Làm thế nào an toàn và đáng tin cậy được lưu trữ các trang web như sourceforge, github hoặc bitbucket cho các dự án nguồn đóng? [đóng cửa]


32

Tôi đang xem xét sử dụng sourceforge, bitbucket hoặc github để quản lý kiểm soát nguồn cho doanh nghiệp của mình. Tôi có các dự án mở và tôi tham gia vào các dự án mở như gcc. Nhưng tôi cũng có một doanh nghiệp nơi tôi phát triển phần mềm nguồn đóng cho cuộc sống của mình.

Làm thế nào đáng tin cậy là sourceforge, github hoặc bitbucket về việc giữ phần mềm an toàn khỏi con mắt tò mò? Làm thế nào ổn định là lưu trữ về mặt phòng ngừa mất dữ liệu? Có ai ngoài đó dựa trên logic kinh doanh của họ với một bộ trang phục như vậy? Có ai ngoài đó đã khảo sát một số giải pháp lưu trữ?


3
Một lưu ý: Ngay cả khi bạn tin tưởng họ, bạn nên có một số bản sao lưu tự động của kho lưu trữ của riêng bạn.
Michael Kohne

Bất kể họ muốn an toàn đến mức nào, bạn nên cho rằng các cơ quan thực thi pháp luật ở quốc gia nơi họ giữ máy chủ của họ sẽ có quyền truy cập vào tệp của bạn. Bạn có thể không được thông báo nếu những tập tin đó là truy cập. Nếu phần mềm của bạn sẽ được chính phủ nước ngoài quan tâm, thì điều này có thể quan trọng với bạn.
Simon B

Câu trả lời:


34

Không có cách nào tốt, chuẩn, để đánh giá tính bảo mật của các nhà cung cấp như thế này. Sự ổn định bạn có thể thấy, phần nào, nhưng bảo mật là khá nhiều không thể đánh giá từ bên ngoài.

Tôi thực sự đã nói chuyện với các nhà cung cấp mà bạn đang xem xét về bảo đảm an ninh của họ và xem xét các hợp đồng của họ - nếu họ không thực hiện bất kỳ đảm bảo nào, hoặc nếu hợp đồng của họ bị đánh đố với các điều khoản 'chúng tôi không thể chịu trách nhiệm', thì điều đó cho bạn biết họ nghiêm túc bảo mật đến mức nào và bạn có thể mong đợi bao nhiêu nếu có thứ gì đó hình quả lê.

Ngoài ra, đừng đánh giá điều này trong chân không - hãy nghĩ về những gì bạn cần để chạy các máy chủ OWN của bạn, và sẽ tốn bao nhiêu công sức và chi phí, và khả năng bạn sẽ làm hỏng nó (để lại lỗ hổng bảo mật lớn ) bằng cách làm nó trong nhà.


18
+1 để đề cập đến khả năng các máy chủ của bạn kém an toàn hơn.
Peter

14

Chúng tôi có một dự án nguồn đóng được lưu trữ theo cách như vậy.

Nó được chấp nhận rộng rãi rằng việc đánh cắp mã nguồn sẽ không đưa ai đi quá xa ( bài viết hay ở đây ). bitbucket và github kiếm sống từ nguồn đóng, vì vậy họ có một điều bắt buộc tự nhiên là giữ mọi thứ an toàn nhất có thể (và giảm thiểu báo chí xấu).

Một lưu ý là thỉnh thoảng, dịch vụ ngừng hoạt động một lúc - có thể (IMO) do lưu lượng nguồn mở gây ra.

Nhưng nhìn chung, chúng tôi đã cân nhắc những ưu và nhược điểm, và rất vui.

ps Nếu tôi không nhầm, github cung cấp một ví dụ "đám mây riêng" cho khách hàng doanh nghiệp.


Cảm ơn bài viết. Bạn đã thử đám mây riêng tư chưa? Bạn chỉ đang sử dụng repo riêng?
emsr

Chỉ cần repo riêng.
Dave Clausen

Họ thực hiện gitlab về cơ bản là một github tự lưu trữ
Tom Squires

14

SourceForge không được coi là đáng tin cậy nữa . Nó đã chiếm quyền điều khiển tài khoản và thay thế các gói Windows bằng trình cài đặt phần mềm quảng cáo (GIMP, nmap và các gói khác). SourceForge cũng đã tích cực trong việc lọc người dùng từ các quốc gia cụ thể. Không có gì thực sự ngăn cản các dịch vụ lưu trữ khác can thiệp vào trình cài đặt phần mềm vì chúng tôi vẫn chưa thấy SF bị truy tố hợp pháp. Emptor caveat .

EDIT: https://helb.github.io/goodbye-sourceforge/ là một tài nguyên tốt để so sánh lưu trữ (tôi không liên kết với họ).


1
Câu hỏi cụ thể là về việc thuê ngoài dịch vụ lưu trữ riêng , vì vậy vấn đề SF gây rối với các dự án công cộng không đặc biệt liên quan ở đây.
Andrew Medico

6
@AndrewMedico - vẫn là câu hỏi về tính toàn vẹn, mặc dù ...
Deer Hunter

Về mặt toàn vẹn, khi SF cuối cùng được bán, chủ sở hữu mới đã ngừng chương trình sửa đổi trình cài đặt: ghacks.net/2016/02/10/ mẹo
Michael Kohne

7

Có một câu hỏi tương tự (với câu trả lời do tôi viết) trên Stack Overflow:
Làm thế nào an toàn để lưu trữ dữ liệu nhạy cảm trên các trang web kho lưu trữ như github, bitbucket, v.v.?

TL; DR:

  • như với mọi thứ trên đám mây, không có gì đảm bảo 100% rằng một số hacker sẽ không truy cập dữ liệu của bạn
    (mặt khác, điều đó cũng có thể xảy ra khi bạn tự lưu trữ nội dung của mình)
  • nhà cung cấp đám mây có thể ra khỏi dịch vụ bất cứ lúc nào. Không chắc điều này sẽ xảy ra với những người lưu trữ mã nguồn lớn được đề cập, nhưng bạn không bao giờ biết
    -> bạn có trách nhiệm thường xuyên sao lưu nội dung của mình!

4

Ngay cả khi các nhà cung cấp đáng tin cậy, bạn không bao giờ biết mục tiêu của crackers và bất kỳ trang web mở nào cũng có thể bị bẻ khóa khi có ý chí làm như vậy.

Trong công ty của tôi, chúng tôi đã mua GitHub Enterprise , đây là github rất riêng của chúng tôi trên mạng nội bộ của chúng tôi. Nếu bạn thích GitHub và nghiêm túc trong việc giữ kín công việc của bạn, đây có lẽ là cách an toàn nhất.


Mặc dù vậy, bạn phải tự hỏi: công ty của bạn có cung cấp bảo mật cho kho lưu trữ của bạn tốt hơn các đối thủ nặng ký như GitHub và Bitbucket không?
Stefan Billiet

1
@StefanBilliet Có lẽ không ai trong chúng tôi có khả năng bảo mật nguồn của chúng tôi 100%, nhưng với việc giữ ví dụ doanh nghiệp github của bạn tại một công cụ bẻ khóa mạng cục bộ sẽ cần sự trợ giúp để họ có thể làm bất cứ lúc nào đối với máy chủ công cộng.
Sylwester

3

Một vài câu trả lời hay đã bao gồm các khía cạnh kỹ thuật về những gì bạn quan tâm - Tôi sẽ không nhắc lại những điều đó. Cuối cùng, trong trường hợp "vi phạm an ninh", bạn cần xem xét các biện pháp pháp lý mà bạn có. Các điều khoản của giấy phép là gì, ở mức độ nào họ chịu trách nhiệm cho các thiệt hại mà bạn phải chịu do lỗi dịch vụ, v.v ... Đối với trường hợp cụ thể của bạn, các thiệt hại có thể được phục hồi bằng tiền mặt. Bạn cũng cần xem xét mức độ an toàn của người thay thế của bạn. Là một máy chủ nội bộ, có thể được kết nối với internet, có ít khả năng bị xâm phạm hơn Github không? Bạn có đủ kỹ năng và đặt các tài nguyên yêu cầu vào cài đặt của bạn để chắc chắn?

Tôi đang làm việc với một tổ chức đang xem xét đưa dữ liệu lên đám mây - tuy nhiên, có dữ liệu, mặc dù có giá trị thương mại hạn chế, nhưng lại nhạy cảm về mặt pháp lý. Không có khoản bồi thường thiệt hại tiền mặt nào sẽ khắc phục vi phạm an ninh. Do đó, biện pháp bảo mật của họ là "an toàn hơn so với chạy các hệ thống nội bộ". Điều này được tuân theo với quyền tài phán pháp lý - được cung cấp phải trả lời cho cùng một hệ thống pháp lý - trong trường hợp của chúng tôi, cùng một quốc gia, vì họ sẽ thuộc các luật tương tự về bảo mật dữ liệu, quyền riêng tư, v.v. và vi phạm có thể phải chịu trách nhiệm hình sự, không Chỉ là tòa án dân sự. Tranh chấp pháp lý xuyên biên giới phải được tránh bằng mọi giá, cũng như các tội phạm xuyên biên giới.


0

Một trong những lợi ích của git là nó ngang hàng, vì vậy bạn không thực sự cần một VCS chính, mặc dù nhiều công ty (bao gồm cả của tôi) sử dụng github làm kho lưu trữ chính.

Bạn có thể gán quyền truy cập cho các cá nhân (chỉ đọc hoặc đọc / ghi) và xác định các cá nhân là quản trị viên, do đó bạn có mức độ kiểm soát truy cập hợp lý.

Github thỉnh thoảng "nấc" (kỳ lân giận dữ) nhưng nhìn chung khá ổn định và chúng tôi chưa bao giờ gặp vấn đề gì với việc mất dữ liệu; nhưng bạn cũng có tùy chọn sao lưu


Điều này không thực sự giải quyết câu hỏi về việc lưu trữ mã nguồn của bên thứ ba đáng tin cậy như thế nào .
M. Dudley

@ M.Dudley Đúng, nhưng nó liên quan đến sự ổn định là một trong những câu hỏi của tôi (phải thừa nhận là không quan trọng nhất đối với tôi).
emsr

Con kỳ lân giận dữ. Ôi trơi.
Đaminh Cerisano

0

Tại sao bạn không xem xét việc đặt mã nguồn của mình vào hộp cục bộ mà bạn duy trì và sao lưu? Điều này có thể đạt được thông qua lật đổ / Rùa-SVN khá dễ dàng và sẽ làm giảm nhu cầu sử dụng kho lưu trữ phân tán trừ khi, tất nhiên, đó là những gì bạn cần.


1
Nó cũng có thể được thực hiện với Git.
Rig
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.