入职后发现公司文件受控仍使用邮件,信息安全存在漏洞,决定引入配置工具。以前公司有成熟的工具,从未研究这些。在初创公司一遍遍锤炼知识体系,虽费力,仍不失为一乐。
一、工具选型
调研过的工具有:SourceOffSite、SVN、git、已购的XX公司PLM。调研结果如下:
1.测试后,XX公司PLM架构很烂,无力回天。
2.SourceOffSite要投入资金,权限有禁止/读/写/删/销毁,可打标签、钉住不改。没三库,不匹配。
3.git功能强大,更适合敏捷,不匹配。
4.tortoise SVN免费,权限有禁止、读、写(含删),打tag。配置三库:开发库存开发基线;受控库存测试基线;产品控存产品基线,契合需求。
三库权限配置
最后选用SVN,开发库仅研发可写,受控库仅文控可写,产品库仅体系可写,避免误改/误用。
二、配置权限架构设计
基于SVN开始配置架构设计。如下图,配置要素为项目库目录和人,权限将目录和人关联。架构需稳定、高效、安全,此模型目录稳定,人不稳定。人有兼职、更替。
人员兼职将使项目库权限差异化,配置繁琐耗时,易出错,安全和高效大打折扣,人不能作为配置要素。
不稳定的配置架构
如下图,将人的职责抽象成角色,人放入角色帽子下,模型稳定了。人员兼职,多个角色放入此人。人员更替,更换角色下的人。
稳定的配置架构
三、权限配置表设计
独角兽型企业,信息保密很重要,需分岗隔离权限,如下图19*24权限矩阵,极复杂。
原希望按此权限矩阵建库封装为CBB,真实建库基于CBB改库名和人,工具不支持。
配置权限矩阵设计
四、配置建库实操及一些小心机
配置建库分三步:一,建目录;二,建用户/建角色;三,赋权限。使用建库两剑客tortoise SVN+web版SVNAdmin V2.4.7。
a.建目录-tortoise SVN
在本地建好所有层级文件夹作为CBB存档,建库时导入SVN,一秒完成。
b.建用户/建角色(用户组)-web版SVNAdmin V2.4.7
如下图,批量完成所有用户账号建立。
建角色(用户组)有两个小心机:一是分组名为项目编号+角色,避免混淆。第二,多项目共用角色时,备注所有项目编号,免重重复建。
角色帽子下配用户太简单,不说了。
C.赋权限-web版SVNAdmin V2.4.7
进入仓库配置权限,选SVN分组,输入项目编号查出项目所有分组,进行赋权。
易用性设计
如此建库后,如下截图,所有人无权进入一级、二级、三级,只能进四级,用户需记住全部四级目录,这是反人性的。
如在一级赋全员读权限,让所有人能顺利进入一级、二级、三级(均无文件),在四级(有文件)给全员禁止,如此就易用了。
三步完成:1.建ALL用户组,放入所有用户。2.一级目录给ALL读。3.所有四级目录给ALL禁止。
结束语-信息安全
信息安全是企业的生命线,SVN可零成本实现分岗隔离,同岗共享。最最重要的是将散落在各终端的技术资料收归国库(服务器),降低企业经营风险。
安全策略需重视,至少一主一备,主备服务器放置于不同机房(水火无情)。如业务需要,可一主多备或异地备份,如此地震、海啸、战争都不怕了。
——2023-5-8
网友评论