软件项目上线管理.docxVIP

中移物联网有限公司 中移物联网有限公司 —3— 中移物联网有限公司 — PAGE 8— 上线版本安全质量管理规定 （试行） 编写单位： 编写日期： 修 订 记 录 日期 修订记录 修订者 1. 目的 为加强部门上线版本管理工作， 规范版本发布的过程，提高版本发布的质量，特制定本规范。 2. 适用范围 本规范适用于部门所有正式上线版本。 3. 信息安全检测标准 （1）基线扫描 检测内容：读取操作系统、中间件、数据库等配置文件，检查配置是否符合集团的安全要求，具体评判标准如下： 通过标准：85 分（百分制），同时无严重级别以上漏洞 注：最终以绿盟扫描器 RSAS分析结果为准 （2）主机漏洞扫描 检测内容：扫描生产环境中安装的数据库、中间件等是否存在已经披露的漏洞； 通过标准：无高危、中危漏洞。 （3）web 应用渗透测试 检测内容：综合利用自动化工具及手工测试发现业务系统存在web 应用漏洞； 通过标准：无高危、中危漏洞。 4. DI 值定义及标准 DI（Defect Index）值是衡量软件质量的高低的指标之一，也是 业内通用的软件质量度量指标之一，计算方法是根据软件测试的故障 数来测算：致命级别的故障数×10+严重级别的故障数×3+一般级别 的故障数×1+其它类型故障数×0.1。 通过标准：上线正式版本 DI 值不超过 12，且无致命级别的故障 视为该版本质量状态达标。 故障定义如下： 致命级别：核心流程完全阻塞； 严重级别：核心流程阻塞，但可以绕过；主功能不可用； 一般级别：边缘功能不可用；体验类，对用户体验影响较大的问 题； 其它类型：体验类，对用户体验影响较小的问题及优化类问题。 5. 版本上线流程 6. 总则 1、上线版本必须经过测试团队进行质量状态检查，合规团队进行安全扫描，DI 值达标、信息安全检测通过方可上线； 2、DI 值不达标、信息安全检测不通过的项目必须经过分管副总决策是否同意上线；