【发布时间】:2020-01-10 15:11:23
【问题描述】:
问题:作为 SOX 合规性审计的一部分,要求职责分离的审计员要求删除对源代码的贡献访问权限,即使是 Azure DevOps 服务中 Azure Repos 中的项目管理员和集合管理员等管理员,或任何能够通过发布管道部署到生产环境的人。
问题:MS 或任何其他使用 Azure DevOps 或类似服务的公司如何解决 DevOps 和 SRE 时代的这些权限冲突,其中有权访问生产部署的人需要进行代码更改(如果需要)以解决任何客户问题,同时让合规人员满意?
到目前为止尝试过的解决方案:- - 为项目集合管理员组添加了对存储库中贡献权限的明确拒绝,但它没有解决所有其他情况,如集合管理员,拒绝不允许。 来自 MS Docs - Azure DevOps Permission Settings
【问题讨论】:
-
您能描述一下您要设置的权限吗?请查看下面的文章,该文章为每个内置用户、组和权限提供了全面的参考。这是描述每个内置安全用户和组以及每个权限的大量信息:docs.microsoft.com/en-us/azure/devops/organizations/security/…
-
是的,我知道我们可以设置明确的权限来拒绝某些用户作为贡献者的访问权限,这样他们就无法为我们正在做的代码做出贡献。但这就像太多的开销,对于每个代码存储库,都必须关闭对该组的显式贡献。因此,我想知道拥有许多代码存储库的大型组织如何管理它仍然保持合规性满意?
标签: azure azure-devops devops continuous-delivery sarbanes-oxley