Насколько безопасны и надежны хостинговые сайты, такие как sourceforge, github или bitbucket для проектов с закрытым исходным кодом? [закрыто]

32

Я рассматриваю возможность использования sourceforge, bitbucket или github для управления исходным кодом в моем бизнесе. У меня есть открытые проекты, и я участвую в открытых проектах, таких как gcc. Но у меня также есть бизнес, где я занимаюсь разработкой программного обеспечения с закрытым исходным кодом для своей жизни.

Насколько заслуживают доверия sourceforge, github или bitbucket с точки зрения защиты программного обеспечения от посторонних глаз? Насколько стабилен хостинг с точки зрения предотвращения потери данных? Кто-нибудь основывал свою бизнес-логику с таким нарядом? Кто-нибудь изучал несколько хостинговых решений?

EMSR
источник
3
Одно замечание: даже если вы им доверяете, у вас должна быть некоторая автоматическая резервная копия вашего собственного хранилища.
Майкл Кохне
Независимо от того, насколько безопасными они хотели бы быть, вы должны предполагать, что правоохранительные органы в стране, где они хранят свои серверы, будут иметь доступ к вашим файлам. Возможно, вам не сообщат, есть ли доступ к этим файлам. Если ваше программное обеспечение будет представлять интерес для иностранного правительства, то это может иметь значение для вас.
Саймон Б

Ответы:

34

Не существует хорошего, стандартного способа оценки безопасности провайдеров, подобных этому. Стабильность, которую вы можете видеть, несколько, но безопасность практически невозможно оценить извне.

Я бы на самом деле поговорил с провайдерами, которых вы рассматриваете, об их гарантиях безопасности, и посмотрел бы на их контракты - если они не дают никаких гарантий или если их контракты изобилуют оговорками «мы не можем нести ответственность», тогда говорит вам, насколько серьезно они относятся к безопасности, и какую помощь вы можете ожидать, если что-то станет грушевидным.

Кроме того, не оценивайте это в вакууме - подумайте о том, что потребуется для запуска ваших OWN-серверов, сколько потребуется усилий и накладных расходов, и какова вероятность того, что вы облажаетесь (оставляя огромную дыру в безопасности). Делая это в доме.

Майкл Кон
источник
18
+1 за упоминание о том, что ваши собственные серверы менее защищены.
Питер
14

У нас есть проект с закрытым исходным кодом, размещенный таким образом.

Принято считать, что кража исходного кода никому не поможет ( хорошая статья здесь ). bitbucket и github зарабатывают себе на жизнь из закрытых источников, поэтому у них есть естественная необходимость держать вещи как можно безопаснее (и сводить к минимуму плохую прессу).

Следует отметить, что время от времени служба на некоторое время отключается - вероятно, (IMO) из-за трафика с открытым исходным кодом.

Но в целом мы взвесили все за и против и рады.

ps Если я не ошибаюсь, github предлагает корпоративным клиентам экземпляр "частного облака".

Дейв Клаузен
источник
Спасибо за статью. Вы пробуете частное облако, или вы просто используете частное репо?
emsr
Просто частное репо.
Дейв Клаузен
Они делают Gitlab, который в основном является GitHub самостоятельно
Том Сквайр
14

SourceForge больше не считается заслуживающим доверия . Он угонял учетные записи и заменял пакеты Windows установщиками рекламного ПО (GIMP, nmap и другие). SourceForge также активно фильтрует пользователей из определенных стран. Ничто на самом деле не мешает другим хостинговым службам мешать установщикам программного обеспечения, так как нам еще предстоит судебное преследование SF. Пусть покупатель будет бдителен .

РЕДАКТИРОВАТЬ: https://helb.github.io/goodbye-sourceforge/ является хорошим ресурсом для сравнения хостинга (я не связан с ними).

Охотник на оленей
источник
1
Речь идет именно об аутсорсинге частного хостинга, поэтому проблема SF-связывания с публичными проектами здесь не особо актуальна.
Эндрю Медико
6
@AndrewMedico - это все еще вопрос честности, хотя ...
Охотник на оленей
Что касается
Майкл Коне
7

Аналогичный вопрос (с ответом, написанным мной) о переполнении стека:
насколько безопасно размещать конфиденциальные данные на сайтах репозиториев, таких как github, bitbucket и т. Д.?

TL; DR:

  • как и все в облаке, нет 100% гарантии, что какой-нибудь хакер не получит доступ к вашим данным
    (с другой стороны, это также может произойти, когда вы сами размещаете свои материалы)
  • облачные провайдеры могут выйти из строя в любое время. Маловероятно, что это произойдет с упомянутыми хостерами большого исходного кода, но вы никогда не знаете
    -> вы обязаны регулярно делать резервные копии своих материалов!
Кристиан Шпехт
источник
4

Даже когда поставщики заслуживают доверия, вы никогда не знаете, на что нацелены взломщики, и любой открытый сайт можно взломать, когда есть желание сделать это.

В моей компании мы купили GitHub Enterprise , который является нашим собственным github в нашей интрасети. Если вам нравится GitHub и вы серьезно относитесь к сохранению конфиденциальности вашей работы, это, вероятно, самый безопасный вариант

Сильвестер
источник
Однако вы должны спросить себя: лучше ли ваша компания в обеспечении безопасности вашего хранилища, чем такие тяжеловесы, как GitHub и Bitbucket?
Стефан Биллиет
1
@StefanBilliet Вероятно, никто из нас не способен обеспечить безопасность нашего источника на 100%, но при хранении вашего экземпляра github enterprise в локальной сети взломщикам потребуется внутренняя помощь, чтобы сделать то же самое, что они могут сделать в любое время на общедоступном сервере.
Сильвестр
3

Несколько хороших ответов уже касаются технических аспектов того, что вас беспокоит - я не буду повторять их. В конечном счете, в случае «нарушения безопасности» вам необходимо рассмотреть возможность обращения в суд. Каковы условия лицензии, в какой степени они несут ответственность за убытки, понесенные вами в результате сбоя в обслуживании и т. Д. В вашем конкретном случае можно ли возместить убытки наличными. Вы также должны подумать, насколько безопасен ваш заместитель. Является ли внутренний сервер, предположительно подключенный к Интернету, менее уязвимым, чем Github? Вы достаточно квалифицированы и вкладываете необходимые ресурсы в вашу установку, чтобы быть уверенным?

Я работаю с организацией, занимающейся размещением данных в облаке, однако эти данные, хотя и имеют ограниченную коммерческую ценность, юридически чувствительны. Никакие денежные убытки не могут исправить брешь в безопасности. В результате их мера безопасности «более безопасна, чем запуск собственных систем». За этим следует юридическая юрисдикция - предоставленный должен отвечать той же правовой системе - в нашем случае, той же стране, поскольку они подпадают под действие тех же законов в отношении безопасности данных, конфиденциальности и т. Д., И нарушение может быть привлечено к уголовной ответственности, а не только гражданские суды. Следует избегать трансграничных правовых споров любой ценой, равно как и трансграничных уголовных жалоб.

mattnz
источник
0

Одним из преимуществ git является то, что он одноранговый, так что вам на самом деле не нужен главный VCS, хотя многие компании (включая мою) используют github в качестве основного репозитория.

Вы можете назначить доступ отдельным пользователям (либо только для чтения, либо для чтения / записи), а также определить людей как администраторов, что обеспечит вам достаточный уровень контроля доступа.

Github иногда «икает» (сердитые единороги), но в целом довольно стабилен, и у нас никогда не было проблем с потерей данных; но у вас также есть варианты резервного копирования

Марк Бейкер
источник
Это на самом деле не решает вопрос о том, насколько надежным является сторонний хостинг исходного кода.
М. Дадли
@ M.Dudley Да, но это касается стабильности, которая была одним из моих вопросов (по общему признанию, не самым важным для меня).
emsr
Злые единороги. Боже мой
Доминик Черизано
0

Почему вы не рассматриваете возможность размещения своего исходного кода на локальном ящике, который вы поддерживаете и создаете резервную копию? Это может быть легко достигнуто с помощью Subversion / Tortoise-SVN и избавит от необходимости использовать распределенный репозиторий, если, конечно, это не то, что вам нужно.

слащавый
источник
1
С Git это тоже можно сделать.
Рог