Jak bezpieczne i godne zaufania są witryny hostingowe, takie jak sourceforge, github lub bitbucket dla projektów zamkniętych? [Zamknięte]

Rozważam użycie sourceforge, bitbucket lub github do zarządzania kontrolą źródła w mojej firmie. Mam otwarte projekty i biorę udział w otwartych projektach, takich jak gcc. Ale mam też firmę, w której rozwijam oprogramowanie o zamkniętym źródle.

Jak godne zaufania są sourceforge, github lub bitbucket, jeśli chodzi o ochronę oprogramowania przed wścibskimi oczami? Jak stabilny jest hosting pod względem zapobiegania utracie danych? Czy ktoś tam oparł swoją logikę biznesową na takim stroju? Czy ktoś tam ankietował kilka rozwiązań hostingowych?

Nie ma dobrego, standardowego sposobu oceny bezpieczeństwa takich dostawców. Trochę widać stabilność, ale bezpieczeństwa nie da się ocenić z zewnątrz.

Rozmawiałbym z rozważanymi przez nich dostawcami o ich gwarancjach bezpieczeństwa i przyjrzałem się ich umowom - jeśli nie udzielą żadnych gwarancji lub jeśli ich umowy są wypełnione klauzulami „nie możemy ponosić odpowiedzialności”, to że mówi ci, jak poważnie traktują bezpieczeństwo i ile pomocy możesz się spodziewać, gdy coś stanie się gruszkowe.

Nie oceniaj tego również w próżni - zastanów się, ile czasu zajęłoby ci uruchomienie własnych serwerów, ile wysiłku i kosztów to by kosztowało oraz jakie jest prawdopodobieństwo, że to zepsujesz (pozostawiając ogromną lukę bezpieczeństwa ), robiąc to w domu.

W taki sposób mamy projekt o zamkniętym źródle.

Powszechnie akceptowane jest to, że kradzież kodu źródłowego nie zaszkodzi nikomu ( dobry artykuł tutaj ). Bitbucket i github zarabiają na życie z zamkniętego źródła, więc mają naturalny imperatyw, aby zachować bezpieczeństwo tak, jak to możliwe (i zminimalizować złą prasę).

Jedna uwaga: od czasu do czasu usługa przestaje działać - prawdopodobnie (IMO) spowodowana ruchem open source.

Ale ogólnie rozważaliśmy zalety i wady i jesteśmy szczęśliwi.

ps Jeśli się nie mylę, github oferuje instancję „chmury prywatnej” dla klientów korporacyjnych.

SourceForge nie jest już uważany za godny zaufania . Przechwytuje konta i zastępuje pakiety Windows instalatorami adware (GIMP, nmap i inne). SourceForge również aktywnie odfiltrowuje użytkowników z określonych krajów. Nic tak naprawdę nie przeszkadza innym usługom hostingowym w ingerowaniu w instalatory oprogramowania, ponieważ SF musi być ścigana zgodnie z prawem. Zastrzegający emptor .

EDYCJA: https://helb.github.io/goodbye-sourceforge/ jest dobrym źródłem do porównania hostingu (nie jestem z nimi związany).

Podobne pytanie (z odpowiedzią napisaną przeze mnie) dotyczy przepełnienia stosu:
jak bezpieczne jest przechowywanie poufnych danych w witrynach repozytoriów, takich jak github, bitbucket itp.?

TL; DR:

• podobnie jak wszystko w chmurze, nie ma 100% gwarancji, że jakiś haker nie uzyska dostępu do twoich danych
  (z drugiej strony może się tak zdarzyć, gdy sam hostujesz swoje rzeczy)
• dostawcy usług w chmurze mogą w dowolnym momencie przestać działać. Jest mało prawdopodobne, że stanie się tak z wymienionymi dużymi hosterami kodu źródłowego, ale nigdy nie wiadomo
  -> Twoim obowiązkiem jest regularne tworzenie kopii zapasowych swoich rzeczy!

Nawet jeśli dostawcy są godni zaufania, nigdy nie wiadomo, na które cele włamywacze się kradną, a każda otwarta strona jest podatna na krakowanie, gdy jest taka wola.

W mojej firmie kupiliśmy GitHub Enterprise , który jest naszym własnym githubem w naszym intranecie. Jeśli podoba Ci się GitHub i poważnie podchodzisz do zachowania prywatności swojej pracy, jest to prawdopodobnie najbezpieczniejsze.

Kilka dobrych odpowiedzi, które już obejmują techniczne aspekty tego, o co się martwisz - nie będę ich powtarzał. Ostatecznie w przypadku „naruszenia bezpieczeństwa” musisz rozważyć skorzystanie z przysługującego Ci prawa. Jakie są warunki licencji, w jakim stopniu są oni odpowiedzialni za szkody, które poniosłeś w wyniku awarii usługi itp. W konkretnym przypadku można je odzyskać w gotówce. Musisz także rozważyć, jak bezpieczny jest twój zastępca. Czy serwer wewnętrzny, prawdopodobnie podłączony do Internetu, jest mniej narażony na szwank niż Github? Czy jesteś wystarczająco wykwalifikowany i wkładasz wymagane zasoby do swojej instalacji, aby mieć pewność?

Współpracuję z organizacją zajmującą się umieszczaniem danych w chmurze - jednak dane te, choć mają ograniczoną wartość komercyjną, są prawnie wrażliwe. Żadna kwota szkód pieniężnych nie naprawiłaby naruszenia bezpieczeństwa. W rezultacie ich miara bezpieczeństwa jest „bezpieczniejsza niż uruchamianie systemów wewnętrznych”. Po tym następuje jurysdykcja prawna - pod warunkiem, że musi ona odpowiadać temu samemu systemowi prawnemu - w naszym przypadku ten sam kraj, ponieważ podlegałyby one tym samym przepisom dotyczącym bezpieczeństwa danych, prywatności itp., A naruszenie może być odpowiedzialne w sprawach karnych, a nie tylko sądy cywilne. Za wszelką cenę należy unikać transgranicznych sporów prawnych, podobnie jak transgranicznych skarg karnych.

Jedną z zalet git jest to, że jest to peer-to-peer, więc tak naprawdę nie potrzebujesz master VCS, chociaż wiele firm (w tym moja własna) używa github jako głównego repozytorium.

Możesz przypisać dostęp do poszczególnych osób (tylko do odczytu lub do odczytu / zapisu) i zdefiniować również osoby jako administratorów, dzięki czemu masz odpowiedni stopień kontroli dostępu.

Github czasami „czkawka” (wściekłe jednorożce), ale ogólnie jest dość stabilny i nigdy nie mieliśmy żadnych problemów z utratą danych; ale masz także opcje tworzenia kopii zapasowych

Dlaczego nie rozważasz umieszczenia kodu źródłowego w lokalnej skrzynce, którą zarządzasz i tworzysz kopię zapasową? Można to osiągnąć dość łatwo przez subversion / Tortoise-SVN i wyeliminowałoby to potrzebę korzystania z rozproszonego repozytorium, chyba że tego właśnie potrzebujesz.