Rational ClearQuest 的安全考量

您可以採取動作來確保您的安裝是安全的、自訂您的安全設定,以及設定使用者存取控制。您也可以確保您瞭解您在使用此應用程式時可能遇到的任何安全限制。

在安裝過程中啟用安全

IBM® Rational® ClearQuest® 產品具有數個可安裝的產品,它們會分類為桌面元件或伺服器型元件。在安裝過程中,有一些直接與安全相關的選項。不過,在安裝前後,您可以執行配置步驟來加強 ClearQuest 應用程式的安全。
  • 桌面應用程式包括 ClearQuest Client 及 ClearQuest Client for Windows。若要這些用戶端能夠運作,您必須與 ClearQuest 資料庫建立資料庫連線。若要在 Windows 系統上建立這些連線,請使用「ClearQuest 維護」工具。若要在 UNIX 及 Linux 系統上建立這些連線,請使用 cqreg 指令行公用程式。
  • ClearQuest Web Server 會在 IBM WebSphere® Application Server 上執行。請遵循一般指示,加強 WebSphere Application Server 部署的安全。也可以配置 ClearQuest Web 元件來加強安全。最佳作法是一律從瀏覽器使用 ClearQuest Web Server 的 SSL https 連線,因為使用者登入認證是透過此連線來傳遞。SSL 會加密所有透過 https 連線傳遞的資料。

在多個應用程式之間啟用安全通訊

IBM Rational ClearQuest 可與多種類型的應用程式整合。一律在 ClearQuest Web Server 與任何其他 Web 型應用程式之間使用 SSL https 連線。

埠、通訊協定及服務

將 IBM Rational ClearQuest Web Server 配置為使用 SSL https 通訊協定。

自訂您的安全設定

  • 配置 WebSphere Application Server 設定以取得高安全等級是很重要的。如需相關資訊,請參閱 Technote 1628378
  • 特性層次 7 使用的加密演算法比前一個特性層次還要強。如需相關資訊,請參閱特性層次中的特性
  • ClearQuest 支援 FIPS 140-2 加密標準的配置。最佳作法是配置 ClearQuest 以適用於此標準。如需相關資訊,請參閱配置 FIPS 140-2 核准的資料加密

設定使用者角色及存取

  • ClearQuest 會在稱為使用者資料庫的資料庫中管理組織、部門或專案的變更管理記錄。如需相關資訊,請參閱使用者資料庫。部署可能會使用多個使用者資料庫或單一資料庫。可能會將多個資料庫聚集在某個綱目儲存庫下,而這個綱目儲存庫包含了稱為綱目的程序工作流程。如需相關資訊,請參閱綱目與綱目儲存庫
    • 根據每個專案或每個組織來使用不同的使用者資料庫,即可提供最好的資料隔離。可以授與使用者對資料庫的存取權,來控制誰可以存取資料庫中的資料。每一個資料庫都需要個別的使用者登入來授與存取權。ClearQuest 對資料記錄的參照不會遍訪使用者資料庫。資料記錄可能會使用附註中的 REST URL,或使用 Open Services for Lifecycle Collaboration (OSLC) 鏈結(如果執行特殊配置的話),來參照其他使用者資料庫中的資料。
    • 通常會希望不同的專案或組織有權可以存取彼此全部或部分的資料。在那些狀況中,只具有一個使用者資料庫就很方便。ClearQuest 提供一種稱為安全環境定義的特性,您可以使用它來對不是所指定的存取控制群組成員的使用者隱藏資料記錄。因為所有資料都位在一個儲存庫中,所以可以使用 ClearQuest 對資料記錄的參照。您必須使用安全環境定義特性,小心保護並隱藏記錄。如需安全環境定義特性及建立安全模型的相關資訊,請參閱建立安全模型
    • ClearQuest 會使用角色型存取控制 (RBAC) 模型,強制執行工作區安全。工作區資料夾許可權會提供高層次的控制來控制工作區資料夾的可見性及修改,方法是容許具有「安全管理者」及「公用資料夾管理者」專用權的使用者,指派特定許可權給特定資料夾上的使用者群組。如需相關資訊,請參閱簡介工作區資料夾許可權
    • ClearQuest 會提供高度可自訂的系統,以使用連結鉤來控制誰可以執行哪個動作。連結鉤是 Script 的進入點(類似觸發程式),這會在指定的時間執行,以控制使用者如何在 ClearQuest 環境中進行工作。動作存取控制連結鉤可以控制誰有權可以變更記錄值。欄位存取控制連結鉤會強制執行存取許可權,僅允許您指定的使用者群組,才能變更欄位值。如需相關資訊,請參閱連結鉤
  • ClearQuest 會提供「使用者管理」工具來新增使用者及使用者群組,此工具可控制對 ClearQuest 資料庫的存取。使用者和群組會被新增至主要綱目儲存庫。然後會將使用者和群組訂閱至特定的使用者資料庫。此訂閱容許控制哪些使用者可以存取使用者資料庫。如需相關資訊,請參閱管理使用者帳戶
  • ClearQuest 提供兩種使用者鑑別:ClearQuest 應用程式型及 LDAP 型。
    • LDAP 鑑別是偏好的鑑別,因為大部分的 LDAP 伺服器會在過多的失敗嘗試之後提供密碼原則強制執行,例如密碼強度及鎖定。如需相關資訊,請參閱使用 LDAP 與 ClearQuest 搭配使用

      使用 SSL,可在 ClearQuest 應用程式與 LDAP 伺服器之間安全地傳遞使用者認證。如需相關資訊,請參閱設定 SSL 的 ClearQuest LDAP 連線資訊

    • ClearQuest 鑑別提供簡單的鑑別模式,在此模式中,使用者名稱及已加密的密碼會儲存在 ClearQuest 資料庫中。沒有密碼原則強制執行。
  • 您可以將專用權授與使用者,讓他們可在 ClearQuest 中執行受限作業。「超級使用者」專用權會授與所有功能。然後,「超級使用者」可以授與其他使用者他們的專用權。如需相關資訊,請參閱使用者專用權
  • 當 ClearQuest 建立使用者資料庫時,它會建立五個使用者帳戶,用於測試起始測試部署。這些帳戶是 admin、engineer、lead、QE 及 user。最佳作法是將 admin 帳戶重新命名為攻擊者不可能猜到的其他名稱,並給與帳戶複雜的密碼。最佳作法是變更其他預載的帳戶。若要這樣做,您可以將這些帳戶上的名稱變更為服務實際使用者。或者,您可以將這些使用者名稱標示為非作用中、將使用者名稱及密碼變更為一組複雜的字元,以及移除所有專用權。無法從 ClearQuest 中刪除使用者帳戶;只能將它們標示為非作用中。

隱私權條款考量

根據部署的配置,此軟體供應項目會使用可能包含個人識別資訊的 Cookie。如需此供應項目如何使用 Cookie 的相關資訊,請參閱注意事項主題。

Rational ClearQuest 會在 Web 用戶端系統上儲存部分持續 Cookie 及階段作業 Cookie。可停用儲存持續 Cookie。如需持續 Cookie 及階段作業 Cookie 的相關資訊,請參閱持續 Cookie 及階段作業 Cookie

安全限制

Rational ClearQuest 會持續加強其元件的安全層面,並改正發現的問題。當有最新版的 ClearQuest 可用時,請計劃升級至這些版本,因為這些版本可能包含安全加強功能或更正。監視 ClearQuest 及 WebSphere Application Server 安全快訊公告,以取得安全警示及要執行之動作的相關資訊。


意見