規劃程式設計師的安全

線上編輯

程式設計師會對安全主管造成問題。 他們的知識可讓他們略過未仔細設計的安全程序。

程式設計師可以略過安全來存取他們測試所需的資料。 它們也可以規避配置系統資源的一般程序,以便為自己的工作取得更好的效能。 安全通常被他們視為妨礙執行其工作所需的作業,例如測試應用程式。 然而,賦予程式設計師過多的系統權限,違反了權責區分的安全原則。 它也可讓程式設計師安裝未獲授權的程式。

為應用程式設計師設定環境時,請遵循下列準則:
  • 請勿將所有特殊權限授與程式設計師。 如果您必須提供程式設計師特殊權限,請只提供他們執行指派給程式設計師之工作或作業所需的特殊權限。
  • 請勿使用 QPGMR 使用者設定檔作為程式設計師的群組設定檔。
  • 使用測試程式庫並防止存取正式作業程式庫。
  • 建立程式設計師程式庫,並使用採用權限將選取的正式作業資料複製到程式設計師程式庫以進行測試的程式。
  • 如果互動式效能是一個問題,請考量將建立程式的指令變更為僅以批次方式執行:
    CHGCMD CMD(CRTxxxPGM) ALLOW(*BATCH *BPGM)
  • 在將應用程式或程式變更從測試移至正式作業程式庫之前,先執行應用程式功能的安全審核。
  • 在開發應用程式時使用群組設定檔技術。 擁有群組設定檔所擁有的所有應用程式。 讓使用群組應用程式成員並定義程式設計師使用者設定檔的程式設計師擁有任何建立的新物件 (OWNER (*GRPPRF))。 當程式設計師從一個專案移至另一個專案時,您可以變更程式設計師設定檔中的群組資訊。 如需相關資訊,請參閱 物件的群組所有權
  • 開發計劃,以在應用程式移至正式作業時指派它們的所有權。 若要控制對正式作業應用程式的變更,所有應用程式物件 (包括程式) 都應該由指定給應用程式的使用者設定檔所擁有。

    應用程式物件不應該由程式設計師所擁有,因為程式設計師在正式作業環境中可以不受控制地存取它們。 擁有應用程式的設定檔可能是負責應用程式的個人設定檔,也可能是專門建立作為應用程式擁有者的設定檔。