Quanto sono sicuri e affidabili i siti di hosting come sourceforge, github o bitbucket per progetti a sorgente chiuso? [chiuso]


32

Sto pensando di utilizzare sourceforge, bitbucket o github per gestire il controllo del codice sorgente per la mia attività. Ho progetti aperti e partecipo a progetti aperti come gcc. Ma ho anche un'attività in cui sviluppo software chiusi per la mia vita.

Quanto sono affidabili sourceforge, github o bitbucket in termini di protezione del software da occhi indiscreti? Quanto è stabile l'hosting in termini di prevenzione della perdita di dati? Qualcuno là fuori ha basato la propria logica di business con un tale vestito? Qualcuno ha esaminato diverse soluzioni di hosting?


3
Una nota: anche se ti fidi di loro, dovresti avere un backup automatico del tuo repository.
Michael Kohne,

Indipendentemente dalla sicurezza che vorrebbero essere, si dovrebbe presumere che le forze dell'ordine nel paese in cui mantengono i loro server avranno accesso ai tuoi file. È possibile che non ti venga detto se tali file sono accessi. Se il tuo software è di interesse per un governo straniero, questo potrebbe interessarti.
Simon B,

Risposte:


34

Non esiste un buon metodo standard per valutare la sicurezza di provider come questo. Stabilità che puoi vedere, un po ', ma la sicurezza è praticamente impossibile da valutare dall'esterno.

In realtà parlerei con i fornitori che stai prendendo in considerazione in merito alle loro garanzie di sicurezza e esaminerei i loro contratti - se non fanno alcuna garanzia, o se i loro contratti sono crivellati di clausole "non possiamo essere ritenuti responsabili", allora che ti dice quanto seriamente prendono la sicurezza e quanto aiuto puoi aspettarti se qualcosa va a forma di pera.

Inoltre, non valutare questo nel vuoto - pensa a cosa ci vorrebbe per far funzionare i tuoi server PROPRI, e quanti sforzi e costi generali ci vorrebbero e con quale probabilità hai di rovinarlo (lasciando un enorme buco nella sicurezza ) facendolo in casa.


18
+1 per menzionare la possibilità che i propri server siano meno sicuri.
Peter,

14

Abbiamo un progetto a sorgente chiuso ospitato in questo modo.

È ampiamente riconosciuto che rubare il codice sorgente non porterà nessuno troppo lontano ( buon articolo qui ). bitbucket e github si guadagnano da vivere da fonti chiuse, quindi hanno un imperativo naturale per mantenere le cose il più sicure possibile (e minimizzare la cattiva stampa).

Una nota è che ogni tanto il servizio si interrompe per un po '- probabilmente (IMO) causato dal traffico open source.

Ma nel complesso, abbiamo valutato i pro e i contro e siamo felici.

ps Se non sbaglio, github offre un'istanza "cloud privato" per i clienti aziendali.


Grazie per l'articolo Hai provato il cloud privato? Stai solo usando il repository privato?
emsr

Solo repository privato.
Dave Clausen,

Fanno gitlab che è fondamentalmente un github ospitato da sé
Tom Squires il

14

SourceForge non è più considerato affidabile . Ha dirottato gli account e sostituito i pacchetti di Windows con programmi di installazione adware (GIMP, nmap e altri). SourceForge è stato anche attivo nel filtrare gli utenti da determinati paesi. Nulla impedisce davvero ad altri servizi di hosting di interferire con gli installatori di software poiché non abbiamo ancora visto SF perseguito legalmente. Caveat emptor .

EDIT: https://helb.github.io/goodbye-sourceforge/ è una buona risorsa per il confronto di hosting (non sono affiliato con loro).


1
La domanda riguarda in particolare l'outsourcing dell'hosting privato , quindi la questione della confusione di SF con progetti pubblici non è particolarmente rilevante qui.
Andrew Medico,

6
@AndrewMedico - è ancora una questione di integrità, però ...
Deer Hunter l'

Sul fronte dell'integrità, quando è stato venduto l'ultimo SF, i nuovi proprietari hanno interrotto il programma di modifica del programma di installazione: ghacks.net/2016/02/10/…
Michael Kohne,

7

C'è una domanda simile (con una mia risposta scritta) su Stack Overflow:
quanto è sicuro ospitare dati sensibili su siti di repository come github, bitbucket, ecc.?

TL; DR:

  • come per qualsiasi cosa nel cloud, non esiste una garanzia al 100% che alcuni hacker non accedano ai tuoi dati
    (d'altra parte, ciò può accadere anche quando si ospitano le tue cose da soli)
  • i fornitori di servizi cloud possono andare fuori servizio in qualsiasi momento. È improbabile che ciò accada ai grandi promotori del codice sorgente menzionati, ma non si sa mai
    -> è responsabilità dell'utente eseguire regolarmente i backup delle proprie cose!

4

Anche quando i provider sono affidabili, non si sa mai quali target dei cracker e qualsiasi sito aperto è crackabile quando c'è la volontà di farlo.

Nella mia azienda abbiamo acquistato GitHub Enterprise , che è il nostro github sulla nostra intranet. Se ti piace GitHub e sei seriamente intenzionato a mantenere il tuo lavoro privato, questo è probabilmente il più sicuro.


Devi chiederti però: la tua azienda è migliore nel fornire sicurezza per il tuo repository rispetto a pesi massimi come GitHub e Bitbucket?
Stefan Billiet,

1
@StefanBilliet Probabilmente nessuno di noi è in grado di proteggere la nostra fonte al 100%, ma mantenendo l'istanza aziendale github su una rete locale i cracker avranno bisogno di aiuto per fare lo stesso che possono fare in qualsiasi momento su un server pubblico.
Sylwester,

3

Alcune buone risposte già trattano degli aspetti tecnici di cui ti preoccupi - non le ribadirò. In definitiva, in caso di "violazione della sicurezza", è necessario prendere in considerazione il ricorso legale. Quali sono i termini della licenza, in che misura sono responsabili per i danni subiti a causa di guasti al servizio, ecc. Nel tuo caso specifico, i danni possono essere recuperati in contanti. Devi anche considerare la sicurezza del tuo sostituto. Un server interno, presumibilmente connesso a Internet, ha forse meno probabilità di essere compromesso rispetto a Github? Sei abbastanza esperto e stai mettendo le risorse richieste nella tua installazione per essere sicuro?

Sto lavorando con un'organizzazione che sta cercando di inserire i dati nel cloud, tuttavia i dati, sebbene abbiano un valore commerciale limitato, sono legalmente sensibili. Nessun importo in denaro risarcirebbe una violazione della sicurezza. Di conseguenza, la loro misura di sicurezza è "più sicura dell'esecuzione di sistemi interni". Ciò è seguito dalla giurisdizione legale - il fornito deve rispondere allo stesso sistema legale - nel nostro caso, stesso paese, poiché rientrerebbero nelle stesse leggi in materia di sicurezza dei dati, privacy ecc. E una violazione potrebbe essere ritenuta responsabile in materia penale, non solo tribunali civili. Le controversie legali transfrontaliere devono essere evitate a tutti i costi, così come le denunce penali transnazionali.


0

Uno dei vantaggi di git è che è peer-to-peer, quindi in realtà non hai bisogno di un VCS master, anche se molte aziende (inclusa la mia) usano github come repository principale.

Puoi assegnare l'accesso alle persone (sola lettura o lettura / scrittura) e definire anche le persone come amministratori, in modo da avere un buon grado di controllo degli accessi.

Github fa "singhiozzo" occasionalmente (unicorni arrabbiati) ma è generalmente abbastanza stabile e non abbiamo mai avuto problemi con la perdita di dati; ma hai anche opzioni di backup


Questo non risolve davvero la questione di quanto sia affidabile l' hosting di codice sorgente di terze parti.
M. Dudley,

@ M.Dudley Vero, ma tocca la stabilità che era una delle mie domande (certamente non la più importante per me).
emsr

Unicorni arrabbiati Oh mio.
Dominic Cerisano,

0

Perché non stai considerando di inserire il codice sorgente in una casella locale che mantieni e esegui il backup? Ciò potrebbe essere ottenuto con sovversione / Tortoise-SVN abbastanza facilmente e potrebbe ovviare alla necessità di utilizzare un repository distribuito a meno che, ovviamente, non sia quello di cui hai bisogno.


1
Potrebbe essere fatto anche con Git.
Rig
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.