Моя компания пытается удовлетворить требования PA-DSS для нашего приложения, одна из которых довольно неоднозначна в отношении «безопасного контроля источника», однако наш аудитор интерпретировал ее как необходимость в подписанных версиях. Я вижу «подписанные коммиты» в git и Hg, но ничего не обнаружил на стороне присутствия.Поддерживает ли Perforce «подписанные изменения» или «подписанные коммиты»?
ревизоров пример, как к тому, что он хотел бы видеть следующий образом:
«Поставщик платежных приложений поддерживает целостность исходного кода в процессе разработки с использованием стандартного алгоритма хэширования, который создается и проверенный на коде регистрации по прибытию . в и проверяются, когда исходный код извлечен для модификации алгоритм хеширования используется: • (пример) SHA-256 • (пример) SHA-512 • (пример) MD5"
Если посмотреть на http://en.wikipedia.org/wiki/Comparison_of_revision_control_software , в таблице «Особенности» есть столбец «Подписанные ревизии» и секция perforce n говорит «Да» ... кто-то подумал, что это что-то вроде поддержки.
Это что-то, что можно было бы сделать, используя триггеры до/после фиксации? Создайте хэш в pre-commit, сохраните его (каким-то образом) и проверьте его против того, который мы создаем в after-commit? Я только узнал о триггерах по умолчанию 5 минут назад, поэтому я даже не знаю, поддержат ли они концепцию (не уверен, как сохранить значение в событиях триггеров, не уверен, что у меня есть доступ к содержимому файла в триггере перед проверкой, и т.д).
Это был мой первый подход к толкованию правил соблюдения, но аудитор не согласился. Это на самом деле то, что я предусмотрел в своем первоначальном документе, и в настоящее время я пытаюсь покрыть свою задницу, когда мы встречаемся с ним в ближайшее время, и это было в его списке. Спасибо за поддержку. Стандарт безопасности данных приложения платежей применяется, когда вы держите/обрабатываете данные кредитной карты. Мы пытаемся v3.0, что на шаг выше всего, что нам нужно было сделать раньше. –
У вас есть ссылка, на которую я могу ссылаться? Я клянусь, что у меня была своя задница на этом. –
Я добавил несколько ссылок. Спасибо за указатель на PA-DSS; к сожалению, я очень мало знаю об этом. Я думаю, что чем больше вы узнаете о проблемах аудитора, тем точнее сообщество может дать вам советы. Вы также можете попробовать запросить список рассылки perforce-user или на веб-форумах Perforce ... –