Çalışanlardan “iş” GitHub hesapları oluşturmalarını istemek tavsiye edilir mi?


91

Tüm Git firmamızı GitHub'a taşıdım ve şimdi çalışanlara projelerimi eklemek istiyorum. Çoğu çalışanın zaten kişisel GitHub hesapları olduğundan, onlardan bir çalışma GitHub hesabı oluşturmalarını istemem gerekip gerekmediğini merak ediyorum . Bunu yapmayı düşündüğüm sebep, kod tabanımıza yetkisiz erişim olasılığını azaltmak, çünkü kişisel hesapları sitedeki kişisel aktiviteleri ile iyi bir şekilde duyurulabilir ve hedeflenen saldırı şansı artar. Ayrıca, eğer kişisel hesapları tehlikeye atılırsa, bu, tüm şirket kodunun korsanının erişebileceği anlamına gelmez. Bu, çalışanlar için iki hesap tutma yükünü getireceğinden, bunun doğru bir yaklaşım olup olmadığını ve bir anlam ifade edip etmediğini merak ediyorum.

Güncelle Tüm faydalı bilgiler için teşekkürler. Sorunun / cevapların öznel niteliği nedeniyle ve birkaç farklı cevaptan en iyi puanları aldığım için kabul edilmiş olarak bir cevap vermeyeceğim.

Bu şekilde ilerlemeye karar verdim: Çalışanlara işle ilgili GitHub e-posta bildirimlerinin pratik nedenlerden dolayı iş e-posta hesaplarına gönderilmesi gerektiğini hatırlatacağım. Bu nedenle, iş GitHub hesapları oluşturmak daha mantıklı olacaktır. Kişisel GitHub hesaplarını kullanmak ve iş e-posta hesaplarına bağlamak istiyorlarsa sorun değil. Her durumdaçalışanların, GitHub'ı kullanmaya bağlı bir takım koşulları yazılı olarak kabul etmesi gerekecektir. Bunlar hesap güvenliği ile ilgilidir: başka hiçbir hesapta kullanılmayan, rasgele bir şifre üreticisi kullanarak güvenli bir şifre seçmek, GitHub'a sahip olmadıkları veya kendileri tarafından yönetilmeyen bilgisayarlardan erişememeleri, vb. Bir iş hesabının onlar için daha anlamlı olup olmadığına karar verin.


İş hesabından ödün vermek aynı derecede kolay olurdu, değil mi?
Boris Yankov

10
GitHub, kurum içi e-posta yönlendirmesini Ağustos 2012'de ekledi
Paul Schreiber

2
@BorisYankov, herhangi bir kamu etkinliğiniz yoksa ve oturum açma adınızla hiçbir ilişkisi yoksa, iş hesabını ödün vermek zor olabilir. Bu gizlilik tarafından güvenlik, ama kesinlikle yardımcı olur. Github tarafından gönderilen tüm e-postaların, geliştirme ekibi liderine, vb. Gönderildiği bir iş akışı oluşturabilirsiniz. şirket ve çalışan arasında. Üçüncü önemli nokta: kullanıcı işini bıraktıktan hemen sonra hesabını devralabilir.
Başkan Yardımcısı

7
Bireylerin birden fazla hesap bulundurmaları GitHub hizmet şartlarına aykırıdır. "Bir kişi veya tüzel kişilik birden fazla ücretsiz hesap tutamaz." help.github.com/articles/github-terms-of-service
Riley Major

2
Bu son yorum hakkında. Şartları kontrol ettim, A.7. Peki, kişisel hesabınız varsa ve şirketiniz sizin adınıza başka bir hesap yaparsa ve kullandıysanız ne olur? Yanlış yapmasanız bile kişisel hesabınız sonlandırılacak mı?
Matteo Mosca

Yanıtlar:


63

Bir yararı olsaydı, sadece acı verici olurdu. Fakat hiçbir şey acı verici ve anlamsız olmaktan daha kötü olamaz. Sadece bir tane kişisel hesabın var. İki sebep:

  • Github kuruluşlarında inanılmaz derecede iyi erişim kontrolüne sahip. Bir çalışan ayrılırsa, erişimini anında kaldırabilirsiniz. Bir şirket hesabı olsaydı, belirtilen avantajlardan yararlanmak için bir şekilde hesabı geri ödemeniz gerekir. Uygulamada, muhtemelen kişisel bir hesabı varmış gibi hesap erişimini kaldırırsınız.

  • Birden fazla hesaba sahip olmak acı vericidir. Giriş yapmak ve hesaplar arasında çıkış yapmak acıtıyor, farklı hesaplar kullandığınızda yorum ve ardından tüm sosyal şeyleri eklemek.

Referanslar: GitHub entegrasyonu olan bir CI sunucusu yapıyorum , bu yüzden birçok test hesabım var ve ayrı iş hesapları ve kişisel hesaplar da dahil olmak üzere her türlü garip konfigürasyona sahip müşterilerle konuştum. Her zaman belaya neden olur.


25

Şirketinizin kodu genel veya özel depolarda mı? Bunlar (veya en azından bazıları) herkese açıksa ve çalışanlarınızın kendi GitHub hesaplarını kullanmalarına izin vermişseniz, iyi kod yazmaları için bir teşvik olacaktır. Onların adı tam anlamıyla halka açık bir şekilde ona eklenecekti. Ancak, tüm depolarınızın özel olduğunu varsayacağım.

Genel olarak, çalışanınızın hesaplarının GitHub genelinde herkese açık görünmemesini tercih edersiniz. Ne yazık ki, GitHub Enterprise'ı satarak para kazanıyorlar, bu yüzden kuruluşlar için özel hesaplar oluşturmanıza izin vermemelerinin bir nedeni. Her iki durumda da (esas olarak) kilitlenmiş iş hesaplarına sahip olmak , depolarınızı barındırmak için çok sosyal bir site seçtikten sonra gerçekten sezgisel olacaktır .

Çalışanlarınız için iş hesapları kurduğunuzu düşünelim. Bu hesapları nasıl kullanabilecekleri konusunda herhangi bir kısıtlama uygular mısınız? İşe yönelik olmayan projelere iş amaçlı kod eklemelerine izin verir misiniz? Öyleyse, hesapları genel olarak görünür hale gelir ve sizi ilk endişenize geri getirir. Katkılarını kişisel hesaplarıyla yapmalarına izin verebilirsiniz, ancak sonra onlar için lojistik bir acı noktası yaratırsınız. Şahsen, çalışanlarımı diğer projelere kod olarak katkıda bulunmaya teşvik ediyorum. Bu sadece onlara güven arttırmakla kalmaz, aynı zamanda değerli deneyimler kazanmalarını ve güvenilirliklerini artırmalarını sağlar.

Her durumda, iş hesabı sahibi olmak için çabaya değeceğini sanmıyorum. GitHub arayüzü, kimin neye erişimi olduğunu kolayca kontrol etmenizi sağlar, böylece erişimi kaldırmak her iki şekilde de kolaydır. Ayrıca, ayrı hesaplara sahip olmanın, kişisel ve iş projeleri arasında GitHub arayüzünün olduğundan daha fazla bir çizgi çizdiğini de sanmıyorum.

Ayrıca, şirketiniz büyüdükçe bununla nasıl başa çıkmayı planladığınızı da unutmayın. Şimdi belirlediğiniz politikalar, bir yönetim noktasından ölçeklendirilebilir mi? Şu anda 5 hesabı yönetmek iyi olabilir, ancak 20 veya 50 yaşına geldiğinizde ne olur? Ancak bu noktaya geldiğinizde belki GitHub Enterprise ulaşılabilir bir çözüm olabilir. Bu durumda GitHub hesaplarının GitHub Enterprise kurulumlarına geçirilip geçirilemeyeceğini bulmayı düşünürdüm. Öyleyse, bunun çalışma hesapları için olumlu bir sebep olduğunu görebiliyorum.


Harika noktalar, teşekkürler. Evet havuzları özeldir. İş yerinde olmayan iş projeleri üzerinde çalışırken, bu konuda hiç endişelenmiyorum. Sadece hesap güvenliği.
fiorenti

Söz konusu yorumu, alakalı olmadığı için düzenledim.
Jeremy Heiler

19

Sorunun dışında değil ve aslında oldukça iyi bir fikir.

Olması gerektiği gibi üzücü, kurumdan ayrılan çalışanlarınızı şirketin hayatında bir noktada planlamanız gerekiyor. Kişisel hesaplarını o andaki şirketin deposundan nasıl çıkaracaksınız?

Çalışan kötü koşullarda ayrılırsa ne yapacaksın? İdeal bir dünyada, her şey profesyonel kalacak ve firma ile eski çalışan arasında herhangi bir düşmanlık olmayacak. İdeal olmayan durumlardan daha azını planlamak için dikkatli olursunuz.

İki hesap bulundurmak acı verirken, çalışanlarınız bu fırsatı memnuniyetle karşılamalıdır. Onların ne olduğu ile şirketin ne olduğu arasında daha temiz bir çizgi sağlar.

Düzenleme: Burada endişe duyulan, çalışanın X, Y, Z, vb. Projelere kişisel katkıları ile şirketinizin ürünündeki ücretli çalışmaları arasında açık bir ayrım sağlamaktır. Ayrı bir iş hesabı kullanmak, kimin fikri mülkiyet haklarına ve ilgili telif haklarına sahip olduğunu tanımlamak için gerekli tarifin yapılmasına yardımcı olur.

Örneğin, bir çalışan kişisel hesabını kullanıyorsa ve hem şirkete hem de Proje X'e katkıda bulunursa, çalışanın o noktalarda hangi rolde olduğunu nasıl belirlersiniz? X'in katkısı şirketiniz adına mıydı yoksa kendi kişisel takdiriniz mi? Çalışan veya şirket, X'e verilen eserin telif hakkına sahip mi? Bu nedenle, şirketinizin çalışmalarına dışarıdan yapılan katkılara izin verirseniz, çalışanın bir çalışan veya gönüllü bir katkı olup olmadığını nasıl ayırt edersiniz?

Daha geniş anlamda, başka projelere katkıda bulunarak şirket adına hareket eden bir üne kavuşan bir çalışanınız olduğunu söyleyin. Bu çalışan ayrıldığında, kişisel kullanıcı hesabının artık firmanızla ilişkili olmadığını nasıl belirtirsiniz? Belirli bir hesabın ne için olduğuna dair net bir açıklama olmadan ciddi marka sorunları ortaya çıkabilir.

Potansiyel senaryoları düşünmeye başladığınızda, bir tavşan mülkiyeti, marka ve telif hakkı endişesi düşmek oldukça kolaydır. Ayrı iş hesapları kullanmak, bu belirsizliğin bir kısmını ortadan kaldırmaya yardımcı olur. Şirketin, adına yapılan katkılarda talepte bulunabilmesi gerekir.

Bu, kullanıcı hesabını ayırmanın teknik yönleriyle ilgili değil, sizi yönlendirebilecek yasal sorulardır.

Şirketinizin tüm ürünlerinin izin verilen lisans altında açık kaynak olarak piyasaya sürülmesi ve / veya potansiyel markalaşma konularında hiç endişelenmemeniz durumunda bunun çok önemli olduğunu unutmayın.
(Bu düzenlemeyi istediği için Paul Biggar'a şapka bahşiş ver)


Teşekkürler, bu sebeplerden dolayı çalışan olsaydım bu politikayı memnuniyetle karşılardım. GitHub'ın arayüzü, kullanıcıların özel depolardan kolayca erişmelerini sağlar. Ayrıca, bir çalışanın çok kötü koşullarda ayrılması gerektiğini, çoğu durumda, isterse zarar vermek için yeterli zamanının olacağını varsayalım.
fiorenti

23
Bu cevabı anlamıyorum. GitHub iyi ayarlanmış erişim kontrolüne sahiptir. Bir çalışan ayrıldığında, kuruluşunuzdaki erişimini kaldırırsınız. Bunun nesi zor? Aslında, kişisel hesaplarını kaldırmak, iş hesaplarını "geri almak" yapmaktan daha kolaydır.
Paul Biggar

2
@ fiorenti: Muhtemelen, kullanıcının, kodun nerede barındırıldığına bakılmaksızın gerçekleşecek olan, kodun eksiksiz bir şekilde kontrol edilmesi durumundadır!
Paul Biggar

2
@PaulBiggar - Dahil olan daha geniş sorunlardan bazılarını yakalamak için yanıtımı güncelledim. Bu öncelikle ayrı hesaplar önermeme yol açan yasal bir atıf sorunudur. Sonrasında ciddi baş ağrıları için yapılan kişisel iş hesaplarından ayrılmayan çok sayıda vaka gördüm. Herkesin MMV'si ve her durum, şirketin ahlakına göre incelenmelidir.

Karşılaşabileceğiniz olası yasal sorun mayın tarlasına dikkat çektiğiniz için teşekkür ederiz
RidiculousRichard

10

Herkes işverenin her ikisini de ayırma gereği olmadığı konusunda hemfikir gibi göründüğü için, kişisel hesabımı profesyonel projeler ve iş bağlamında yapılan açık kaynaklı katkılar konusunda kullanmayı denediğim kısa deneyimim.

Sadece içeriği tamamlamak için: Hesaplarla ilgili hiçbir şey sorulmadı, aslında GitHub iş yerimdeki çoğu insan tarafından bilinmiyor. Üzerinde çalışacağım projeyi açmak için yeşil ışık yakmayı başardım ve en az miktarda çalışmıştım, yani kişisel hesabımı kullanarak.

Bir çalışanın bakış açısından, gerçekten nefret ettiğim bir şey: iş yerindeki kişisel e-postalarım hakkında bildirim almak .

Bu gözlemden, profesyonel / kişisel bariyerin bariz bir şekilde kırıldığını fark etmeye başladım: Kapalı zamanlarımda bir projeye katkıda bulunmak istersem, yine de çalışma projelerimden tüm güncellemeleri alıyorum… Dış katkıda bulunanlar için kafa karışıklığı getirebilir , o projeden çıktığını bilmeden seninle iletişim kurabilecek biri .

O zaman elbette, kişisel itibarınızın iş katkılarınızdan kazanabileceği gerçeği ile ilgili bir denge var. Ama sonra yine, isminiz kötü bir proje ile ilişkilendirilirse tam tersi olabilir…

Sonunda, soru işverenin bakış açısından sorulduğu ve diğer tüm cevapları göz önüne alarak istendiği gibi : İşe özel hesapların kullanılmasının zorlanmasının çok fazla bir anlamı olmadığını söyleyebilirim . Ancak bunu yasaklamamalısınız, böylece kişisel engeli yükseltmeyi tercih eden çalışanlar bunu yapabilir ve belki de bu riskler hakkında ipucu verebilir mi?


Yan not olarak, güvenlikle ilgili olarak, diğer cevaplarda işten atılmanın kolay olduğu anlaşılmaktadır:

Tabii ki, bir "iş" hesabı, şifrelerle ilgili "kişisel" bir hesaptan daha fazla ya da daha az güvenli olmaz. Ancak GitHub’ı kullanırken, bir SSH tuşuyla basmanıza izin verilir. Ve bu anahtar genellikle birinin oturumunda bulunur… Bu nedenle, kişisel hesap tüm iş havuzlarını basit bir kişisel bilgisayar çalmasıyla (şifre bilgisi olmadan) tüm iş depolarını tehlikeye atabilir, ancak özel bir iş hesabının muhtemelen sadece iş makinesinde kilit bir rolü vardır, daha fiziksel olarak güvenli (umarım).


+1: Düşünmediğim iki nokta: e-postalar ve SSH anahtarları. GitHub'da ayrı e-postalara sahip olmak bir sorun olsa da, hesabınız için birden fazla SSH anahtarı ayarlayabilirsiniz.
Jeremy Heiler

Ne tarafından tam olarak demek @JeremyHeiler “GitHub'dan ayrı e-postalar sahip bir konudur?” . Üç farklı e-posta kullanıyorum (eski olan, şu andaki kişisel olan, ilk çalışan), bir kere profilinize ekledikten sonra GitHub onları hesabınızla sorunsuz bir şekilde
eşleştiriyor

Bu özlemden bahsediyordum . İş e-postanızı çalışma bilgisayarınızda git.config'inize ekleyip hesabınıza eklerseniz, işle ilgili tüm bildirimlerin iş e-postanıza gönderileceğini mi söylüyorsunuz? Eğer öyleyse, bu harika!
Jeremy Heiler

@JeremyHeiler Oh hayır, tamam, e-postalarla “sorun” ne olduğu hakkında ufak bir yanlış anlaşılma oldu :) Hayır, aslında, cevabımda dediğim gibi, her zaman “ana” (genellikle kişisel) hesabınıza bildirim alırsınız. Ancak, taahhüt eden her adres için bir hesaba ihtiyacınız olacak gibi bir "sorun" değildir: hesabınızla istediğiniz kadar e-posta ilişkilendirebilirsiniz, ancak yalnızca bir e-posta hesabınızdan bildirim alır.
MattiSG

Üzgünüm, evet, ilk yorumumda daha belirgin olmalıydım:
Jeremy Heiler

9

"Hayır" diyecektim. Geliştiricileriniz için oldukça zorlu bir işlemdir ve belirsizlik yoluyla size güvenlik sağlar: Birisi geliştiricilerinizi aktif olarak hedefliyorsa, birilerinin kodunuzu alması için bir sürü başka saldırı vektörü vardır.

Ayrıca, başlangıçta, kodunuzu alan birinin gizemli, sos-sosu tipi algoritmaları olmadıkça, kodunuzu elde etmenin utanç verici ve korkunç ve iğrenç olacağı ancak önemli bir rekabet avantajına yol açmayacağı (yasal olarak kullanabileceğiniz) kod?) veya işten çıkmanıza neden olur.

Geliştirici verimliliğine karşı böyle düşük bir sipariş olasılığı? Geliştirici verimliliğini alırdım ama bu benim hesabım. :)


2

Bunun, çalışanlara bırakılmış bir seçim olması gerektiğini söyleyebilirim. Söyleyeceğim bir şey, istemiyorlarsa kişisel github hesaplarını kullanmaya zorlamamaları. GitHub kullanan bir şirketteydim ve bir zorunluluk olmasa da şahsen ayrı bir hesap açmak istedim. Asıl sebep benim şahıs projelerimi korumaktı. Şirketin kişisel projelerimden birinin kendi projeleri olduğunu söylemeye çalışmasını istemedim, çünkü onların comapny projeleri için kullanılan aynı github hesabı altındaydı (mahkemede tutup uymayacağından emin değilim, ancak fazla inancım yoktu. hukuk sisteminde bu gibi şeylere gelince). Bence bu ayrı temiz olmak iyi bir şey olabilir.


2

Şirketimizde yapıyoruz. "Masanızın altında güvenli olan, github ya da bir sunucunun, herkesin root erişimi olduğu, yedeklemenin çalışıp çalışmadığından emin olmadıklarından" emin olmak gibi bir tartışma başlatmak istemiyorum. Bizim yaklaşımımız:

  • Her geliştirici, kişisel github hesabıyla ilgisi olmayan yeni bir hesap oluşturmalıdır.
  • şirket e-postasını kullanmalıdır.
  • Güvenlik kurallarımıza uygun olmalıdır (giriş adı ve şifre gereksinimi).
  • Halka açık herhangi bir faaliyet gösteremezler / olamazlar.
  • Bu şirket malı. Onun hesabı değil.
  • Tüm hesaplar rastgele bir isim de olan bir şirketle bağlantılı. Hiçbir kamu etkinliği de yok.

2
GitHub şifresini doğrulama şansınız olmadığı için şifre karmaşıklığı gerekliliğini uygulayamazsınız, bu yüzden neden olmasın?
Ramhound

iyi sen mümkün değilse söylüyoruz teknik olarak bir şey zorlamak, bunu uygulamıyor. Bir çalışan güvenlik politikasını okursa ve imzalarsa, sonuçları bilerek, bunun bir yaptırım olduğunu söylüyorum.
Başkan Yardımcısı

3
Bir şeyin yapılmadığını bilmenin bir yolu olmadığını söylüyorum çünkü GitHub hesabının şifresini oluşturan bir çalışanı doğrulamanın hiçbir yolu yok.
Ramhound,

Örneğin, bir hesap tehlikeye atılırsa ve biz, bazılarının şifrenin abc123 olduğunu nasıl keşfettiğini tespit edersek, çalışanı "sorumlu kılabiliriz". Burada bir problem görmüyorum. Başka bir nokta: İZLENEBİLECEĞİM YERİ Olması gerektiğini yazdım (şimdi güncellemek zorunda kaldım) ...
VP.

Bu yaklaşım gerekir bir anlaşmayla temperlenmelidir bu isim onların da ve onların adına herhangi bir işlem olmayacaktır .
Michael,

0

Bu soru-cevap bilgisinin birkaç yaşında olduğunu biliyorum, bu yüzden belki daha önce bu mümkün değildi, ama özellikle kullanıcı ve kuruluş hesapları arasındaki farkları belirtiyorlar:

Kişisel kullanım ve iş kullanımı gibi birden fazla kullanıcı hesabına sahip olmak cazip gelebilir, ancak yalnızca bir hesaba ihtiyacınız vardır.

GitHub, bildirimleri havuz tarafından açıp / kapatmak için iyi araçlar geliştirmiştir;


Bu ne hakkında aşağı yöneldi, ha? Bence bu iyi bir cevap.
John McGehee

-2

İnsanlar henüz bulut tabanlı kaynak sunuculara güvenmiyor. Github, birçok yeni çağ web şirketini kendileriyle birlikte kaydettirdi, ancak gerçek olan şu ki, çoğu insan kaynak kodunu korumak için kendi sunucularına sahip. Tecrübelerime göre, çoğu Clear Case veya SVN kullanıyor. Git henüz bir işletme ortamında uyarlanmadı. Şirket posta sunucuları bile şirketin dışında pek takdir görmüyor.


1
Şu anda bir servis şirketinde çalışıyorum, onları Git'le birlikte eğittim ve müşterilerinin çoğu ( büyük şirketler gibi ) ClearCase'den göç ediyorlar veya bir sonraki projelerinde bunu yapmaya hazırlanıyorlar…
MattiSG
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.