Perforce是否支持；签署的修订；或；签署的承诺；？

我的公司正试图满足我们的应用程序的PA-DSS要求，其中一项关于“安全源代码控制”的要求非常模糊，但我们的审计师将其解释为需要签署修订。我在git和Hg中看到了“签名提交”，但在perforce端没有发现任何内容

他想看到的例子如下：

“支付应用程序供应商通过使用标准哈希算法在整个开发过程中维护源代码的完整性，该算法在代码签入时创建和验证，并在源代码签出进行修改时验证。使用的哈希算法为： •（示例）SHA-256 •（示例）SHA-512 •（示例）MD5“

如果你看一下，在“功能”表中，有一列是“签名修订版”，perforce部分说“是”…有人认为它有某种支持

---

这是使用提交前/提交后触发器可以实现的吗？在提交前生成一个散列，以某种方式保持它，并对照我们在提交后创建的散列进行检查？我在5分钟前才了解perforce触发器，所以我甚至不知道它们是否支持这个概念（不确定如何在触发器事件之间保持值，不确定我是否有权访问签出前触发器上的文件内容等）。

的确，提交给Perforce的文件具有在提交操作期间计算的加密摘要

随后，每次将文件同步到任何客户端工作站时，都会检查这些文件摘要，还可以使用“p4 verify”命令直接在服务器上重新验证这些文件摘要，以确定文件内容是否在服务器上直接受到攻击

您还可以通过运行各种命令来观察这些摘要；例如，您可以运行'p4 fstat-Ol//depot/src/file.c'并查看'digest'字段

顺便问一下，“PA-DSS要求”是什么？对我来说，这是一个新的首字母缩略词

以下是有关Perforce server维护的文件摘要的一定数量的信息：

如果问题涉及维护代码审阅过程的记录，为了确定已审阅的代码更改是实际提交的代码更改，您可以开发基于Perforce“shelve”命令的工作流

“shelve”命令最重要的一个方面是“submit”命令，“p4 submit-e”直接在服务器上提交一个shelf，而无需从用户工作站重新传输文件

---

因此，如果您的流程仅允许提交到存储库的某些受保护区域，并且仅允许提交已审核的工具架（这些是您将使用更改提交触发器强制执行的事项），则，那么您就有信心审查的代码就是提交的代码。

这是我第一次解释合规规则，但审计员不同意。事实上，这是我在最初的文件中规定的，我现在正试图掩盖我的过失，因为我们很快就要与他会面，这也在他的名单上。谢谢你的支持。当您持有/处理信用卡数据时，支付应用程序数据安全标准适用。我们正在尝试v3.0，这比我们以前需要做的任何事情都高出一步。你有我可以参考的链接吗？我发誓我已经用谷歌搜索过了。我添加了一些链接。感谢指向PA-DSS的指针；不幸的是，我对此知之甚少。我认为，你对审计师关注的问题了解得越多，社区给你的建议就越准确。您也可以尝试查询perforce用户邮件列表或perforce web论坛……我还添加了一些关于使用工具架将其他预防措施纳入代码审查过程的想法。