Quanto sono sicuri e affidabili i siti di hosting come sourceforge, github o bitbucket per progetti a sorgente chiuso? [chiuso]

Sto pensando di utilizzare sourceforge, bitbucket o github per gestire il controllo del codice sorgente per la mia attività. Ho progetti aperti e partecipo a progetti aperti come gcc. Ma ho anche un'attività in cui sviluppo software chiusi per la mia vita.

Quanto sono affidabili sourceforge, github o bitbucket in termini di protezione del software da occhi indiscreti? Quanto è stabile l'hosting in termini di prevenzione della perdita di dati? Qualcuno là fuori ha basato la propria logica di business con un tale vestito? Qualcuno ha esaminato diverse soluzioni di hosting?

Non esiste un buon metodo standard per valutare la sicurezza di provider come questo. Stabilità che puoi vedere, un po ', ma la sicurezza è praticamente impossibile da valutare dall'esterno.

In realtà parlerei con i fornitori che stai prendendo in considerazione in merito alle loro garanzie di sicurezza e esaminerei i loro contratti - se non fanno alcuna garanzia, o se i loro contratti sono crivellati di clausole "non possiamo essere ritenuti responsabili", allora che ti dice quanto seriamente prendono la sicurezza e quanto aiuto puoi aspettarti se qualcosa va a forma di pera.

Inoltre, non valutare questo nel vuoto - pensa a cosa ci vorrebbe per far funzionare i tuoi server PROPRI, e quanti sforzi e costi generali ci vorrebbero e con quale probabilità hai di rovinarlo (lasciando un enorme buco nella sicurezza ) facendolo in casa.

Abbiamo un progetto a sorgente chiuso ospitato in questo modo.

È ampiamente riconosciuto che rubare il codice sorgente non porterà nessuno troppo lontano ( buon articolo qui ). bitbucket e github si guadagnano da vivere da fonti chiuse, quindi hanno un imperativo naturale per mantenere le cose il più sicure possibile (e minimizzare la cattiva stampa).

Una nota è che ogni tanto il servizio si interrompe per un po '- probabilmente (IMO) causato dal traffico open source.

Ma nel complesso, abbiamo valutato i pro e i contro e siamo felici.

ps Se non sbaglio, github offre un'istanza "cloud privato" per i clienti aziendali.

SourceForge non è più considerato affidabile . Ha dirottato gli account e sostituito i pacchetti di Windows con programmi di installazione adware (GIMP, nmap e altri). SourceForge è stato anche attivo nel filtrare gli utenti da determinati paesi. Nulla impedisce davvero ad altri servizi di hosting di interferire con gli installatori di software poiché non abbiamo ancora visto SF perseguito legalmente. Caveat emptor .

EDIT: https://helb.github.io/goodbye-sourceforge/ è una buona risorsa per il confronto di hosting (non sono affiliato con loro).

C'è una domanda simile (con una mia risposta scritta) su Stack Overflow:
quanto è sicuro ospitare dati sensibili su siti di repository come github, bitbucket, ecc.?

TL; DR:

• come per qualsiasi cosa nel cloud, non esiste una garanzia al 100% che alcuni hacker non accedano ai tuoi dati
  (d'altra parte, ciò può accadere anche quando si ospitano le tue cose da soli)
• i fornitori di servizi cloud possono andare fuori servizio in qualsiasi momento. È improbabile che ciò accada ai grandi promotori del codice sorgente menzionati, ma non si sa mai
  -> è responsabilità dell'utente eseguire regolarmente i backup delle proprie cose!

Anche quando i provider sono affidabili, non si sa mai quali target dei cracker e qualsiasi sito aperto è crackabile quando c'è la volontà di farlo.

Nella mia azienda abbiamo acquistato GitHub Enterprise , che è il nostro github sulla nostra intranet. Se ti piace GitHub e sei seriamente intenzionato a mantenere il tuo lavoro privato, questo è probabilmente il più sicuro.

Alcune buone risposte già trattano degli aspetti tecnici di cui ti preoccupi - non le ribadirò. In definitiva, in caso di "violazione della sicurezza", è necessario prendere in considerazione il ricorso legale. Quali sono i termini della licenza, in che misura sono responsabili per i danni subiti a causa di guasti al servizio, ecc. Nel tuo caso specifico, i danni possono essere recuperati in contanti. Devi anche considerare la sicurezza del tuo sostituto. Un server interno, presumibilmente connesso a Internet, ha forse meno probabilità di essere compromesso rispetto a Github? Sei abbastanza esperto e stai mettendo le risorse richieste nella tua installazione per essere sicuro?

Sto lavorando con un'organizzazione che sta cercando di inserire i dati nel cloud, tuttavia i dati, sebbene abbiano un valore commerciale limitato, sono legalmente sensibili. Nessun importo in denaro risarcirebbe una violazione della sicurezza. Di conseguenza, la loro misura di sicurezza è "più sicura dell'esecuzione di sistemi interni". Ciò è seguito dalla giurisdizione legale - il fornito deve rispondere allo stesso sistema legale - nel nostro caso, stesso paese, poiché rientrerebbero nelle stesse leggi in materia di sicurezza dei dati, privacy ecc. E una violazione potrebbe essere ritenuta responsabile in materia penale, non solo tribunali civili. Le controversie legali transfrontaliere devono essere evitate a tutti i costi, così come le denunce penali transnazionali.

Uno dei vantaggi di git è che è peer-to-peer, quindi in realtà non hai bisogno di un VCS master, anche se molte aziende (inclusa la mia) usano github come repository principale.

Puoi assegnare l'accesso alle persone (sola lettura o lettura / scrittura) e definire anche le persone come amministratori, in modo da avere un buon grado di controllo degli accessi.

Github fa "singhiozzo" occasionalmente (unicorni arrabbiati) ma è generalmente abbastanza stabile e non abbiamo mai avuto problemi con la perdita di dati; ma hai anche opzioni di backup

Perché non stai considerando di inserire il codice sorgente in una casella locale che mantieni e esegui il backup? Ciò potrebbe essere ottenuto con sovversione / Tortoise-SVN abbastanza facilmente e potrebbe ovviare alla necessità di utilizzare un repository distribuito a meno che, ovviamente, non sia quello di cui hai bisogno.