Çalışanlardan “iş” GitHub hesapları oluşturmalarını istemek tavsiye edilir mi?

Tüm Git firmamızı GitHub'a taşıdım ve şimdi çalışanlara projelerimi eklemek istiyorum. Çoğu çalışanın zaten kişisel GitHub hesapları olduğundan, onlardan bir çalışma GitHub hesabı oluşturmalarını istemem gerekip gerekmediğini merak ediyorum . Bunu yapmayı düşündüğüm sebep, kod tabanımıza yetkisiz erişim olasılığını azaltmak, çünkü kişisel hesapları sitedeki kişisel aktiviteleri ile iyi bir şekilde duyurulabilir ve hedeflenen saldırı şansı artar. Ayrıca, eğer kişisel hesapları tehlikeye atılırsa, bu, tüm şirket kodunun korsanının erişebileceği anlamına gelmez. Bu, çalışanlar için iki hesap tutma yükünü getireceğinden, bunun doğru bir yaklaşım olup olmadığını ve bir anlam ifade edip etmediğini merak ediyorum.

Güncelle Tüm faydalı bilgiler için teşekkürler. Sorunun / cevapların öznel niteliği nedeniyle ve birkaç farklı cevaptan en iyi puanları aldığım için kabul edilmiş olarak bir cevap vermeyeceğim.

Bu şekilde ilerlemeye karar verdim: Çalışanlara işle ilgili GitHub e-posta bildirimlerinin pratik nedenlerden dolayı iş e-posta hesaplarına gönderilmesi gerektiğini hatırlatacağım. Bu nedenle, iş GitHub hesapları oluşturmak daha mantıklı olacaktır. Kişisel GitHub hesaplarını kullanmak ve iş e-posta hesaplarına bağlamak istiyorlarsa sorun değil. Her durumdaçalışanların, GitHub'ı kullanmaya bağlı bir takım koşulları yazılı olarak kabul etmesi gerekecektir. Bunlar hesap güvenliği ile ilgilidir: başka hiçbir hesapta kullanılmayan, rasgele bir şifre üreticisi kullanarak güvenli bir şifre seçmek, GitHub'a sahip olmadıkları veya kendileri tarafından yönetilmeyen bilgisayarlardan erişememeleri, vb. Bir iş hesabının onlar için daha anlamlı olup olmadığına karar verin.

Bir yararı olsaydı, sadece acı verici olurdu. Fakat hiçbir şey acı verici ve anlamsız olmaktan daha kötü olamaz. Sadece bir tane kişisel hesabın var. İki sebep:

• Github kuruluşlarında inanılmaz derecede iyi erişim kontrolüne sahip. Bir çalışan ayrılırsa, erişimini anında kaldırabilirsiniz. Bir şirket hesabı olsaydı, belirtilen avantajlardan yararlanmak için bir şekilde hesabı geri ödemeniz gerekir. Uygulamada, muhtemelen kişisel bir hesabı varmış gibi hesap erişimini kaldırırsınız.

• Birden fazla hesaba sahip olmak acı vericidir. Giriş yapmak ve hesaplar arasında çıkış yapmak acıtıyor, farklı hesaplar kullandığınızda yorum ve ardından tüm sosyal şeyleri eklemek.

Referanslar: GitHub entegrasyonu olan bir CI sunucusu yapıyorum , bu yüzden birçok test hesabım var ve ayrı iş hesapları ve kişisel hesaplar da dahil olmak üzere her türlü garip konfigürasyona sahip müşterilerle konuştum. Her zaman belaya neden olur.

Şirketinizin kodu genel veya özel depolarda mı? Bunlar (veya en azından bazıları) herkese açıksa ve çalışanlarınızın kendi GitHub hesaplarını kullanmalarına izin vermişseniz, iyi kod yazmaları için bir teşvik olacaktır. Onların adı tam anlamıyla halka açık bir şekilde ona eklenecekti. Ancak, tüm depolarınızın özel olduğunu varsayacağım.

Genel olarak, çalışanınızın hesaplarının GitHub genelinde herkese açık görünmemesini tercih edersiniz. Ne yazık ki, GitHub Enterprise'ı satarak para kazanıyorlar, bu yüzden kuruluşlar için özel hesaplar oluşturmanıza izin vermemelerinin bir nedeni. Her iki durumda da (esas olarak) kilitlenmiş iş hesaplarına sahip olmak , depolarınızı barındırmak için çok sosyal bir site seçtikten sonra gerçekten sezgisel olacaktır .

Çalışanlarınız için iş hesapları kurduğunuzu düşünelim. Bu hesapları nasıl kullanabilecekleri konusunda herhangi bir kısıtlama uygular mısınız? İşe yönelik olmayan projelere iş amaçlı kod eklemelerine izin verir misiniz? Öyleyse, hesapları genel olarak görünür hale gelir ve sizi ilk endişenize geri getirir. Katkılarını kişisel hesaplarıyla yapmalarına izin verebilirsiniz, ancak sonra onlar için lojistik bir acı noktası yaratırsınız. Şahsen, çalışanlarımı diğer projelere kod olarak katkıda bulunmaya teşvik ediyorum. Bu sadece onlara güven arttırmakla kalmaz, aynı zamanda değerli deneyimler kazanmalarını ve güvenilirliklerini artırmalarını sağlar.

Her durumda, iş hesabı sahibi olmak için çabaya değeceğini sanmıyorum. GitHub arayüzü, kimin neye erişimi olduğunu kolayca kontrol etmenizi sağlar, böylece erişimi kaldırmak her iki şekilde de kolaydır. Ayrıca, ayrı hesaplara sahip olmanın, kişisel ve iş projeleri arasında GitHub arayüzünün olduğundan daha fazla bir çizgi çizdiğini de sanmıyorum.

Ayrıca, şirketiniz büyüdükçe bununla nasıl başa çıkmayı planladığınızı da unutmayın. Şimdi belirlediğiniz politikalar, bir yönetim noktasından ölçeklendirilebilir mi? Şu anda 5 hesabı yönetmek iyi olabilir, ancak 20 veya 50 yaşına geldiğinizde ne olur? Ancak bu noktaya geldiğinizde belki GitHub Enterprise ulaşılabilir bir çözüm olabilir. Bu durumda GitHub hesaplarının GitHub Enterprise kurulumlarına geçirilip geçirilemeyeceğini bulmayı düşünürdüm. Öyleyse, bunun çalışma hesapları için olumlu bir sebep olduğunu görebiliyorum.

Sorunun dışında değil ve aslında oldukça iyi bir fikir.

Olması gerektiği gibi üzücü, kurumdan ayrılan çalışanlarınızı şirketin hayatında bir noktada planlamanız gerekiyor. Kişisel hesaplarını o andaki şirketin deposundan nasıl çıkaracaksınız?

Çalışan kötü koşullarda ayrılırsa ne yapacaksın? İdeal bir dünyada, her şey profesyonel kalacak ve firma ile eski çalışan arasında herhangi bir düşmanlık olmayacak. İdeal olmayan durumlardan daha azını planlamak için dikkatli olursunuz.

İki hesap bulundurmak acı verirken, çalışanlarınız bu fırsatı memnuniyetle karşılamalıdır. Onların ne olduğu ile şirketin ne olduğu arasında daha temiz bir çizgi sağlar.

Düzenleme: Burada endişe duyulan, çalışanın X, Y, Z, vb. Projelere kişisel katkıları ile şirketinizin ürünündeki ücretli çalışmaları arasında açık bir ayrım sağlamaktır. Ayrı bir iş hesabı kullanmak, kimin fikri mülkiyet haklarına ve ilgili telif haklarına sahip olduğunu tanımlamak için gerekli tarifin yapılmasına yardımcı olur.

Örneğin, bir çalışan kişisel hesabını kullanıyorsa ve hem şirkete hem de Proje X'e katkıda bulunursa, çalışanın o noktalarda hangi rolde olduğunu nasıl belirlersiniz? X'in katkısı şirketiniz adına mıydı yoksa kendi kişisel takdiriniz mi? Çalışan veya şirket, X'e verilen eserin telif hakkına sahip mi? Bu nedenle, şirketinizin çalışmalarına dışarıdan yapılan katkılara izin verirseniz, çalışanın bir çalışan veya gönüllü bir katkı olup olmadığını nasıl ayırt edersiniz?

Daha geniş anlamda, başka projelere katkıda bulunarak şirket adına hareket eden bir üne kavuşan bir çalışanınız olduğunu söyleyin. Bu çalışan ayrıldığında, kişisel kullanıcı hesabının artık firmanızla ilişkili olmadığını nasıl belirtirsiniz? Belirli bir hesabın ne için olduğuna dair net bir açıklama olmadan ciddi marka sorunları ortaya çıkabilir.

Potansiyel senaryoları düşünmeye başladığınızda, bir tavşan mülkiyeti, marka ve telif hakkı endişesi düşmek oldukça kolaydır. Ayrı iş hesapları kullanmak, bu belirsizliğin bir kısmını ortadan kaldırmaya yardımcı olur. Şirketin, adına yapılan katkılarda talepte bulunabilmesi gerekir.

Bu, kullanıcı hesabını ayırmanın teknik yönleriyle ilgili değil, sizi yönlendirebilecek yasal sorulardır.

Şirketinizin tüm ürünlerinin izin verilen lisans altında açık kaynak olarak piyasaya sürülmesi ve / veya potansiyel markalaşma konularında hiç endişelenmemeniz durumunda bunun çok önemli olduğunu unutmayın.
(Bu düzenlemeyi istediği için Paul Biggar'a şapka bahşiş ver)

Herkes işverenin her ikisini de ayırma gereği olmadığı konusunda hemfikir gibi göründüğü için, kişisel hesabımı profesyonel projeler ve iş bağlamında yapılan açık kaynaklı katkılar konusunda kullanmayı denediğim kısa deneyimim.

Sadece içeriği tamamlamak için: Hesaplarla ilgili hiçbir şey sorulmadı, aslında GitHub iş yerimdeki çoğu insan tarafından bilinmiyor. Üzerinde çalışacağım projeyi açmak için yeşil ışık yakmayı başardım ve en az miktarda çalışmıştım, yani kişisel hesabımı kullanarak.

Bir çalışanın bakış açısından, gerçekten nefret ettiğim bir şey: iş yerindeki kişisel e-postalarım hakkında bildirim almak .

Bu gözlemden, profesyonel / kişisel bariyerin bariz bir şekilde kırıldığını fark etmeye başladım: Kapalı zamanlarımda bir projeye katkıda bulunmak istersem, yine de çalışma projelerimden tüm güncellemeleri alıyorum… Dış katkıda bulunanlar için kafa karışıklığı getirebilir , o projeden çıktığını bilmeden seninle iletişim kurabilecek biri .

O zaman elbette, kişisel itibarınızın iş katkılarınızdan kazanabileceği gerçeği ile ilgili bir denge var. Ama sonra yine, isminiz kötü bir proje ile ilişkilendirilirse tam tersi olabilir…

Sonunda, soru işverenin bakış açısından sorulduğu ve diğer tüm cevapları göz önüne alarak istendiği gibi : İşe özel hesapların kullanılmasının zorlanmasının çok fazla bir anlamı olmadığını söyleyebilirim . Ancak bunu yasaklamamalısınız, böylece kişisel engeli yükseltmeyi tercih eden çalışanlar bunu yapabilir ve belki de bu riskler hakkında ipucu verebilir mi?

Yan not olarak, güvenlikle ilgili olarak, diğer cevaplarda işten atılmanın kolay olduğu anlaşılmaktadır:

Tabii ki, bir "iş" hesabı, şifrelerle ilgili "kişisel" bir hesaptan daha fazla ya da daha az güvenli olmaz. Ancak GitHub’ı kullanırken, bir SSH tuşuyla basmanıza izin verilir. Ve bu anahtar genellikle birinin oturumunda bulunur… Bu nedenle, kişisel hesap tüm iş havuzlarını basit bir kişisel bilgisayar çalmasıyla (şifre bilgisi olmadan) tüm iş depolarını tehlikeye atabilir, ancak özel bir iş hesabının muhtemelen sadece iş makinesinde kilit bir rolü vardır, daha fiziksel olarak güvenli (umarım).

"Hayır" diyecektim. Geliştiricileriniz için oldukça zorlu bir işlemdir ve belirsizlik yoluyla size güvenlik sağlar: Birisi geliştiricilerinizi aktif olarak hedefliyorsa, birilerinin kodunuzu alması için bir sürü başka saldırı vektörü vardır.

Ayrıca, başlangıçta, kodunuzu alan birinin gizemli, sos-sosu tipi algoritmaları olmadıkça, kodunuzu elde etmenin utanç verici ve korkunç ve iğrenç olacağı ancak önemli bir rekabet avantajına yol açmayacağı (yasal olarak kullanabileceğiniz) kod?) veya işten çıkmanıza neden olur.

Geliştirici verimliliğine karşı böyle düşük bir sipariş olasılığı? Geliştirici verimliliğini alırdım ama bu benim hesabım. :)

Bunun, çalışanlara bırakılmış bir seçim olması gerektiğini söyleyebilirim. Söyleyeceğim bir şey, istemiyorlarsa kişisel github hesaplarını kullanmaya zorlamamaları. GitHub kullanan bir şirketteydim ve bir zorunluluk olmasa da şahsen ayrı bir hesap açmak istedim. Asıl sebep benim şahıs projelerimi korumaktı. Şirketin kişisel projelerimden birinin kendi projeleri olduğunu söylemeye çalışmasını istemedim, çünkü onların comapny projeleri için kullanılan aynı github hesabı altındaydı (mahkemede tutup uymayacağından emin değilim, ancak fazla inancım yoktu. hukuk sisteminde bu gibi şeylere gelince). Bence bu ayrı temiz olmak iyi bir şey olabilir.

Şirketimizde yapıyoruz. "Masanızın altında güvenli olan, github ya da bir sunucunun, herkesin root erişimi olduğu, yedeklemenin çalışıp çalışmadığından emin olmadıklarından" emin olmak gibi bir tartışma başlatmak istemiyorum. Bizim yaklaşımımız:

• Her geliştirici, kişisel github hesabıyla ilgisi olmayan yeni bir hesap oluşturmalıdır.
• şirket e-postasını kullanmalıdır.
• Güvenlik kurallarımıza uygun olmalıdır (giriş adı ve şifre gereksinimi).
• Halka açık herhangi bir faaliyet gösteremezler / olamazlar.
• Bu şirket malı. Onun hesabı değil.
• Tüm hesaplar rastgele bir isim de olan bir şirketle bağlantılı. Hiçbir kamu etkinliği de yok.

Bu soru-cevap bilgisinin birkaç yaşında olduğunu biliyorum, bu yüzden belki daha önce bu mümkün değildi, ama özellikle kullanıcı ve kuruluş hesapları arasındaki farkları belirtiyorlar:

Kişisel kullanım ve iş kullanımı gibi birden fazla kullanıcı hesabına sahip olmak cazip gelebilir, ancak yalnızca bir hesaba ihtiyacınız vardır.

GitHub, bildirimleri havuz tarafından açıp / kapatmak için iyi araçlar geliştirmiştir;

İnsanlar henüz bulut tabanlı kaynak sunuculara güvenmiyor. Github, birçok yeni çağ web şirketini kendileriyle birlikte kaydettirdi, ancak gerçek olan şu ki, çoğu insan kaynak kodunu korumak için kendi sunucularına sahip. Tecrübelerime göre, çoğu Clear Case veya SVN kullanıyor. Git henüz bir işletme ortamında uyarlanmadı. Şirket posta sunucuları bile şirketin dışında pek takdir görmüyor.