В пунктах 6.3, 6.3.2 и 6.5 указаны требования по безопасной разработке кода с учетом мировых best practices. В свою очередь, best practices включает необходимость статического анализа кода на потенциальные уязвимости.
Да, все верно, у нас PCI DSS 3.2. На текущий момент нововведения носят рекомендательный характер, но при этом мы заранее приняли к исполнению бОльшую часть из них, чтобы в следующем году мы уже были «во всеоружии».
Да, для изоляции Docker использовать можно. Единственное, его нужно настроить в соответствии с требованиями PCI DSS (отключение небезопасных протоколов, ограничение доступа, удаление избыточного функционала и т.д.).
По поводу локальных репозиториев — поднимать их не обязательно, можно использовать публичные. Главное — не забывать вовремя обновлять пакеты.
По поводу локальных репозиториев — поднимать их не обязательно, можно использовать публичные. Главное — не забывать вовремя обновлять пакеты.