軟件三庫管理制度及實(shí)施細(xì)則1總則1.1目的為規(guī)范公司軟件項(xiàng)目的配置管理活動(dòng)，明確開發(fā)庫、受控庫、產(chǎn)品庫（以下簡稱“三庫”）的管理要求，保證軟件版本的一致性、可追溯性和安全性，降低軟件開發(fā)與交付風(fēng)險(xiǎn)，提升產(chǎn)品質(zhì)量，特制定本制度。1.2適用范圍本制度適用于公司所有軟件項(xiàng)目（包括自研、定制開發(fā)、維護(hù)類項(xiàng)目）的需求分析、設(shè)計(jì)、開發(fā)、測試、交付、運(yùn)維全生命周期的三庫管理活動(dòng)。1.3定義與術(shù)語術(shù)語定義開發(fā)庫（DevLibrary）開發(fā)人員日常工作的動(dòng)態(tài)庫，存儲**未經(jīng)過評審的中間產(chǎn)物**（如源代碼、設(shè)計(jì)文檔、測試用例草稿等），支持頻繁修改。受控庫（ControlLibrary）存儲**經(jīng)過正式評審/驗(yàn)證的中間產(chǎn)品**（如評審后的需求文檔、測試通過的代碼版本、集成測試報(bào)告等），是開發(fā)與交付的過渡庫。產(chǎn)品庫（ProductLibrary）存儲**最終交付給客戶的正式產(chǎn)品**（如驗(yàn)收通過的軟件包、用戶手冊、releasenotes等），是軟件產(chǎn)品的“黃金庫”，不可隨意修改。配置管理員（CMO）負(fù)責(zé)三庫的建立、維護(hù)、權(quán)限管理及配置項(xiàng)變更控制的專職人員。變更控制委員會(huì)（CCB）由項(xiàng)目經(jīng)理、技術(shù)負(fù)責(zé)人、QA、客戶代表組成的決策機(jī)構(gòu)，負(fù)責(zé)審批重大變更請求。2角色與職責(zé)角色職責(zé)**配置管理員（CMO）**1.負(fù)責(zé)三庫的初始化建立與日常維護(hù)（如版本控制、備份、權(quán)限設(shè)置）；

2.執(zhí)行配置項(xiàng)的遷入/遷出操作（如開發(fā)庫→受控庫、受控庫→產(chǎn)品庫）；

3.記錄配置項(xiàng)變更歷史，生成配置狀態(tài)報(bào)告；

4.配合QA完成三庫審計(jì)。**開發(fā)人員**1.在開發(fā)庫中進(jìn)行代碼編寫、文檔修改，遵守版本控制規(guī)范（如提交備注、分支管理）；

2.提交配置項(xiàng)至受控庫前，完成自我驗(yàn)證（如單元測試、編譯檢查）；

3.響應(yīng)變更請求，修改開發(fā)庫中的配置項(xiàng)。**測試人員**1.從受控庫中獲取測試版本，執(zhí)行測試活動(dòng)；

2.提交測試缺陷，跟蹤缺陷修復(fù)情況；

3.驗(yàn)證受控庫中配置項(xiàng)的完整性與正確性，簽署測試通過意見。**項(xiàng)目經(jīng)理**1.審批開發(fā)庫→受控庫的遷入請求；

2.參與變更評審，判斷變更的必要性與優(yōu)先級；

3.監(jiān)督項(xiàng)目三庫管理執(zhí)行情況，解決跨角色沖突。**質(zhì)量保證人員（QA）**1.制定三庫審計(jì)計(jì)劃，定期檢查三庫操作的合規(guī)性；

2.審核配置項(xiàng)的評審記錄、變更文檔，確保符合質(zhì)量標(biāo)準(zhǔn)；

3.向管理層提交三庫審計(jì)報(bào)告，推動(dòng)問題整改。**CCB**1.審批受控庫→產(chǎn)品庫的遷入請求；

2.審批重大變更（如影響產(chǎn)品功能、進(jìn)度的變更）；

3.決策變更的實(shí)施策略（如回滾、替代方案）。3三庫的建立與維護(hù)3.1開發(fā)庫（DevLibrary）3.1.1建立條件項(xiàng)目啟動(dòng)后，由CMO根據(jù)項(xiàng)目配置管理計(jì)劃創(chuàng)建開發(fā)庫，命名規(guī)則為：`項(xiàng)目名稱-DEV-版本號`（如“電商平臺-DEV-V1.0”）。3.1.2存儲內(nèi)容源代碼（包括主分支、feature分支、bugfix分支）；未評審的需求文檔、設(shè)計(jì)文檔（如PRD草稿、UML圖草稿）；單元測試用例、編譯腳本、第三方依賴包；開發(fā)過程中的臨時(shí)文件（如調(diào)試日志、中間編譯產(chǎn)物）。3.1.3維護(hù)要求權(quán)限設(shè)置：開發(fā)人員擁有“讀/寫/提交”權(quán)限，項(xiàng)目經(jīng)理、QA擁有“只讀”權(quán)限，其他人員無權(quán)限；版本控制：使用Git/SVN等工具進(jìn)行版本管理，要求每個(gè)提交包含有意義的備注（如“修復(fù)用戶登錄時(shí)密碼加密bug”），禁止強(qiáng)制覆蓋主分支；備份策略：每日24:00自動(dòng)備份，備份文件存儲至異地服務(wù)器，保留最近7天的備份。3.2受控庫（ControlLibrary）3.2.1建立條件項(xiàng)目進(jìn)入集成測試階段前，由CMO創(chuàng)建受控庫，命名規(guī)則為：`項(xiàng)目名稱-CONTROL-版本號`（如“電商平臺-CONTROL-V1.0”）。3.2.2存儲內(nèi)容經(jīng)過評審的需求文檔（PRD）、設(shè)計(jì)文檔（SDD）；集成測試通過的代碼版本（如tag標(biāo)記的穩(wěn)定分支）；測試報(bào)告（集成測試報(bào)告、系統(tǒng)測試報(bào)告）；配置項(xiàng)清單（如《配置項(xiàng)狀態(tài)表》）。3.2.3維護(hù)要求權(quán)限設(shè)置：CMO擁有“管理”權(quán)限，測試人員擁有“讀/獲取”權(quán)限，開發(fā)人員、項(xiàng)目經(jīng)理擁有“只讀”權(quán)限；版本規(guī)范：采用“主版本.次版本.補(bǔ)丁版本”三段式命名（如V1.0.0），其中：<br>-主版本（Major）：產(chǎn)品功能重大變更；<br>-次版本（Minor）：新增功能或優(yōu)化；<br>-補(bǔ)丁版本（Patch）：bug修復(fù)；備份策略：每周日24:00自動(dòng)備份，備份文件存儲至異地服務(wù)器，保留最近30天的備份。3.3產(chǎn)品庫（ProductLibrary）3.3.1建立條件項(xiàng)目通過用戶驗(yàn)收測試（UAT）或內(nèi)部驗(yàn)收后，由CMO創(chuàng)建產(chǎn)品庫，命名規(guī)則為：`項(xiàng)目名稱-PRODUCT-版本號`（如“電商平臺-PRODUCT-V1.0”）。3.3.2存儲內(nèi)容正式發(fā)布的軟件安裝包（如.exe、.war、.jar）；用戶手冊、操作指南、releasenotes；驗(yàn)收報(bào)告（UAT報(bào)告、客戶簽署的驗(yàn)收證明）；最終版本的源代碼（tag標(biāo)記為“release”）。3.3.3維護(hù)要求權(quán)限設(shè)置：CMO擁有“管理”權(quán)限，發(fā)布人員擁有“讀/獲取”權(quán)限，其他人員無權(quán)限；不可變性：產(chǎn)品庫中的配置項(xiàng)一旦遷入，禁止修改或刪除（除非經(jīng)過CCB審批的緊急變更）；備份策略：每月末24:00自動(dòng)備份，備份文件存儲至離線介質(zhì)（如光盤、移動(dòng)硬盤），永久保留。4三庫操作流程4.1入庫流程4.1.1開發(fā)庫→受控庫1.發(fā)起請求：開發(fā)人員完成代碼開發(fā)與單元測試后，向CMO提交《配置項(xiàng)遷入申請表》，附評審記錄（如需求評審報(bào)告、設(shè)計(jì)評審報(bào)告）；2.評審審批：項(xiàng)目經(jīng)理審核申請表，確認(rèn)配置項(xiàng)的完整性與正確性；QA審核評審記錄，確保符合質(zhì)量標(biāo)準(zhǔn)；3.執(zhí)行遷入：CMO收到審批通過的申請表后，將配置項(xiàng)從開發(fā)庫遷入受控庫，更新《配置項(xiàng)狀態(tài)表》，并通知測試人員。4.1.2受控庫→產(chǎn)品庫1.發(fā)起請求：測試人員完成系統(tǒng)測試與UAT后，向CCB提交《產(chǎn)品入庫申請表》，附驗(yàn)收報(bào)告（如UAT報(bào)告、客戶簽字的驗(yàn)收證明）；2.評審審批：CCB召開會(huì)議，審核申請表與驗(yàn)收報(bào)告，確認(rèn)產(chǎn)品符合交付要求；3.執(zhí)行遷入：CMO收到CCB審批通過的申請表后，將配置項(xiàng)從受控庫遷入產(chǎn)品庫，生成《產(chǎn)品發(fā)布通知書》，并通知項(xiàng)目組與客戶。4.2出庫流程4.2.1開發(fā)庫出庫開發(fā)人員通過版本控制工具（如Gitcheckout）從開發(fā)庫獲取代碼，用于日常開發(fā)；要求填寫出庫備注（如“獲取feature/login分支代碼，開發(fā)登錄功能”），CMO定期檢查出庫記錄。4.2.2受控庫出庫測試人員向CMO提交《受控庫出庫申請表》，說明出庫用途（如“獲取V1.0.0版本，執(zhí)行系統(tǒng)測試”）；CMO審核通過后，將配置項(xiàng)導(dǎo)出給測試人員，更新《配置項(xiàng)狀態(tài)表》。4.2.3產(chǎn)品庫出庫發(fā)布人員向CMO提交《產(chǎn)品庫出庫申請表》，附客戶需求函或內(nèi)部發(fā)布審批單；CMO審核通過后，將產(chǎn)品庫中的配置項(xiàng)導(dǎo)出給發(fā)布人員，生成《產(chǎn)品出庫記錄》，并通知客戶。4.3變更流程4.3.1變更分類變更類型定義審批權(quán)限微小變更不影響功能、性能的bug修復(fù)（如拼寫錯(cuò)誤、界面調(diào)整）項(xiàng)目經(jīng)理一般變更影響局部功能的變更（如新增一個(gè)小功能、優(yōu)化某個(gè)算法）CCB重大變更影響產(chǎn)品核心功能、進(jìn)度或成本的變更（如需求變更、架構(gòu)調(diào)整）管理層4.3.2變更流程1.發(fā)起變更：變更申請人（開發(fā)/測試/客戶）提交《變更請求表》，說明變更原因、變更內(nèi)容、影響分析（如對進(jìn)度、成本、質(zhì)量的影響）；2.變更評審：CCB根據(jù)變更類型組織評審，判斷變更的必要性與可行性，形成《變更評審報(bào)告》；3.變更執(zhí)行：微小變更：項(xiàng)目經(jīng)理審批后，開發(fā)人員在開發(fā)庫中修改，提交至受控庫進(jìn)行回歸測試；一般/重大變更：CCB/管理層審批后，開發(fā)人員修改開發(fā)庫，提交至受控庫進(jìn)行全面測試，測試通過后遷入產(chǎn)品庫；4.變更驗(yàn)證：測試人員驗(yàn)證變更結(jié)果，簽署《變更驗(yàn)證報(bào)告》；5.變更關(guān)閉：CMO更新《配置項(xiàng)狀態(tài)表》，記錄變更歷史，關(guān)閉變更請求。5安全管理5.1權(quán)限管理遵循“最小權(quán)限原則”，即每個(gè)角色僅擁有完成工作所需的最小權(quán)限；定期（每季度）review權(quán)限設(shè)置，及時(shí)回收離職人員或角色調(diào)整人員的權(quán)限；禁止共享賬號，要求使用個(gè)人賬號登錄三庫系統(tǒng)。5.2數(shù)據(jù)備份與恢復(fù)開發(fā)庫：每日備份，保留7天；受控庫：每周備份，保留30天；產(chǎn)品庫：每月備份，永久保留；備份介質(zhì)需異地存儲（如公司總部與分公司各存一份），防止本地災(zāi)難（如火災(zāi)、硬盤損壞）導(dǎo)致數(shù)據(jù)丟失；每年進(jìn)行一次備份恢復(fù)測試，確保備份數(shù)據(jù)的可用性。5.3訪問日志管理三庫系統(tǒng)需記錄所有操作日志，包括操作人員、操作時(shí)間、操作類型（遷入/遷出/修改/刪除）、操作對象、操作結(jié)果；日志保留期限為6個(gè)月，超過期限的日志需歸檔存儲；QA定期檢查日志，發(fā)現(xiàn)異常操作（如未經(jīng)審批的刪除、越權(quán)訪問）需及時(shí)調(diào)查并上報(bào)。6審計(jì)與改進(jìn)6.1審計(jì)計(jì)劃QA每月制定《三庫審計(jì)計(jì)劃》，明確審計(jì)范圍（如某個(gè)項(xiàng)目的三庫）、審計(jì)內(nèi)容（如入庫流程、變更流程、權(quán)限設(shè)置）、審計(jì)人員與時(shí)間；每年進(jìn)行一次全面審計(jì)，覆蓋所有在運(yùn)行項(xiàng)目的三庫。6.2審計(jì)內(nèi)容審計(jì)項(xiàng)審計(jì)標(biāo)準(zhǔn)三庫建立是否按項(xiàng)目啟動(dòng)要求建立開發(fā)庫、受控庫、產(chǎn)品庫？入庫流程開發(fā)庫→受控庫是否有評審記錄？受控庫→產(chǎn)品庫是否有驗(yàn)收報(bào)告？變更流程變更請求是否經(jīng)過審批？變更結(jié)果是否經(jīng)過驗(yàn)證？權(quán)限設(shè)置是否遵循最小權(quán)限原則？離職人員權(quán)限是否及時(shí)回收？備份與日志是否定期備份？備份介質(zhì)是否異地存儲？訪問日志是否完整？6.3審計(jì)結(jié)果與改進(jìn)QA根據(jù)審計(jì)結(jié)果生成《三庫審計(jì)報(bào)告》，指出存在的問題（如“項(xiàng)目A的受控庫入庫未提交評審記錄”），并提出整改要求（如“3個(gè)工作日內(nèi)補(bǔ)充評審記錄”）；項(xiàng)目組需在規(guī)定時(shí)間內(nèi)完成整改，QA跟蹤整改結(jié)果；技術(shù)管理部門每季度匯總審計(jì)問題，分析根因（如“流程繁瑣導(dǎo)致開發(fā)人員跳過評審”），修訂本制度或優(yōu)化流程（如“簡化微小變更的評審環(huán)節(jié)”）。7附則7.1生效日期本制度自2023年10月1日起施行，原《軟件配置管理辦法》同時(shí)廢止。