Kapalı kaynak projeleri için sourceforge, github veya bitbucket gibi siteleri barındırmak ne kadar güvenli ve güvenilirdir? [kapalı]

32

İşim için kaynak kontrolünü yönetmek için sourceforge, bitbucket veya github kullanmayı düşünüyorum. Açık projelerim var ve gcc gibi açık projelere katılıyorum. Ancak, yaşamım için kapalı kaynaklı yazılım geliştirdiğim bir işim de var.

Yazılım meraklı gözlerden güvende tutmak açısından sourceforge, github veya bitbucket ne kadar güvenilir? Veri kaybını önleme açısından barındırma ne kadar kararlı? Dışarıda kimse kendi iş mantığını böyle bir kıyafete dayandırdı mı? Dışarıda kimse barındırma çözümlerinden birkaçını inceledi mi?

version-control  github  project-hosting  code-security  bitbucket 
EMSR
kaynak
3
Bir not: Onlara güvenseniz bile, kendi deponuzun bir miktar otomatik yedeğini almalısınız.
Michael Kohne
Ne kadar güvenli olmak istediklerinden bağımsız olarak, sunucularını tuttukları ülkedeki kanun uygulayıcı kurumların dosyalarınıza erişebileceğini varsaymalısınız. Bu dosyalara erişildiyse size haber verilmeyebilir. Yazılımınız yabancı bir hükümetin ilgisini çekerse, bu sizin için önemli olabilir.
Simon B

Yanıtlar:

34

Bunun gibi sağlayıcıların güvenliğini değerlendirmenin iyi, standart bir yolu yoktur. Bir şekilde görebileceğiniz istikrar, ancak güvenlik, dışarıdan değerlendirmek için neredeyse imkansızdır.

Aslında, güvenlik garantileri hakkında düşündüğünüz sağlayıcılarla konuşur ve sözleşmelerine bakardım - eğer herhangi bir garanti vermezlerse ya da sözleşmeleri biliniyorsa “sorumlu tutuluruz” cümleleriyle, Güvenliği ne kadar ciddiye aldıklarını ve bir şey armut şeklini alırsa ne kadar yardım edebileceğinizi söyler.

Ayrıca, bunu bir boşlukta değerlendirmeyin - OWN sunucularınızı çalıştırmanın sizin için ne kadar gerekli olduğunu, ne kadar çaba ve ek yük alacağınızı ve onu ne kadar zorlayacağınızı (büyük bir güvenlik boşluğu bırakarak) düşünün. (evde yaparak).

Michael Kohne
kaynak
18
Kendi sunucularınızın daha az güvenli olma ihtimalinden bahsetmek için +1.
Peter,
14

Bu şekilde barındırılan kapalı kaynaklı bir projemiz var.

Kaynak kodunu çalmanın çok fazla kimseyi elde etmeyeceği kabul edilir ( burada iyi bir makale ). bitbucket ve github, yaşamlarını kapalı kaynaklardan yapar, bu yüzden işleri olabildiğince güvende tutmak için doğal bir zorunluluktur (ve kötü basını en aza indirir).

Bir not, arada bir, hizmetin bir süreliğine - muhtemelen açık kaynaklı trafikten kaynaklanan (IMO) düştüğüdür.

Fakat genel olarak, artıları ve eksileri tartıştık ve mutluyuz.

ps Yanılmıyorsam, github kurumsal müşteriler için "özel bulut" örneği sunar.

Dave Clausen
kaynak
Yazı için teşekkürler. Özel bulutu denedin mi, sadece özel depoyu mu kullanıyorsun?
emsr
Sadece özel depo.
Dave Clausen
Temelde kendi kendine barındırılan bir github olan gitlab yapıyorlar
Tom Squires
14

SourceForge artık güvenilir sayılmaz . Hesapları kaçırmak ve Windows paketlerini reklam yazılımı yükleyicileriyle (GIMP, nmap ve diğerleri) değiştirmek. SourceForge ayrıca belirli ülkelerdeki kullanıcıları filtrelemekte de aktif olmuştur. Hiçbir şey gerçekten, SF’nin yasal olarak kovuşturma yaptığını göremediğimizden başka barındırma hizmetlerinin yazılım yükleyicilere karışmasını engelleyemez. Uyarıcı emptor .

EDIT: https://helb.github.io/goodbye-sourceforge/ hosting karşılaştırmak için iyi bir kaynaktır (Ben bunlara bağlı değilim).

Geyik avcısı
kaynak
1
Soru özellikle özel barındırma dış kaynak kullanımı ile ilgilidir , bu yüzden kamu projeleriyle ilgili SF'nin bu konu ile ilgisi yoktur.
Andrew Medico
6
@AndrewMedico - hala bütünlük meselesi olsa da ...
Geyik Avcısı,
Bütünlük cephesinde, en son SF satıldığında, yeni sahipler montör- modlama
Michael Kohne
7

Stack Overflow'ta benzer bir soru (benim tarafımdan yazılan bir cevapla) var:
Github, bitbucket vb. Depolardaki hassas verileri depolamak ne kadar güvenli?

TL; DR:

  • Buluttaki her şeyde olduğu gibi, bazı bilgisayar korsanlarının verilerinize erişmeyeceğinin% 100 garantisi yoktur
    (diğer yandan, eşyalarınızı kendiniz barındırdığınızda da olabilir).
  • bulut sağlayıcıları istedikleri zaman hizmetten çıkabilir. Bunun, bahsi geçen büyük kaynak kodu barındıranlara gelmesi pek mümkün değildir, ancak asla bilemezsiniz
    -> Eşyalarınızı düzenli olarak almak sizin sorumluluğunuzdadır!
Hıristiyan Specht
kaynak
4

Sağlayıcılar güvenilir olsalar bile, krakerlerin neyi hedeflediğini asla bilemezsiniz ve ne zaman istekli olduğu açık olan herhangi bir açık site kırılabilir.

Şirketimde intranetimizde kendimize ait olan gHub olan GitHub Enterprise'ı satın aldık . GitHub'tan hoşlanıyorsanız ve işinizi gizli tutmak konusunda ciddiyseniz, bu muhtemelen en güvenli olandır.

Sylwester
kaynak
Yine de kendinize sormak zorundasınız: şirketiniz Deponuz için güvenlik sağlama konusunda GitHub ve Bitbucket gibi ağır ağırlıklardan daha mı iyidir?
Stefan Billiet
1
@StefanBilliet Muhtemelen hiçbirimiz kaynağımızın% 100 güvenliğini sağlama yeteneğine sahip değiliz, ancak github kurumsal örneğinizi yerel bir ağda tutmakla krakerlerin bir kamu sunucusuna karşı istedikleri zaman yapabilecekleri yardımı almaları gerekecek.
Sylwester
3

Zaten endişe ettiğiniz şeyin teknik yönlerini kapsayan birkaç iyi cevap - bunları tekrar etmeyeceğim. Sonuçta, bir "güvenlik ihlali" durumunda, sahip olduğunuz yasal başvuruyu dikkate almanız gerekir. Lisansın şartları nelerdir, hizmetin başarısızlığı sonucunda ortaya çıkan zararlardan ne kadar sorumludurlar. Özel durumunuz için, hasarlar nakit olarak geri kazanılabilir. Alternatifinizin ne kadar güvenli olduğunu da düşünmeniz gerekir. İnternete bağlı olduğu düşünülen kurum içi bir sunucu, Github'dan daha az risk altında bulunuyor mu? Yeterince yetenekli misiniz ve gerekli kaynakları tesisinize eklemek emin olmak için gerekli mi?

Buluta veri koymaya çalışan bir kuruluşla çalışıyorum - ancak, değeri ticari olarak sınırlı olmasına rağmen yasal olarak hassastır. Hiçbir nakit zararı güvenlik ihlalini düzeltmez. Sonuç olarak, güvenlik önlemleri “şirket içi sistemlerden daha güvenlidir”. Bunu yasal yargı ile takip edilir - sağlanan aynı yasal sisteme cevap vermelidir - bizim durumumuzda, aynı ülkede, veri güvenliği, mahremiyet vb. İle aynı yasalara aykırı olduğu gibi Sadece sivil mahkemeler. Sınır ötesi ceza şikayetleri gibi, sınır ötesi yasal anlaşmazlıklardan her ne pahasına kaçınılmalıdır.

mattnz
kaynak
0

Git'in avantajlarından biri de eşler arası olması, bu yüzden aslında bir usta VCS'ye ihtiyacınız yok, ancak birçok şirket (kendi şirketim dahil) ana depo olarak github'u kullanıyor.

Bireylere erişim atayabilir (ya salt okunur ya da oku / yaz) ve bireyleri de yönetici olarak tanımlayabilirsiniz, böylece makul bir erişim kontrol derecesine sahip olursunuz.

Github ara sıra "hıçkırık" yapar (kızgın tek boynuzlu atlar) ancak genellikle oldukça kararlıdır ve veri kaybıyla ilgili hiçbir sorun yaşamadık; ancak yedekleme seçenekleriniz de var

Mark Baker
kaynak
Bu gerçekten güvenilir üçüncü taraf kaynak kod barındırma ne olduğu sorusunu ele almaz .
M. Dudley
@ M.Dudley Doğru, ama benim sorularımdan biri olan istikrar üzerine değiniyor (şüphesiz benim için en önemlisi değil).
emsr
Kızgın tek boynuzlu atlar. Aman.
Dominic Cerisano
0

Kaynak kodunuzu neden muhafaza ettiğiniz ve yedeklediğiniz yerel bir kutuya koymayı düşünmüyorsunuz? Bu, yıkım / Tortoise-SVN ile oldukça kolay bir şekilde başarılabilir ve elbette ihtiyacınız olan şey olmadıkça, dağıtılmış bir havuz kullanma ihtiyacını ortadan kaldırabilir.

aşırı duygusal
kaynak
1
Git ile de yapılabilir.
Rig
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.