Perforce是否支持「簽名修訂」或「簽名提交」？

Question

我的公司正在努力滿足我們應用程序對PA-DSS的要求，其中一個關於「安全源代碼控制」的含義很模糊，但我們的審計員已將其解釋爲需要簽署修訂。我看到git和Hg中的「簽名提交」，但在執行方面沒有發現任何內容。

審計員例如爲他想看到的是如下內容：

「支付應用程序供應商通過使用創建並在代碼驗證入住一個標準的哈希算法保持整個開發過程中的源代碼的完整性。在和當源代碼簽出用於修飾的驗證中使用的散列算法是： •（實施例）SHA-256 •（實施例）SHA-512 •（實施例）MD5"

如果看一下http://en.wikipedia.org/wiki/Comparison_of_revision_control_software在「功能」表中，有一個「簽名修訂」和perforce部分的列n說「是」......有人認爲它有某種支持。

這是可以使用提交觸發器之前/之後完成的東西嗎？在提交之前產生一個散列，堅持它（以某種方式），並檢查它與我們在提交後創建的那個相對應嗎？我只在5分鐘前瞭解到perforce觸發器，所以我甚至不知道他們是否會支持這個概念（不確定如何在觸發器事件中保留一個值，不知道我是否可以在檢出前觸發器訪問文件內容，等等）。

Answer 1

事實上，提交給Perforce的文件具有在提交操作期間計算的加密摘要。

每次將文件同步到任何客戶端工作站時，都會隨後檢查這些文件摘要，並且還可以通過使用'p4 verify'命令直接在服務器上重新驗證以確定文件內容是否已直接受到攻擊在服務器上。

您還可以通過運行各種命令來觀察這些摘要;例如，您可以運行'p4 fstat -Ol //depot/src/file.c'並查看'摘要'字段。

順便說一下，「PA-DSS要求」是什麼？這是我的一個新縮寫。

下面是關於文件的信息一定量的消化了Perforce的服務器維護：

1. http://www.perforce.com/perforce/doc.current/manuals/cmdref/p4_verify.html
2. http://kb.perforce.com/AdminTasks/BackupAndRecovery/BadErrorsFromP4Verify
3. http://www.perforce.com/perforce/doc.current/manuals/cmdref/p4_fstat.html

如果問題涉及保持的紀錄代碼審查流程，以確定被審查的代碼更改是實際提交的代碼更改，您可能會開發基於Perforce「擱置」命令的工作流程。

了「擱置」的命令，這些各種各樣的工作流程幫助的最重要的方面實際上是在「提交」命令：「P4提交-e」直接提交他們的服務器上的架子，不重新轉移來自用戶工作站的文件。

因此，如果你的進程只允許「提交-e」爲提交給你的資料庫的某些保護區，並只允許已審查貨架的提交（這些將是你的事情將與你執行更改提交觸發器），那麼您有信心檢查的代碼是提交的代碼。