在我工作的地方，我们面临着一些难题……我在一个小型团队中工作，开发内部使用的应用程序。我们最近刚收到该项目的新项目经理。她想访问我们的数据库和源代码(存储在svn中)。我们之前的PM既不需要也不想访问"沙盒中"的任何东西。

话虽如此，给予PM / BA适当的访问量是多少？是否存在某种形式的安全漏洞？如果我们同意PM应该访问一个或者两个，那么该使用哪种访问方式？

我已经考虑了一下，起初我不想在沙箱中使用PM / BA，但是从那以后我又开始思考它可能造成什么危害？我不正确吗？

这场战斗值得战斗吗？

解决方案

授予她访问权限。让她从源代码控制中进行检查，并像其他任何人一样跟踪她。如果她更改了任何内容，我们将拥有历史记录。如果她对实施提出建议，则可能会有所帮助。如果她是个欺负者，并且开始对源代码好好抱怨……无论如何，她可能会找到一种方法来做到这一点。

我们可能需要授予只读访问权限。由于经理倾向于将所有东西都掌握在手中，因此他们可能会根据自己的意愿更改代码，破坏检查/测试程序等。如果他们只想查看正在执行的操作/由谁来执行，则授予只读访问权限将使他们满意在做什么。

这实际上取决于PM对编程的了解程度。我为之工作的某些PM完全可以让他们完全获得SVN，读取和提交特权的权限。我相信其他PM拥有读取特权，尽管我不认为他们看到代码后会知道如何处理代码。

如果她愿意，请授予她完全访问权限。她应该管理我们正在开发的项目，并且要高效地执行该工作，她可能需要能够查看项目的任何部分。

当然，总是存在她可能会做出愚蠢或者恶意的事情的危险。如果我们将所有更改作为过程审核的一部分，那么我们将能够找出她是否弄乱了任何东西。

我从未听说过这被视为问题或者安全问题。实际上，在阅读了问题之后，我对上一个下午的工作有一些严肃的问题！一定要接受这样一个事实，即我们有一个感兴趣的经理，并至少给她访问权限，以便她可以签出并查看开发人员正在使用的软件。

这很大程度上取决于项目经理对项目负有什么具体责任。她会帮助用户解决使用问题和疑难解答吗？帮助测试？有什么理由能够探索数据对她有帮助，从而使她工作呢？

我认为对数据库的只读访问和对源的无提交访问不太可能有害，如果这让她觉得自己像是团队的一部分，并且让她参与了该项目，那么这就是全部最好的。如果我们拒绝，并且与她保持友好关系，那肯定不会为我们与她的融洽做任何事情。

为了解决对安全性的担忧，如果我们要完全授予PM任何访问权限，请确保我们从上级经理处获得了批准。如果出了什么问题，至少我们可以证明我们正在遵守公司政策(或者被更高级别的人豁免)。

至于访问，PM不负责更改代码，因此请确保没有写访问权限。除非他们实际上在进行代码审查或者需要他们查看代码的内容，否则甚至没有访问权限也是必需的。