Насколько безопасным будет github-хостинг для частных репозиториев?

Ответ 1

Недавно мы опробовали github.

По сравнению с предыдущим хостингом git (который был на нашем собственном виртуальном сервере linux), я не слишком впечатлен безопасностью. Мы решили использовать его, но только для проектов, в которых хранение частного кода не вызывало большого беспокойства.

А именно:

• На всех учетных записях пользователей нет управления компанией. Мы контролируем, какие пользователи имеют доступ к нашему репозиторию, но нет политик паролей, пользователи выбирают свои собственные адреса электронной почты и т.д.
• Невозможно ограничить доступ по IP-адресу
• Пароли могут быть reset пользователем
• Компрометируя учетную запись электронной почты пользователей (которой мы не можем видеть, какая учетная запись, на которую они установлены) также приводит к компрометации их учетной записи github, поскольку они используют вызов электронной почты для reset забытых паролей.
• Нет доступных журналов доступа (существует контрольный журнал для большинства или, возможно, всех изменений, но вообще не регистрируется для доступа)
• Доступ к веб-интерфейсу защищен только паролем, поэтому он уязвим для повторного использования паролей с других сайтов и в некоторой степени для принудительного принудительного форматирования (утверждение github о том, что они делают для неудачных логинов, довольно неясно).

Один или два из них мы могли бы жить, но в сочетании они в основном делают github совершенно непригодным.

Недавно они добавили 2-факторную аутентификацию, и есть API, чтобы организации могли, по крайней мере, проверить, разрешены ли пользователи, имеющие доступ к своим репозиториям, активировать двухфакторную аутентификацию. Хотя я не чувствую, что это действительно лучшее решение, возможно, это всего лишь переводит github на достаточно надежную, чтобы его можно было рассматривать для частных репозиториев.

Как отмечает mt3, вы можете вместо этого запустить корпоративную установку, которая, по-видимому, значительно улучшит безопасность, но разница в стоимости между этой и стандартной учетной записью компании github ошеломляет, и это, вероятно, означает, что вы пропустите все сторонние инструменты которые интегрируются с github.

В примечании, не относящемся к безопасности, они, по крайней мере, теперь поддерживают годовое выставление счетов должным образом, что помогает сократить объем накладных документов.

Недавно GitHub объявил о новых бизнес-планах с дополнительными функциями - это может решить "1" / "4" / "5". (Хотя "гарантия безотказной работы" эта часть довольно смехотворна - даже "четыре девятки", и исключает запланированное обслуживание и все, что они считают "вне их разумного контроля" - и это не настоящая гарантия, это всего лишь небольшой кредит против ваш следующий счет, который ограничен, чтобы быть не более трети вашего счета. В основном очень тщательно сформулированные маркетинговые ласковые слова вместо каких-либо обязательств от них.)

Ответ 2

У них были серьезные инциденты с безопасностью в прошлом: http://www.h-online.com/security/news/item/GitHub-security-incident-highlights-Ruby-on-Rails-problem-1463207.html

Честно говоря, я бы не стал доверить код, который я хочу сохранить в облаке (или любые другие конфиденциальные данные), если он не зашифрован, и я удерживаю ключ.

Ответ 3

Как долго длится строка?

Это довольно сложный вопрос.

Посмотрев на страницу безопасности, они, похоже, почти все покрывают, полагая, что они действительно делают все это.

Вы можете утверждать, что размещение вашего кода в github более безопасно, чем его хранение на внутреннем сервере, у многих компаний не было бы такой хорошей политики установки или безопасности, как описал github. Твоя?

Ответ 4

Вы также можете запустить Github Enterprise installation на своих серверах. $5000/год за лицензию на 20 мест.