Sono stato coinvolto in una discussione sull'uso di un nome utente e una password standard all'interno di un ambiente di sviluppo e apprezzerei i commenti:
Il singolo server di sviluppo contiene un numero di database e server Web basati su linux: una coppia per progetto cliente. C'è un'unica istanza di PostgreSQL che contiene più tabelle clienti e un singolo server Web (Apache o NGINX) che ospita più front-end Web. I dati in ogni tabella del database dei clienti sono offuscati e resi anonimi e il Web front si conclude per ciascun cliente associato a una tabella di database specifica per creare un sito funzionante. L'intera configurazione è disponibile solo per gli sviluppatori interni e anche per una società di test di terze parti tramite VPN sicura. Alla fine dello sviluppo, la struttura del database del sito e la personalizzazione del Web vengono spostati su una piattaforma separata rivolta al cliente e caricati con dati reali che il cliente deve testare. Queste nuove piattaforme sono sempre costruite da zero e nessun nome utente o password di sviluppo vengono trasferiti.
Sulla piattaforma di sviluppo interna, gli sviluppatori vogliono utilizzare un accesso / password utente comune per i siti Web e idem per gli account del database e l'utente root di Linux, sostenendo che ciò rende la vita più semplice mentre si spostano da un sito to-site durante lo sviluppo e non ci sono comunque dati sensibili ai clienti.
A un livello semplice, disporre di un insieme di account per ogni cosa semplifica la vita, ma come si dovrebbe scendere contro gli standard infosec (UK) formali e altri standard come ISO27001? Il caso d'uso e l'ambiente possono renderlo accettabile, o andrebbero contro le linee guida formali o informali che dovresti avere i dettagli univoci dell'account per tutti gli account che gestisci e non condividere mai le password?
In altre parole, in che modo questa impostazione può essere vista da un controllo di sicurezza formale?
Grazie