Jak bezpieczne i godne zaufania są witryny hostingowe, takie jak sourceforge, github lub bitbucket dla projektów zamkniętych? [Zamknięte]

32

Rozważam użycie sourceforge, bitbucket lub github do zarządzania kontrolą źródła w mojej firmie. Mam otwarte projekty i biorę udział w otwartych projektach, takich jak gcc. Ale mam też firmę, w której rozwijam oprogramowanie o zamkniętym źródle.

Jak godne zaufania są sourceforge, github lub bitbucket, jeśli chodzi o ochronę oprogramowania przed wścibskimi oczami? Jak stabilny jest hosting pod względem zapobiegania utracie danych? Czy ktoś tam oparł swoją logikę biznesową na takim stroju? Czy ktoś tam ankietował kilka rozwiązań hostingowych?

emsr
źródło
3
Jedna uwaga: nawet jeśli im ufasz, powinieneś mieć automatyczną kopię zapasową własnego repozytorium.
Michael Kohne,
Niezależnie od tego, jak bezpieczne chcieliby być, powinieneś założyć, że organy ścigania w kraju, w którym przechowują swoje serwery, będą miały dostęp do twoich plików. Możesz nie zostać poinformowany, czy te pliki są dostępami. Jeśli twoje oprogramowanie mogłoby zainteresować zagraniczny rząd, może to mieć dla ciebie znaczenie.
Simon B,

Odpowiedzi:

34

Nie ma dobrego, standardowego sposobu oceny bezpieczeństwa takich dostawców. Trochę widać stabilność, ale bezpieczeństwa nie da się ocenić z zewnątrz.

Rozmawiałbym z rozważanymi przez nich dostawcami o ich gwarancjach bezpieczeństwa i przyjrzałem się ich umowom - jeśli nie udzielą żadnych gwarancji lub jeśli ich umowy są wypełnione klauzulami „nie możemy ponosić odpowiedzialności”, to że mówi ci, jak poważnie traktują bezpieczeństwo i ile pomocy możesz się spodziewać, gdy coś stanie się gruszkowe.

Nie oceniaj tego również w próżni - zastanów się, ile czasu zajęłoby ci uruchomienie własnych serwerów, ile wysiłku i kosztów to by kosztowało oraz jakie jest prawdopodobieństwo, że to zepsujesz (pozostawiając ogromną lukę bezpieczeństwa ), robiąc to w domu.

Michael Kohne
źródło
18
+1 za wzmiankę o tym, że twoje własne serwery są mniej bezpieczne.
Peter
14

W taki sposób mamy projekt o zamkniętym źródle.

Powszechnie akceptowane jest to, że kradzież kodu źródłowego nie zaszkodzi nikomu ( dobry artykuł tutaj ). Bitbucket i github zarabiają na życie z zamkniętego źródła, więc mają naturalny imperatyw, aby zachować bezpieczeństwo tak, jak to możliwe (i zminimalizować złą prasę).

Jedna uwaga: od czasu do czasu usługa przestaje działać - prawdopodobnie (IMO) spowodowana ruchem open source.

Ale ogólnie rozważaliśmy zalety i wady i jesteśmy szczęśliwi.

ps Jeśli się nie mylę, github oferuje instancję „chmury prywatnej” dla klientów korporacyjnych.

Dave Clausen
źródło
Dzięki za artykuł. Czy próbowałeś chmury prywatnej, czy używasz tylko prywatnego repozytorium?
emsr
Po prostu prywatne repo.
Dave Clausen
Oni robią gitlab, który jest w zasadzie samozatrudnionym githubem
Tom Squires
14

SourceForge nie jest już uważany za godny zaufania . Przechwytuje konta i zastępuje pakiety Windows instalatorami adware (GIMP, nmap i inne). SourceForge również aktywnie odfiltrowuje użytkowników z określonych krajów. Nic tak naprawdę nie przeszkadza innym usługom hostingowym w ingerowaniu w instalatory oprogramowania, ponieważ SF musi być ścigana zgodnie z prawem. Zastrzegający emptor .

EDYCJA: https://helb.github.io/goodbye-sourceforge/ jest dobrym źródłem do porównania hostingu (nie jestem z nimi związany).

Łowca jeleni
źródło
1
Pytanie dotyczy w szczególności outsourcingu prywatnego hostingu, więc kwestia bałaganu w SF przy projektach publicznych nie jest tutaj szczególnie istotna.
Andrew Medico,
6
@AndrewMedico - to wciąż kwestia uczciwości, choć ...
Deer Hunter
Jeśli chodzi o integralność, kiedy ostatnia SF została sprzedana, nowi właściciele zaprzestali programu instalacyjnego: ghacks.net/2016/02/10/…
Michael Kohne
7

Podobne pytanie (z odpowiedzią napisaną przeze mnie) dotyczy przepełnienia stosu:
jak bezpieczne jest przechowywanie poufnych danych w witrynach repozytoriów, takich jak github, bitbucket itp.?

TL; DR:

  • podobnie jak wszystko w chmurze, nie ma 100% gwarancji, że jakiś haker nie uzyska dostępu do twoich danych
    (z drugiej strony może się tak zdarzyć, gdy sam hostujesz swoje rzeczy)
  • dostawcy usług w chmurze mogą w dowolnym momencie przestać działać. Jest mało prawdopodobne, że stanie się tak z wymienionymi dużymi hosterami kodu źródłowego, ale nigdy nie wiadomo
    -> Twoim obowiązkiem jest regularne tworzenie kopii zapasowych swoich rzeczy!
Christian Specht
źródło
4

Nawet jeśli dostawcy są godni zaufania, nigdy nie wiadomo, na które cele włamywacze się kradną, a każda otwarta strona jest podatna na krakowanie, gdy jest taka wola.

W mojej firmie kupiliśmy GitHub Enterprise , który jest naszym własnym githubem w naszym intranecie. Jeśli podoba Ci się GitHub i poważnie podchodzisz do zachowania prywatności swojej pracy, jest to prawdopodobnie najbezpieczniejsze.

Sylwester
źródło
Musisz jednak zadać sobie pytanie: czy Twoja firma lepiej zabezpiecza repozytorium niż ważniejsze firmy, takie jak GitHub i Bitbucket?
Stefan Billiet
1
@StefanBilliet Prawdopodobnie nikt z nas nie jest w stanie zabezpieczyć naszego źródła w 100%, ale utrzymywanie instancji github w lokalnej sieci krakersy będą potrzebować pomocy wewnątrz, aby zrobić to samo, co mogą zrobić w dowolnym momencie na serwerze publicznym.
Sylwester,
3

Kilka dobrych odpowiedzi, które już obejmują techniczne aspekty tego, o co się martwisz - nie będę ich powtarzał. Ostatecznie w przypadku „naruszenia bezpieczeństwa” musisz rozważyć skorzystanie z przysługującego Ci prawa. Jakie są warunki licencji, w jakim stopniu są oni odpowiedzialni za szkody, które poniosłeś w wyniku awarii usługi itp. W konkretnym przypadku można je odzyskać w gotówce. Musisz także rozważyć, jak bezpieczny jest twój zastępca. Czy serwer wewnętrzny, prawdopodobnie podłączony do Internetu, jest mniej narażony na szwank niż Github? Czy jesteś wystarczająco wykwalifikowany i wkładasz wymagane zasoby do swojej instalacji, aby mieć pewność?

Współpracuję z organizacją zajmującą się umieszczaniem danych w chmurze - jednak dane te, choć mają ograniczoną wartość komercyjną, są prawnie wrażliwe. Żadna kwota szkód pieniężnych nie naprawiłaby naruszenia bezpieczeństwa. W rezultacie ich miara bezpieczeństwa jest „bezpieczniejsza niż uruchamianie systemów wewnętrznych”. Po tym następuje jurysdykcja prawna - pod warunkiem, że musi ona odpowiadać temu samemu systemowi prawnemu - w naszym przypadku ten sam kraj, ponieważ podlegałyby one tym samym przepisom dotyczącym bezpieczeństwa danych, prywatności itp., A naruszenie może być odpowiedzialne w sprawach karnych, a nie tylko sądy cywilne. Za wszelką cenę należy unikać transgranicznych sporów prawnych, podobnie jak transgranicznych skarg karnych.

mattnz
źródło
0

Jedną z zalet git jest to, że jest to peer-to-peer, więc tak naprawdę nie potrzebujesz master VCS, chociaż wiele firm (w tym moja własna) używa github jako głównego repozytorium.

Możesz przypisać dostęp do poszczególnych osób (tylko do odczytu lub do odczytu / zapisu) i zdefiniować również osoby jako administratorów, dzięki czemu masz odpowiedni stopień kontroli dostępu.

Github czasami „czkawka” (wściekłe jednorożce), ale ogólnie jest dość stabilny i nigdy nie mieliśmy żadnych problemów z utratą danych; ale masz także opcje tworzenia kopii zapasowych

Mark Baker
źródło
To tak naprawdę nie rozwiązuje kwestii, jak wiarygodny jest hosting kodu źródłowego innej firmy.
M. Dudley,
@ M.Dudley To prawda, ale dotyczy stabilności, która była jednym z moich pytań (co prawda nie jest dla mnie najważniejsze).
emsr
Wściekłe jednorożce. O mój.
Dominic Cerisano,
0

Dlaczego nie rozważasz umieszczenia kodu źródłowego w lokalnej skrzynce, którą zarządzasz i tworzysz kopię zapasową? Można to osiągnąć dość łatwo przez subversion / Tortoise-SVN i wyeliminowałoby to potrzebę korzystania z rozproszonego repozytorium, chyba że tego właśnie potrzebujesz.

Bzdurny
źródło
1
Można to zrobić również za pomocą Gita.
Przypon