PCI-DSS 下的源代码存储库管理存在哪些限制（如果有）？

Question

PCI-DSS 下的源代码存储库管理存在哪些限制（如果有）？

我工作的公司希望为我们网络下托管的客户开发信用卡处理服务。目前我们使用 SVN 进行版本控制。它是安全的，因此只有需要签出/提交访问权限的开发人员才能拥有它。与此同时，我正计划从 SVN 迁移到 HG。然而，由于缺乏对远程克隆的访问控制，安全团队对使用分布式 SCM 工具表示保留。具体来说，他们声称这将违反 PCI-DSS 合规性。是吗？

Answer 1

首先，我只想说我的答案是基于快速阅读 PCI-DSS 2.0 ，特别是要求 6。

如果您以与使用 Subversion 类似的方式使用 Mercurial，我不明白为什么使用 Mercurial 会出现问题。以下是我这样认为的一些原因：

• 大概您没有将客户数据存储在存储库中（仅存储对该数据进行操作的代码）。
• PCI-DSS 经常使用“标准行业惯例”等词语。 Mercurial 现在是一种相当常见的 VCS，这很有帮助。
• 似乎需要锁定的是推送变更集的能力。具体来说，能够推送到存储库的“规范”克隆。仅仅因为 Mercurial 具有这些“远程克隆”并且开发人员可以将随机（甚至恶意）更改推送到这些克隆中，并不意味着这些更改将（或应该）最终出现在您的生产系统中。
• 使用 Subversion，听起来您有权限将签入限制为一部分开发人员（或者甚至只是一个“看门人”？）。
• 使用 Mercurial，您可以将其设置为在中央（规范的“生产”存储库）上使用 SSH。为此，为每个开发人员提供自己的 SSH 凭据（这是 PCI-DSS 所要求的 - 无需共享密码！）。在这种情况下，您可以在托管中央存储库的文件系统上设置权限，并且仅向特定用户授予 Mercurial 目录中的写入权限，
• 您可以通过 HTTP 来替代（或也）发布中央存储库。在这种情况下，您可以使用 Apache (或另一个 您还可以完全禁止写入中央存储库，并规定所有源更改必须通过一两个特定人员发送，他们将在拉取（或应用
• ）更改之前对其进行审查。

因此，我认为在使用像 Mercurial 这样的 DVCS 时，有足够的空间来遵守 PCI-DSS。以上所有内容同样适用于 Git。

Answer 2

正如其他人所说，如果您需要更多建议，可以向您的 QSA 提出这一问题。也就是说，PCI 的重点是实施正确的控制，而不是强制一种技术优于另一种技术。

开发时，您需要考虑：

• 测试/开发和生产系统之间的职责分离
• 能够检测变更、变更的来源、变更时间和变更人
• 在推送上线时制定变更控制程序

这一切都不会阻止您使用存储库您选择的经理

Answer 3

安全团队对于访问控制部分的看法是否正确取决于他们想要什么样的控制。

限制读取

对于 SVN 和任何 DVCS 而言，对开发人员可以读取的内容进行任何控制都是有限的。即使您拥有中央 SVN 服务器，通常也不会限制读取您有权访问的路径的旧版本。因此，您可以将旧的历史版本逐个修订转储到本地存储中（hg subversion、git svn 和许多其他工具正是以这种方式工作的）。 SVN 中没有什么神奇之处可以阻止某人下载每个版本并分发这些副本。

最后，如果您无法限制用户端对工作副本的访问，则根本没有读取限制。时期。

限制写入

这是一个不同的游戏，因为 Mercurial 允许您根据需要将任何名称设置为提交者。因此，您需要在服务器上添加一些机制，以便任何开发人员都不能通过使用一位开发人员同事的名字提交来引入错误标记修订，并将此修订推送到服务器。虽然 AFAIK Subversion 确实在服务器上自行设置了用户名，但 hg 服务器必须以某种方式提供一个钩子来检查所有传入变更集的用户名。

¹ 也有一种方法可以在 Subversion 中更改提交者名称，但您必须在服务器上启用 pre-revprop 挂钩才能允许这样做。