最近、SOCIIタイプ1の監査に合格し、タイプ2の監査を実施しています。一部の本番サーバーでは、いくつかのアプリの最新バージョンをプッシュしたいと思っています。また、remi
repoを頻繁に参照する人もいます。私がやりたくないのは、何かへのコンプライアンスを危うくすることです。彼らにepel
を許可するのに少し時間がかかりました。 remi
を追求する価値はありますか?
どのようなポリシー、コントロール、およびソフトウェアスタックがあるかはわかりません。それが監査のポイントであり、環境内の手順を検証します。
ポリシーと手順を確認します。このソフトウェアのリスク評価を行い、ビジネスニーズに基づいて推奨できるはずです。
Remi repoには数百万(GPG署名済み)のダウンロードがあり、Fedoraのパッケージ化に関与しているため、信頼できるコミュニティがあります。ただし、remiもRHELも保証はありません。 RHEL自体に制限しても準拠することはできません。バージョンの変更を制御し、テクニカルサポートを受ける機会を増やすだけです。