PCI-DSSでのソースコードリポジトリ管理にどのような制限がありますか?
私が働いている会社は、私たちのネットワークでホストされているクライアント向けのクレジットカード処理サービスを開発したいと考えています。現在、バージョン管理にSVNを使用しています。チェックアウト/コミットアクセスが必要な開発者だけがアクセスできるように保護されています。その間、私はSVNからHGへの移行を計画していました。ただし、リモートクローンのアクセス制御が不足しているため、セキュリティチームは分散SCMツールの使用について留保を表明しています。具体的には、これはPCI-DSSコンプライアンスに違反すると主張しています。しますか?
まず、答えはPCI-DSS 2.0、特に要件 6をざっと読んだことに基づいているとだけ言っておきます。
Subversion を使ったのと同じように Mercurial を使うのが問題になる理由がわかりません。私がそう考える理由は次のとおりです。
したがって、Mercurial のような DVCS を使用しながら、PCI-DSS に準拠する余地は十分にあると思います。上記のすべては、Git にも等しく当てはまります。
他の人が言ったように、これは、さらにアドバイスが必要な場合に QSA で提起するものです。とはいえ、PCI は、あるテクノロジを別のテクノロジに強制するのではなく、適切な管理を行うことを目的としています。
開発時には、次のことを考慮する必要があります。
これにより、選択したリポジトリマネージャーの使用が妨げられることはありません
セキュリティ チームがアクセス制御の部分について正しいかどうかは、彼らがどのような種類の制御を望んでいるかによって異なります。
SVN と DVCS の両方で、1 人の開発者が読み取ることができるものを制御することは制限されています。通常、中央の SVN サーバーを使用している場合でも、許可されているパスの古いリビジョンを読み取ることに制限はありません。そのため、古い履歴をリビジョンごとにローカル ストアにダンプできます ( hg subversion、git svnおよび他の多くのツールがまったく同じように機能します)。SVN には、誰かがすべてのリビジョンをダウンロードしてコピーを配布することを妨げるような魔法はありません。
最後に、ユーザー側で作業コピーへのアクセスを制限できない場合、読み取り制限はまったくありません。限目。
Mercurial では任意の名前をコミッターとして設定できるため、これは別のゲームです¹。そのため、開発者が仲間の開発者の名前でコミットして False-Flag リビジョンを導入し、このリビジョンをサーバーにプッシュできないように、サーバーにいくつかのメカニズムを追加する必要があります。AFAIK Subversionはサーバー上でユーザー名をそれ自体で設定しますが、hgサーバーには、すべての受信変更セットのユーザー名をチェックするためのフックを何らかの形で提供する必要があります。
¹ Subversion でもコミッター名を変更する方法がありますが、これを許可するには、サーバーで pre-revprop フックを有効にする必要があります。