个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
问题:作为 SOX 合规性审计的一部分,要求职责分离的审计员要求删除对源代码的贡献访问权限,即使是 Azure DevOps 服务或 Azure 存储库中的项目管理员和集合管理员等管理员也是如此。任何能够通过发布管道部署到生产环境的人。
问题:在 DevOps 和 SRE 时代,微软或任何其他使用 Azure DevOps 或类似服务的公司如何解决这些权限冲突,在这个时代,有权访问生产部署的人需要进行代码更改(如果需要)以解决任何客户问题,同时让合规人员满意?
到目前为止尝试过的解决方案:-- 添加了对项目集合管理员组在存储库中贡献权限的显式拒绝,但它没有解决所有其他场景,对于集合管理员来说,拒绝不会胜过允许。来自 MS 文档 - Azure DevOps Permission Settings
最佳答案
不确定这是否是可接受的答案,但您的问题在于您的审核员。在这个时代,人们普遍认为自动化和强大的审计日志的结合就足以满足要求。
我推测您的问题源于审计师缺乏了解。实际部署是由机器而不是人来处理的。我同意开发人员不应在产品中进行未经检查的任意更改。
我的建议是,下次与您的 CTO 讨论组建新的审核团队的事宜。
Puppet 对此的说法仅供引用:
What does “separation of duties” really mean? Some companies implementcontrols to limit access to IT systems or require manual approvals,believing that regulations — for example, the Sarbanes-Oxley Act orSOC 2 — mandate separation of duties. This is often interpreted tomean that people who can commit to a code repository must not beallowed to deploy that same code to production. Indeed, many auditorsand security professionals are convinced that this is what theregulations say. In reality, regulations can frequently be satisfiedwith the combination of:• Automated deployment• A requirement that someone other than the code author must review and approve the change• Supporting controls such as strong audit logs and access control Ifyour automation efforts are being hamstrung by controls such as these,we suggest you focus on building a collaborative relationship withyour auditors and risk management teams. Work together on genuinelysatisfying regulatory requirements in an efficient and secure manner.We’ve seen very few people actually reach out to their risk teams tocollaborate, but the ones that do nearly always succeed.
关于SOX 合规性的 Azure DevOps 权限层次结构,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/59684337/
25
4
0
我目前正在尝试基于哈希表构建字典。逻辑是:有一个名为 HashTable 的结构,其中包含以下内容: HashFunc HashFunc; PrintFunc PrintEntry; CompareF
如果我有一个指向结构/对象的指针,并且该结构/对象包含另外两个指向其他对象的指针,并且我想删除“包含这两个指针的对象而不破坏它所持有的指针”——我该怎么做这样做吗? 指向对象 A 的指针(包含指向对象
像这样的代码 package main import "fmt" type Hello struct { ID int Raw string } type World []*Hell
我有一个采用以下格式的 CSV: Module, Topic, Sub-topic 它需要能够导入到具有以下格式的 MySQL 数据库中: CREATE TABLE `modules` ( `id
通常我使用类似的东西 copy((uint8_t*)&POD, (uint8_t*)(&POD + 1 ), back_inserter(rawData)); copy((uint8_t*)&PODV
错误 : 联合只能在具有兼容列类型的表上执行。 结构(层:字符串,skyward_number:字符串,skyward_points:字符串)<> 结构(skyward_number:字符串,层:字符
我有一个指向结构的指针数组,我正在尝试使用它们进行 while 循环。我对如何准确初始化它并不完全有信心,但我一直这样做: Entry *newEntry = malloc(sizeof(Entry)
我正在学习 C,我的问题可能很愚蠢,但我很困惑。在这样的函数中: int afunction(somevariables) { if (someconditions)
我现在正在做一项编程作业,我并没有真正完全掌握链接,因为我们还没有涉及它。但是我觉得我需要它来做我想做的事情,因为数组还不够 我创建了一个结构,如下 struct node { float coef;
给定以下代码片段: #include #include #define MAX_SIZE 15 typedef struct{ int touchdowns; int intercepti
struct contact list[3]; int checknullarray() { for(int x=0;x<10;x++) { if(strlen(con
这个问题在这里已经有了答案: 关闭 11 年前。 Possible Duplicate: Empty “for” loop in Facebook ajax what does AJAX call
我刚刚在反射器中浏览了一个文件,并在结构构造函数中看到了这个: this = new Binder.SyntaxNodeOrToken(); 我以前从未见过该术语。有人能解释一下这个赋值在 C# 中的
我经常使用字符串常量,例如: DICT_KEY1 = 'DICT_KEY1' DICT_KEY2 = 'DICT_KEY2' ... 很多时候我不介意实际的文字是什么,只要它们是独一无二的并且对人类读
我是 C 的新手,我不明白为什么下面的代码不起作用: typedef struct{ uint8_t a; uint8_t* b; } test_struct; test_struct
您能否制作一个行为类似于内置类之一的结构,您可以在其中直接分配值而无需调用属性? 前任: RoundedDouble count; count = 5; 而不是使用 RoundedDouble cou
这是我的代码: #include typedef struct { const char *description; float value; int age; } swag
在创建嵌套列表时,我认为 R 具有对列表元素有用的命名结构。我有一个列表列表,并希望应用包含在任何列表中的每个向量的函数。 lapply这样做但随后剥离了列表的命名结构。我该怎么办 lapply嵌套列
我正在做一个用于学习目的的个人组织者,我从来没有使用过 XML,所以我不确定我的解决方案是否是最好的。这是我附带的 XML 文件的基本结构:
我是新来的 nosql概念,所以当我开始学习时 PouchDB ,我找到了这个转换表。我的困惑是,如何PouchDB如果可以说我有多个表,是否意味着我需要创建多个数据库?因为根据我在 pouchdb
我是一名优秀的程序员,十分优秀!