Подтвердить что ты не робот

Насколько безопасно размещать конфиденциальные данные на сайтах репозитория, таких как github, bitbucket и т.д.?

Это просто вопрос из любопытства. Мне интересно, насколько безопасно, как правило, принято размещать конфиденциальные данные на сайтах репозитория, таких как Github, Bitbucket и т.д.? Безопасно ли это, чтобы избавиться от всего кода на локальных машинах и просто сохранить его там? Как насчет безопасности в смысле сохранения секретов компании? Я замечаю, что эти сайты рекламируют крупные компании, такие как Google и Yahoo, используют свои услуги, но действительно ли эти крупные компании хранят свои коммерческие тайны и важный код компании на таких сайтах?

В Github есть страница (http://help.github.com/security), в которой есть интересная информация, которая показывает, что они продают ее как нечто доказательство дурака, как я описано. Но на практике крупные компании, такие как Google, действительно находят, что их запатентованные секреты и огромное количество кода действительно безопасны от любопытных глаз и катастрофических событий на таких сайтах?

4b9b3361

ОТВЕТЫ

Ответ 1

Как всегда, это зависит: -)

Могут быть два разных значения "безопасность":

  • Могу ли я доверять хостеру, чтобы мои личные вещи (интеллектуальная собственность, секреты компании...) были частными?
  • Что происходит с моим кодом, если хостер внезапно выходит из строя?

Для 1. нет гарантии 100%.
Конечно, крупные хостеры, такие как GitHub и Bitbucket, не будут делиться вашим кодом намеренно с третьими лицами, но всегда есть вероятность, что некоторым хакерам удастся получить содержимое ваших частных репозиториев.
(это может случиться и с вами, если вы размещаете свой код внутри вашей компании, но это маловероятно, потому что, если ваша компания не известна, скажем, Google, вероятность того, что кто-то пытается атаковать вашу компанию, намного меньше, чем вероятность того, что кто-то попытается атаковать известного общественного хостера).

Кроме того, вы должны учитывать законы страны, в которой проживает хостер.
Несколько недель назад я где-то читал, что если ваш хостер находится в США, они могут быть принуждены законом предоставить ваши данные правительству США при определенных обстоятельствах, и им даже не разрешают вам об этом говорить (я не знаю, помните название закона, но, возможно, кто-то еще знает).

Я предполагаю, что все это приводит к тому, что большинство "больших" компаний не размещают свой код на публичной службе (моя компания среднего размера, и мы также размещаем наш код как private).

Кстати, как вы упомянули Google:
Я уверен, что особенно Google делает не использование Bitbucket или GitHub. У них есть полная инфраструктура для хостинга проектов, поэтому я предполагаю, что они тоже используют ее внутри. Почему они должны использовать внешнюю службу? Это в облаке, да... но это их облако.

Относительно 2: маловероятно, что GitHub или Bitbucket завтра обанкротятся, но вы никогда не знаете. ИМО - это ваша ответственность за резервное копирование своего кода самостоятельно.
Природа DVCS в любом случае гарантирует, что у вас есть локальные копии вашего кода, но может быть сложно найти множество машин для разработчиков для новейших версий всех ваших проектов.
Я делаю это, регулярно вынимая все свои репозитории на свою локальную машину (я написал инструмент который может сделать это для Bitbucket, который я использую для своих частных проектов)

Ответ 2

Недавно я посмотрел на GitHub, и по сравнению с предыдущим хостингом git (который был на нашем собственном виртуальном сервере linux) меня не впечатлило безопасность. Мы его используем, но только для проектов, которые хранят исходный код в частном порядке, не является серьезной проблемой.

А именно:

  • На всех учетных записях пользователей нет управления компанией. Мы контролируем, какие пользователи имеют доступ к нашему репозиторию, но нет политик паролей, пользователи выбирают свои собственные адреса электронной почты и т.д.
  • Невозможно ограничить доступ по IP-адресу
  • Пароли могут быть reset пользователем
  • Компрометируя учетную запись электронной почты пользователей (которой мы не можем видеть, какая учетная запись, на которую они установлены) также приводит к компрометации их учетной записи github, поскольку они используют вызов электронной почты для reset забытых паролей.
  • Нет доступных журналов доступа (существует контрольный журнал для большинства или, возможно, всех изменений, но вообще не регистрируется для доступа)
  • Доступ к веб-интерфейсу защищен только паролем, поэтому он уязвим для повторного использования паролей с других сайтов и в некоторой степени для принудительного принудительного форматирования (утверждение github о том, что они делают для неудачных логинов, довольно неясно).

Один или два из них мы могли бы жить, но в сочетании они в основном делают github совершенно непригодным.

Недавно они добавили 2-факторную аутентификацию, и есть API, чтобы организации могли, по крайней мере, проверить, разрешены ли пользователи, имеющие доступ к своим репозиториям, активировать двухфакторную аутентификацию. Хотя я не чувствую, что это действительно лучшее решение, возможно, это всего лишь переводит github на достаточно надежную, чтобы его можно было рассматривать для частных репозиториев.

Вместо этого вы можете запустить корпоративную установку, которая, по-видимому, значительно улучшит безопасность, но разница в стоимости между этой и стандартной учетной записью компании github ошеломляет, и это, вероятно, означает, что вы пропустите все сторонние инструменты, которые интегрируются с github.

Недавно GitHub объявил о новых бизнес-планах с дополнительными функциями - это может решить "1" / "4" / "5". (Хотя "гарантия безотказной работы" эта часть довольно смехотворна - даже "четыре девятки", и исключает запланированное обслуживание и все, что они считают "вне их разумного контроля" - и это не настоящая гарантия, это всего лишь небольшой кредит против ваш следующий счет, который ограничен, чтобы быть не более трети вашего счета. В основном очень тщательно сформулированные маркетинговые ласковые слова вместо каких-либо обязательств от них.)

Ответ 3

Для записи: Во-первых, репозиторий - это резервная копия, а затем - безопасность.

К дате, мы еще не видим нарушения безопасности, которые связаны с GitHub или Bitbucket. Итак, эмпирически говоря, они в безопасности.

Однако мы показываем нашу информацию частной компании, поэтому существует риск, например, сотрудник Github, который решает копировать наши материалы.

Но мы должны помнить, что репозиторий - это в основном резервная копия. Наличие частного сервера в порядке, если у вас есть ресурсы. Но мы также должны рассмотреть расположение сервера. Если его в том же месте, то есть вероятность потери всей информации, например, наводнения, пожара, удара молнии всех наших машин и так далее. Таким образом, удаленный репозиторий действительно классный.

Если вы хотите использовать удаленный репозиторий, то не слишком очевидны. Допустим, что вы Cocacola Corp и хотите управлять важным проектом, а затем не создавайте учетную запись с именем компании и не называете проект IMPORTANT_SECRET_VITAL_FOR_COCACOLA, просто назовите его PROJECT1, и если хакеры атакуют, то он это не волнует.