Как безопасно & заслуживают доверия сайты, такие как sourceforge, github или bitbucket для проектов с закрытыми исходными кодами? [закрыто]

Я рассматриваю возможность использования sourceforge, bitbucket или github для управления исходным кодом для моего бизнеса. У меня открытые проекты, и я участвую в открытых проектах, таких как gcc. Но у меня также есть бизнес, где я разрабатываю программное обеспечение с закрытым исходным кодом для своей жизни.

Насколько заслуживающими доверия являются sourceforge, github или bitbucket с точки зрения обеспечения безопасности программного обеспечения от посторонних глаз? Насколько устойчивым является хостинг с точки зрения предотвращения потери данных? Кто-нибудь там основывал свою бизнес-логику на таком оборудовании? Кто-нибудь из них рассмотрел несколько решений для хостинга?

32 голоса | спросил emsr 1 PMpMon, 01 Apr 2013 20:30:48 +040030Monday 2013, 20:30:48

8 ответов


34

Нет хорошего, стандартного способа оценить безопасность таких провайдеров. Стабильность, которую вы можете видеть, несколько, но безопасность практически невозможно оценить извне.

Я бы действительно поговорил с поставщиками, которых вы рассматриваете в отношении их гарантий безопасности, и посмотрите на их контракты - если они не дают никаких гарантий или если их контракты пронизаны «не могут быть ответственными» , то это говорит вам о том, насколько серьезно они берут на себя безопасность, и какую помощь вы можете ожидать, если что-то станет грушевидным.

Кроме того, не оценивайте это в вакууме - подумайте о том, что вам понадобится для запуска ваших СОБСТВЕННЫХ серверов, а также о том, сколько усилий и накладных расходов потребуется, и насколько вероятно, что вы должны его испортить (оставив массивное отверстие безопасности), делая это в доме.

ответил Michael Kohne 2 AMpTue, 02 Apr 2013 00:24:48 +040024Tuesday 2013, 00:24:48
14

У нас есть проект с закрытым исходным кодом, размещенный таким образом.

Довольно широко принято, что кражи исходного кода не заставят кого-либо слишком далеко ( хорошая статья здесь ). bitbucket и github зарабатывают себе на жизнь из закрытого источника, поэтому у них есть естественный императив, чтобы держать вещи такими же безопасными, как они могут (и минимизировать плохую печать).

Одно замечание заключается в том, что время от времени служба снижается на некоторое время - вероятно (IMO), вызванная трафиком с открытым исходным кодом.

Но в целом мы взвесили плюсы и минусы и довольны.

p.s. Если я не ошибаюсь, github предлагает экземпляр «частного облака» для корпоративных клиентов.

ответил Dave Clausen 1 PMpMon, 01 Apr 2013 21:01:44 +040001Monday 2013, 21:01:44
14

SourceForge не считается более надежным . Он захватывает учетные записи и заменяет пакеты Windows рекламными установщиками (GIMP, nmap и т. Д.). SourceForge также активно занимается фильтрацией пользователей из определенных стран. Ничто действительно не мешает другим службам хостинга вмешиваться в установку программного обеспечения, так как мы еще не видели, как SF преследуется по закону. Предостережение emptor .

EDIT: https://helb.github.io/goodbye-sourceforge/ - хороший ресурс для хостинга сравнение (я не связан с ними). ​​

ответил Deer Hunter 11 J0000006Europe/Moscow 2015, 11:14:22
7

Есть аналогичный вопрос (с ответом, написанным мной) в переполнении стека:
Как безопасно ли это размещать конфиденциальные данные на сайтах репозитория, таких как github, bitbucket и т. д.?

TL; ДР:

  • как и все в облаке, нет 100% гарантии того, что какой-то хакер не получит доступа к вашим данным
    (с другой стороны, это может произойти и при размещении вашего материала самостоятельно)
  • Облачные провайдеры могут выйти из строя в любое время. Маловероятно, что это произойдет с упомянутыми главными хостерами, но вы никогда не знаете, как это сделать - > вы несете ответственность за резервное копирование своих материалов регулярно!
ответил Christian Specht 2 AMpTue, 02 Apr 2013 11:10:13 +040010Tuesday 2013, 11:10:13
4

Даже если провайдеры заслуживают доверия, вы никогда не знаете, какие цели крекеры и какой открытый сайт взломан, когда есть желание сделать это.

В моей компании мы купили GitHub Enterprise , который является нашим собственным github в нашей интрасети. Если вы любите GitHub и серьезно относитесь к тому, чтобы ваша работа была закрытой, это, вероятно, самый безопасный.

ответил Sylwester 3 AMpWed, 03 Apr 2013 02:00:05 +040000Wednesday 2013, 02:00:05
3

Несколько хороших ответов уже охватывают технические аспекты того, что вас беспокоит - я не буду повторять их. В конечном счете, в случае «нарушения безопасности» вам необходимо рассмотреть законный регресс, который у вас есть. Каковы условия лицензии, в какой степени они несут ответственность за убытки, которые вы понесли в результате сбоя службы и т. Д. В вашем конкретном случае могут быть возмещены убытки наличными. Вам также нужно подумать о том, насколько безопасна ваша альтернатива. Является ли внутренний сервер, предположительно подключенный к Интернету, менее подверженному риску, чем Github? Вы достаточно квалифицированы и уверены, что требуете ресурсов в своей установке?

Я работаю с организацией, занимающейся размещением данных в облаке, однако данные, хотя и имеющие ограниченную коммерческую ценность, являются юридически чувствительными. Никакой суммы денежных убытков не будет исправлено нарушение безопасности. В результате их степень безопасности «более безопасна, чем управление внутренними системами». За этим следует юридическая юрисдикция - предоставленные должны отвечать на одну и ту же правовую систему - в нашем случае в той же стране, поскольку они будут подпадать под одни и те же законы, касающиеся безопасности данных, конфиденциальности и т. Д., И нарушение, вероятно, будет подлежать уголовному, а не только гражданские суды. Пограничные правовые споры следует избегать любой ценой, так как жалуются трансграничные преступники.

ответил mattnz 2 AMpTue, 02 Apr 2013 01:04:01 +040004Tuesday 2013, 01:04:01
0

Одним из преимуществ git является то, что он является одноранговым, поэтому вам действительно не нужен главный VCS, хотя многие компании (в том числе и мои собственные) используют github в качестве основного репозитория.

Вы можете назначать доступ к отдельным лицам (только для чтения или чтения /записи), а также определять людей как администраторов, поэтому у вас есть достаточная степень контроля доступа.

Гитуб иногда «икает» (сердитый единорог), но в целом довольно стабилен, и у нас никогда не было проблем с потерей данных; но у вас также есть опции резервного копирования

ответил Mark Baker 1 PMpMon, 01 Apr 2013 20:44:04 +040044Monday 2013, 20:44:04
0

Почему вы не рассматриваете возможность размещения исходного кода в локальном поле, которое вы поддерживаете и резервное копирование? Это может быть достигнуто с помощью subversion /Tortoise-SVN довольно легко и избавит вас от необходимости использовать распределенный репозиторий, если, конечно, это то, что вам нужно.

ответил Mushy 2 PMpTue, 02 Apr 2013 21:11:57 +040011Tuesday 2013, 21:11:57

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132