部門領(lǐng)導(dǎo)。各部門可根據(jù)需求細(xì)分不同的責(zé)任人。(2)提交審批工單：開發(fā)人員建立第三方及開源軟件上線工單，按照非功能需求管理流程要求，提交給維護(hù)人員進(jìn)行生產(chǎn)環(huán)境五個(gè)維度的指標(biāo)評(píng)估等工作。(3)上線評(píng)估：維護(hù)人員根據(jù)提供的需求內(nèi)容，按照非功能需求管理流程要求進(jìn)行指標(biāo)評(píng)估，提出上線后應(yīng)滿足的指標(biāo)要求。雙方協(xié)商確認(rèn)最終可滿足的指標(biāo)要求。(4)領(lǐng)導(dǎo)審批：根據(jù)上述兩方提供的材料，部門領(lǐng)導(dǎo)最終根據(jù)提供報(bào)告進(jìn)行進(jìn)行同意、不同意、建議修改等審批意見。如同意上線,則按照本部門變更、發(fā)布管理流程執(zhí)行上線操作。(5)上線后評(píng)估：第三方及開源軟件上線后，應(yīng)按照非功能需求管理流程要求進(jìn)行指標(biāo)后評(píng)估工作，確保上線后對(duì)生產(chǎn)環(huán)境的影響在可控范圍之內(nèi)，確保性能指標(biāo)正常、監(jiān)控組件已部署、后期維護(hù)自動(dòng)化腳本已提供、高可用軟件已配備、安全掃描已正常等。三、版本管理要求1、版本管理定義是指對(duì)第三方及開源軟件的社區(qū)版本、業(yè)務(wù)系統(tǒng)引用版本的統(tǒng)一管理。實(shí)時(shí)跟蹤第三方及開源軟件最新發(fā)布版本的改進(jìn)及bug問(wèn)題，確保應(yīng)用到生產(chǎn)系統(tǒng)中的版本穩(wěn)定，性能好。2、版本庫(kù)要求各部門應(yīng)建立第三方及開源軟件版本庫(kù)，并定期更新，確保是最新版本。版本庫(kù)應(yīng)包括兩個(gè)類型的版本，一是第三方及開源軟件社區(qū)版本，版本庫(kù)應(yīng)包括每種第三方及開源軟件的社區(qū)版本號(hào)、發(fā)布社區(qū)介紹、本次發(fā)布的內(nèi)容改進(jìn)和存在問(wèn)題，第三方及開源軟件范圍應(yīng)按照“第二章、第三方及開源軟件管理范圍”中的內(nèi)容進(jìn)行全量版本庫(kù)維護(hù)。二是生產(chǎn)網(wǎng)引用版本，包括對(duì)應(yīng)的生產(chǎn)系統(tǒng)軟件發(fā)布版本號(hào)，所屬系統(tǒng)等。3、版本管理流程對(duì)第三方及開源軟件實(shí)施有效的版本管理與控制，包括對(duì)版本一致性、并發(fā)性、安全性等進(jìn)行管控，可確保高質(zhì)量、穩(wěn)定的版本應(yīng)用到生產(chǎn)環(huán)境，同時(shí)可及時(shí)跟蹤新版本存在的問(wèn)題，進(jìn)行及時(shí)修復(fù)。(1)責(zé)任人：版本管理員、版本管理經(jīng)理、版本測(cè)試人員。版本管理員負(fù)責(zé)建立及管理版本庫(kù)，確保版本可記錄、可追溯；版本管理經(jīng)理負(fù)責(zé)版本問(wèn)題的總結(jié)和完善方案制定等工作。版本測(cè)試人員負(fù)責(zé)進(jìn)行上線版本的測(cè)試，并能夠提交穩(wěn)定版本。(2)建立版本庫(kù)：各部門應(yīng)按照前面版本庫(kù)要求中提到的內(nèi)容建立基線板塊庫(kù)，并形成截至到當(dāng)前的最新第三方及開源軟件版本庫(kù)，今后再有新的版本出現(xiàn)時(shí)，怎按照后面的更新版本庫(kù)執(zhí)行。(3)版本測(cè)試：各部門必須對(duì)上線引入版本進(jìn)行測(cè)試，并提交測(cè)試報(bào)告。(4)更新版本庫(kù)：各部門應(yīng)形成定期更新版本庫(kù)流程。按照隨時(shí)有新版本隨時(shí)進(jìn)行更新、每月進(jìn)行版本庫(kù)基線檢查更新的兩個(gè)原則進(jìn)行管理。(5)版本庫(kù)問(wèn)題修訂：根據(jù)版本運(yùn)行出的問(wèn)題進(jìn)行問(wèn)題總結(jié)和方案修訂。四、日常運(yùn)維管理要求是涵蓋第三方及開源軟件日常使用過(guò)程中的各種維護(hù)方面的要求，包括日常監(jiān)控、巡檢、故障處理、問(wèn)題總結(jié)、應(yīng)急處理等一整套管理要求。1、監(jiān)控研發(fā)部門應(yīng)將生產(chǎn)網(wǎng)中所有已使用的第三方及開源軟件、以及每次系統(tǒng)割接上線前涉及到的第三方及開源軟件納入監(jiān)控系統(tǒng)。2、巡檢研發(fā)部門應(yīng)針對(duì)不同第三方及開源軟件按照產(chǎn)品特性形成固化巡檢方案，形成按天、按周、按月等巡檢報(bào)告，并在業(yè)務(wù)系統(tǒng)中進(jìn)行自動(dòng)巡檢落地。不同的產(chǎn)品需要定義不同的巡檢內(nèi)容，例如可以有硬盤檢測(cè)、內(nèi)存檢查、健康狀態(tài)檢查、安全認(rèn)證檢查等。3、故障處理研發(fā)部門應(yīng)針對(duì)不同第三方及開源軟件，搜集日常發(fā)生頻度高的的故障類型，形成有針對(duì)性的故障處理策略，并在業(yè)務(wù)系統(tǒng)中進(jìn)行自動(dòng)處理落地。按周、按月形成不同第三方及開源軟件的故障類型、故障次數(shù)、故障分析、故障影響、解決情況等分析報(bào)告。4、問(wèn)題總結(jié)按周、按月形成對(duì)常見問(wèn)題的匯總和分析，并定期進(jìn)行回顧，確保問(wèn)題已解決。5、高可用管理應(yīng)確保第三方及開源軟件的冗余配置，無(wú)論是軟件還是硬件配置上，可確保當(dāng)?shù)谌郊伴_源軟件出現(xiàn)問(wèn)題后，可自動(dòng)遷移到冗余配置上。6、備份管理需要按照《備份和恢復(fù)管理制度》中的要求做好第三方及開源軟件在數(shù)據(jù)備份方面的保障。7、應(yīng)急處理形成對(duì)不同第三方及開源軟件的應(yīng)急保障手段，按照《應(yīng)急預(yù)案框架文檔》中的要求做好第三方及開源軟件在應(yīng)急容災(zāi)方面的保障。8、安全管理形成對(duì)不同第三方及開源軟件的網(wǎng)絡(luò)安全手段，按照《網(wǎng)絡(luò)安全管理制度》中的要求做好第三方及開源軟件在網(wǎng)絡(luò)安全方面的保障。9、日常運(yùn)維管理流程以上各項(xiàng)工作的責(zé)任人、操作流程等應(yīng)繼續(xù)按照目前已建立好的事件流程、問(wèn)題流程、應(yīng)急管理流程、運(yùn)維管理流程進(jìn)行操作的審批、審核、執(zhí)行、回顧等工作。五、質(zhì)量評(píng)估管理要求1、質(zhì)量評(píng)估定義是指信息安全部和各部門協(xié)同開展對(duì)第三方及開源軟件使用的質(zhì)量評(píng)估工作。各部門按照信息安全部定期發(fā)布的質(zhì)量評(píng)估要求，形成在用第三方及開源軟件的評(píng)估報(bào)告，信息安全部負(fù)責(zé)集中匯總各部門上報(bào)的對(duì)同一第三方及開源軟件的質(zhì)量評(píng)估結(jié)果，按照質(zhì)量高、中、低等級(jí)別進(jìn)行發(fā)布。對(duì)于質(zhì)量評(píng)估高的，可繼續(xù)使用；評(píng)估中的，形成解決辦法；評(píng)估低的各部門應(yīng)進(jìn)行替換應(yīng)用。2、質(zhì)量評(píng)估規(guī)則信息安全部負(fù)責(zé)制定對(duì)不同第三方及開源軟件的質(zhì)量評(píng)估規(guī)則，并形成高、中、低三個(gè)質(zhì)量級(jí)別。3、質(zhì)量評(píng)估上報(bào)信息安全部每半年發(fā)布質(zhì)量評(píng)估要求，各部門按照評(píng)估規(guī)則進(jìn)行全量第三方及開源軟件評(píng)測(cè)，并按時(shí)提交評(píng)測(cè)報(bào)告。同時(shí)各部門可根據(jù)本部門情況隨時(shí)發(fā)起質(zhì)量評(píng)估要求。4、質(zhì)量評(píng)估處理信息安全部根據(jù)評(píng)估結(jié)果，匯總發(fā)布，各部門根據(jù)處理推薦意見給出本部門調(diào)整優(yōu)化方案，在合規(guī)并條件允許的情況下進(jìn)行優(yōu)化或替換。5、質(zhì)量評(píng)估流程(1)責(zé)任人：各部門運(yùn)維人員、各部門質(zhì)量評(píng)估管理員、信息安全部第三方及開源軟件負(fù)責(zé)人。各部門可根據(jù)需求細(xì)分不同的責(zé)任人。各部門運(yùn)維人員負(fù)責(zé)第三方及開源軟件的運(yùn)維，負(fù)責(zé)提出在運(yùn)維過(guò)程中的問(wèn)題，運(yùn)維人員人數(shù)不限。各部門質(zhì)量評(píng)估管理員，負(fù)責(zé)對(duì)運(yùn)維人員提出的問(wèn)題進(jìn)行匯總、歸納，并實(shí)施評(píng)估，形成評(píng)估報(bào)告。信息安全部第三方及開源軟件負(fù)責(zé)人負(fù)責(zé)收集全網(wǎng)各部門提交的評(píng)估報(bào)告，形成最終質(zhì)量發(fā)布公告。(2)啟動(dòng)評(píng)估：信息安全部每半年發(fā)布質(zhì)量評(píng)估要求，評(píng)估范圍不固定，可能是目前常用的第三方及開源軟件，也可能是對(duì)若干常出現(xiàn)問(wèn)題的軟件進(jìn)行特殊評(píng)估。(3)獲取數(shù)據(jù)：各部門收到信息安全部啟動(dòng)評(píng)估的要求后，對(duì)評(píng)估范圍內(nèi)的軟件，按照“2、質(zhì)量評(píng)估規(guī)則”中的內(nèi)容要求從運(yùn)維系統(tǒng)中獲取可讀出的數(shù)據(jù)，例如告警次數(shù)、故障次數(shù)、問(wèn)題次數(shù)、巡檢問(wèn)題等指標(biāo)，從其他維護(hù)記錄或文檔中獲取其他相關(guān)指標(biāo)數(shù)據(jù)。(4)評(píng)估分析：根據(jù)獲取數(shù)據(jù)情況，按照“2、質(zhì)量評(píng)估規(guī)則”中的數(shù)值要求給出對(duì)該軟件的具體定性、定量分析結(jié)果。(5)評(píng)估報(bào)告：形成分析報(bào)告，并提交信息安全部進(jìn)行匯總。(6)發(fā)布評(píng)估結(jié)果：信息安全部根據(jù)各部門上報(bào)的報(bào)告情況，按不同軟件類型進(jìn)行最終評(píng)估，并給出后續(xù)指導(dǎo)意見。六、下線管理要求1、下線管理定義對(duì)于質(zhì)量評(píng)估為差，或者在未來(lái)趨勢(shì)中先進(jìn)性、應(yīng)用性、擴(kuò)展性差的第三方及開源軟件必須實(shí)施下線管理。從系統(tǒng)資源管理、資源關(guān)系管理、監(jiān)控管理、運(yùn)維管理等工作中進(jìn)行下線操作，并記錄下線日志。2、下線管理流程(1)責(zé)任人：運(yùn)維人員、開發(fā)人員、領(lǐng)導(dǎo)、版本管理員。運(yùn)維人員、版本管理員負(fù)責(zé)對(duì)需要下線的第三方及開源軟件，提出評(píng)估報(bào)告，問(wèn)題總結(jié)。開發(fā)人員負(fù)責(zé)對(duì)評(píng)估報(bào)告給予認(rèn)定，并提出替代軟件方案；領(lǐng)導(dǎo)根據(jù)問(wèn)題報(bào)告、替代方案等確定是否實(shí)施下線。版本管理員負(fù)責(zé)版本下線維護(hù)工作。(2)提交下線申請(qǐng)：運(yùn)維人員針對(duì)某軟件出現(xiàn)的問(wèn)題，覺(jué)得有必要進(jìn)行替換的，提出階段性的使用總結(jié)，包括歷次對(duì)該第三方及開源軟件開發(fā)人員面的問(wèn)題評(píng)估，目前該第三方及開源軟件在業(yè)界的質(zhì)量評(píng)估等，提交到開發(fā)人員進(jìn)行確認(rèn)。(2)下線需求確認(rèn)：開發(fā)人員根據(jù)運(yùn)維提出的下線申請(qǐng)，評(píng)估該第三方及開源軟件在生產(chǎn)網(wǎng)內(nèi)的使用范圍、下線影響性評(píng)估、替代軟件、開發(fā)周期、新上線安排、不能替換等方案，并提交領(lǐng)導(dǎo)審核。(3)領(lǐng)導(dǎo)審核：領(lǐng)導(dǎo)根據(jù)上述提交報(bào)告，開會(huì)確認(rèn)后，需要進(jìn)行替換的，必須做好后續(xù)替換的方案制定、割接上線等工作。同時(shí)，如果是第三方及開源軟件庫(kù)中的已有軟件，可直接替換是使用，如果不在第三方及開源軟件庫(kù)中的，需按照準(zhǔn)入流程等規(guī)則進(jìn)行重新操作。(4)版本更新：待第三方及開源軟件正式實(shí)施下線后，版本管理員應(yīng)及時(shí)更新版本庫(kù)。(5)提交報(bào)告：各部門對(duì)于隨時(shí)可能下線的第三方及開源軟件，應(yīng)及時(shí)通報(bào)到信息安全部，信息安全部向全網(wǎng)發(fā)布，確保全網(wǎng)能夠?qū)?biāo)本部門使用使用情況，進(jìn)行風(fēng)險(xiǎn)預(yù)防。七、上報(bào)管理要求1、上報(bào)管理定義各部門針對(duì)任何新引入的第三方及開源軟件應(yīng)隨時(shí)上報(bào)，信息安全部根據(jù)新上報(bào)的第三方及開源軟件類型，制定從準(zhǔn)入、上線、版本管理、日常運(yùn)維、質(zhì)量評(píng)估在內(nèi)的管理要求，并按月發(fā)