Em segundo lugar, as empresas podem levar a segurança dos processos para o próximo nível, estabelecendo a separação de funções, o que pode ser exigido pela Sarbanes-Oxley ou outras normas de conformidade. Por exemplo, “Um desenvolvedor não pode aprovar a implantação de seu próprio código em um ambiente de teste. O desenvolvedor deve fazer o check-in do código, que é automaticamente escaneado e movido para a criação da imagem, onde deve ser aprovado por um gerente antes que a criação ocorra em um servidor de teste” é um exemplo de melhor prática de separação de funções. A aplicação de tais políticas pode ser automatizada, e isto também é permitido através do RBAC.
Segurança individual e de colaboração
Semelhante à proteção de processos, garantir o acesso seguro para indivíduos e colaboração em equipe começa com o gerenciamento do acesso do usuário, habilitando o RBAC. Os indivíduos que participam no desenvolvimento de software devem ter direitos de acesso diferentes com base na sua função, seja desenvolvedor, testador, gestor, etc. Isto torna-se particularmente complicado num grande ambiente distribuído, onde múltiplas equipas contribuem para uma aplicação, onde vários utilizadores contribuem para múltiplos microsserviços que são combinados de diferentes maneiras para diferentes aplicações e onde diversas equipes trabalham em diversas aplicações usando diferentes ferramentas e diferentes tecnologias.
Por exemplo, os direitos de acesso de uma equipa de banca móvel são provavelmente muito diferentes dos de uma equipa de gestão de risco. Ou seja, uma equipe de mobile banking provavelmente não deveria ter acesso ao repositório Git de uma equipe de gerenciamento de risco. Enquanto isso, um gerente pode ter acesso somente leitura a ambos os repositórios, enquanto uma equipe de gerenciamento de build pode ter acesso total a ambos.