Penso che tu abbia ragione se l'utente httpd ha più diritti di quanto dovrebbe avere il dev.
Anche quando ho le mie regole e gli sviluppatori non vogliono ascoltarli, passo il lavoro al prossimo ragazzo della fila.
I rischi:
- Hanno bisogno di un accesso shell alle tue macchine
- Hanno bisogno di accedere all'utente httpd (possono fondamentalmente controllare i tuoi server web)
Qualsiasi dei precedenti significa che possono gironzolare con cose con le quali non dovrebbero fare a meno. Oltre a questo, possono configurare il tuo server web SOLO per lavorare con i loro script, il che significa che se tu romperai un contratto con loro, ti farai molto male per risolvere il problema. (Questa è una possibilità, non dicendo che lo faranno)
Se consenti loro l'accesso alla shell ti consiglio di stipulare, per contratto (!), ciò che possono toccare e ciò che non possono. (parla piano con un grosso bastone)
Come stai dicendo, se i loro script dovrebbero scrivere solo su una certa dir, allora non c'è assolutamente bisogno di dare loro nient'altro che una shell che può scrivere nella webfolder. Se hanno bisogno di accedere a determinati file di configurazione, è possibile aggiungerli al gruppo httpd. Se hanno bisogno di accedere per riavviare un server web, basta dare loro sudo per il comando restart.
Non dare mai a nessuno più spazio di quello di cui hanno bisogno per portare a termine il lavoro. Se il marketing persiste, descrivi con attenzione molto che cosa può accadere se questi errori falliscono e creano tempi di inattività e in che modo ciò può influenzare l'immagine dell'azienda. Assicurati di coprirti pure.
Modifica
Vogliono eseguire i propri script di accesso come utente httpd in modo che possano avere accesso completo in scrittura con un browser?
Questa non è davvero una buona idea, se quella cosa viene violata sei molto ferito.
La cosa migliore che riesco a trovare al momento è questa guida nist: link (consultare il capitolo 5.2)
un articolo di searchsecurity sul perché dovresti usare un server di sviluppo:
link