Consegui resolver isso usando as ACLs, que suportam permissões herdadas:
sudo chmod -R +a '_www allow read,write,delete,add_file,add_subdirectory,file_inherit,directory_inherit' /Library/WebServer/Documents
Agora, sempre que eu criar um novo checkout de controle de diretório ou fonte no DocumentRoot
, o usuário _www
terá acesso total de leitura / gravação.