Je travaille dans une équipe de programmation eXtreme et je fais de la programmation par paires depuis plus de 7 ans dans un environnement Windows. Lorsque nous avons commencé à le faire, quelqu'un se connectait avec ses informations d'identification Windows et, par conséquent, tous les accès aux ressources du domaine, et plus précisément le contrôle de version, seraient responsables devant cet utilisateur Windows. Finalement, nous avons évolué pour avoir des comptes d'appairage Windows pour des stations d'appairage spécifiques (par exemple pairA, pairB, PairC etc…). Tous les développeurs connaissent les mots de passe de ces comptes. La responsabilité des validations (check-ins) est obtenue en plaçant les initiales des programmeurs dans le commentaire pendant la validation.
Jusqu'à présent, cela a bien fonctionné pour nous, mais mon entreprise passe actuellement par un audit ISO 27001 et cela a été signalé par l'auditeur comme un risque. J'ai un certain nombre de solutions possibles telles que la création d'un compte d'appariement pour chaque combinaison de paires, mais je voudrais vraiment savoir si quelqu'un d'autre a rencontré ce problème et comment il l'a résolu.
Quelle solution était acceptable par les auditeurs?