将IT Sarbanes-Oxley (SOX)应用于工具管理应用程序

Question

在SOX环境中管理对一组工具(Jenkins、Nexus、BitBucket)的访问控制的应用程序是否需要被视为SOX应用程序？

应用程序本身只处理传输中的数据，并使用身份验证来适当限制应用程序用于管理SOX工具设置的方式。该应用程序还有一个仅用于审计目的的附加日志，并为管理员构建查看状态(事件源)。

最后，组成CI/CD管道的所有工具都在SOX环境中，因此它们可以在SOX环境中将工件部署到VM。

Answer 1

如果这些应用程序可以用于将应用程序修改到您的生产环境中，涉及到财务应用程序，那么它们将受到SOX的约束。考虑到Bitbucket、Jenkins和Nexus都用于确保某些控制(例如，控制部署以防止推送未经授权的代码)，它们可能被视为控制环境的一部分。