Какова "корпоративная" лучшая практика для безопасности SVN?

Question

(Специально для VisualSVN.) Следует ли использовать проверку подлинности SVN или встроенную проверку подлинности Windows?

Исправьте, если что-то здесь не так, но ...

Проблема с аутентификацией SVN заключается в том, что администратор должен либо придти к разработчику, чтобы ввести собственный пароль, когда их учетная записьили они должны создать для них пароль (чтобы они знали пароль разработчика).Но, конечно, администратор сервера SVN может получить доступ к своему коду в любом случае, потому что у него есть полный доступ к самому репозиторию, так ли это важно?

Если вы используете встроенную аутентификацию Windows, я полагаю (?) это означает, что вы предоставляете учетные записи полного доступа devs на сервере SVN (что я вижу, анальные аудиторы вызываютплохая практика в зависимости от того, что еще там работает).

Так какой тип аутентификации считается лучшим для большой организации?Имеет ли это значение?

Answer 1

Размещение SVN на Apache с DAV (dav_module, dav_svn_module) и AUTHZ (authz_svn_module) и SSPI (sspi_auth_model) означает, что вы можете проверять пользовательские запросы к контроллеру домена.Это означает, что каждый, имеющий учетную запись пользователя домена, может получить доступ, политика паролей и процедура сброса уже хорошо определены (и поддерживаются кем-то другим), и ваши административные издержки действительно низкие.

Вам все еще нужно определитькто в какой группе, что каждой группе предоставлено и каков уровень доступа по умолчанию, но это довольно тривиально и не требует от вас знания их пароля, только их имени пользователя.

Например, на одном из наших серверовпо умолчанию это доступ на чтение (любой, кто может войти в домен, может войти на сервер SVN и просмотреть содержимое), а избранной группе пользователей (разработчикам) предоставляются права на фиксацию / блокировку / запись изменений.