Защита сервера только SVN

• Проверьте исправления своей ОС, убедитесь, что у вас установлены последние исправления безопасности.
• Завершите работу ненужных служб, выполните внешнее сканирование nmap, чтобы убедиться, что вы не запускаете ничего, что вам не нужно.
• Защитите свой веб-сервер! Вот одна такая статья для apache https://web.archive.org/web/1/http://blogs.techrepublic%2ecom%2ecom/10things/?p=477
• Используйте LDAP или другой механизм внешней аутентификации (через SSL)
• Обеспечение надежности пароля и политик ротации
• (при необходимости) настройка доступа на уровне пути

Subversion как демон скорее доверяет себе и передает большую часть детализированных пользовательских разрешений обратно в сферу apache. Не могли бы вы рассказать нам подробнее о вашем конкретном сценарии, предлагаете ли вы этот сервер подрывной деятельности для публичного использования?

Когда вы говорите «самозащищенный» https, вы имеете в виду самозаверяющий сертификат? Если да, посмотрите, как вы распространяете сертификат или CA, и убедитесь, что этот путь безопасен сам по себе.

Самоподписанный - это не безопасность; злоумышленник может сгенерировать свои собственные учетные данные и MiTM на реальном сервере. Это оставляет пользователя неуверенным в том, с кем он на самом деле разговаривает, если вы заранее не поделитесь открытым ключом.

Один конкретный шаг, который нужно предпринять в SVN + WebDAV: убедитесь, что файлы авторизации и аутентификации не находятся в дереве корневых документов. Вы же не хотите раздавать что-то подобное людям, особенно если вы используете md5 для htaccess или что-то такое же сломанное.