Quanto sono sicuri e affidabili ospitare siti come sourceforge, github o bitbucket per progetti closed-source? [chiuso]

32

Sto prendendo in considerazione l'utilizzo di sourceforge, bitbucket o github per la gestione del controllo del codice sorgente per la mia azienda. Ho progetti aperti e partecipo a progetti aperti come gcc. Ma ho anche un business in cui sviluppo software closed-source per i miei live.

Quanto sono affidabili sourceforge, github o bitbucket in termini di protezione del software da occhi indiscreti? Quanto è stabile l'hosting in termini di prevenzione della perdita di dati? Qualcuno là fuori ha basato la sua logica di business con un simile outfit? Qualcuno ha intervistato diverse soluzioni di hosting?

    
posta emsr 01.04.2013 - 18:30
fonte

8 risposte

34

Non esiste un modo valido e standard per valutare la sicurezza di provider come questo. Stabilità che puoi vedere, in qualche modo, ma la sicurezza è praticamente impossibile da valutare dall'esterno.

In effetti parlerei con i fornitori che stai considerando delle loro garanzie di sicurezza, e guarderò i loro contratti - se non offrono alcuna garanzia, o se i loro contratti sono pieni di clausole "non possiamo essere ritenuti responsabili" , poi questo ti dice quanto seriamente prendono la sicurezza, e quanto aiuto puoi aspettarti se qualcosa diventa a forma di pera.

Inoltre, non valutarlo nel vuoto - pensa a cosa ci vorrebbe per far funzionare i tuoi server OWN, e quanto sforzo e sovraccarico ci vorrebbe, e quanto probabilmente lo stai rovinando (lasciando un enorme buco di sicurezza) facendolo in casa.

    
risposta data 01.04.2013 - 22:24
fonte
14

Abbiamo un progetto closed-source ospitato in questo modo.

È ampiamente accettato che il furto del codice sorgente non porti a nessuno troppo lontano ( buon articolo qui ). bitbucket e github si guadagnano da vivere da closed-source, quindi hanno un imperativo naturale per mantenere le cose il più sicure possibile (e ridurre al minimo la stampa negativa).

Una nota è che ogni tanto il servizio diminuisce per un po '- probabilmente (IMO) causato dal traffico open source.

Ma nel complesso, abbiamo valutato i pro e i contro e siamo felici.

P.S. Se non sbaglio, github offre un'istanza "private cloud" per i clienti aziendali.

    
risposta data 01.04.2013 - 19:01
fonte
14

SourceForge non è considerato più affidabile . Stava sequestrando account e sostituendo i pacchetti di Windows con programmi di installazione adware (GIMP, nmap e altri). SourceForge è anche stato attivo nel filtrare gli utenti da paesi specifici. Nulla impedisce realmente ad altri servizi di hosting di interferire con gli installatori di software poiché non abbiamo ancora visto legalmente perseguito SF. Caveat emptor .

EDIT: link è una buona risorsa per il confronto di hosting (non sono affiliato con loro).

    
risposta data 11.06.2015 - 10:14
fonte
7

C'è una domanda simile (con una risposta scritta da me) su Stack Overflow:
How è sicuro ospitare dati sensibili su siti di repository come github, bitbucket, ecc.?

TL; DR:

  • come con tutto nel cloud, non c'è garanzia al 100% che alcuni hacker non accedano ai tuoi dati
    (d'altra parte, ciò può accadere anche quando ospiti le tue cose da soli)
  • i fornitori di cloud possono andare fuori servizio in qualsiasi momento. È improbabile che ciò accada ai grandi hoster del codice sorgente menzionati, ma non si sa mai
    - > è tua responsabilità prendere regolarmente dei backup delle tue cose!
risposta data 02.04.2013 - 09:10
fonte
4

Anche quando i fornitori sono affidabili, non sai mai quali bersagli dei cracker e qualsiasi sito aperto è crackabile quando c'è la volontà di farlo.

Nella mia azienda abbiamo acquistato GitHub Enterprise , che è il nostro github personale sulla nostra intranet. Se ti piace GitHub e sei serio nel mantenere il tuo lavoro privato, questo è probabilmente il più sicuro.

    
risposta data 03.04.2013 - 00:00
fonte
3

Alcune buone risposte coprono già gli aspetti tecnici di ciò che ti preoccupa - non le ribadirò. In definitiva, in caso di "violazione della sicurezza" è necessario prendere in considerazione il ricorso legale che hai. Quali sono i termini della licenza, in che misura sono responsabili per i danni subiti a causa di un guasto del servizio, ecc. Per il tuo caso specifico, i danni possono essere recuperati in contanti. Devi anche considerare quanto è sicuro il tuo sostituto. Un server interno, presumibilmente connesso a Internet, ha meno probabilità di essere compromesso rispetto a Github? Sei abbastanza esperto e stai mettendo le risorse necessarie nell'installazione per essere sicuro?

Sto lavorando con un'organizzazione che cerca di mettere i dati nel cloud - tuttavia, i dati, sebbene abbiano un valore commerciale limitato, sono legalmente sensibili. Nessun ammontare di danni in denaro risolverebbe una violazione della sicurezza. Di conseguenza, la loro misura di sicurezza è "più sicura rispetto ai sistemi interni". Questo è seguito con giurisdizione legale - il fornito deve rispondere allo stesso sistema giuridico - nel nostro caso, lo stesso paese, in quanto rientrerebbero nelle stesse leggi in materia di sicurezza dei dati, privacy ecc. E una violazione potrebbe essere risolta in caso di reato, non solo tribunali civili Le controversie transfrontaliere devono essere evitate a tutti i costi, così come i reclami penali transfrontalieri.

    
risposta data 01.04.2013 - 23:04
fonte
0

Uno dei vantaggi di git è che è peer-to-peer, quindi non hai realmente bisogno di un VCS principale, sebbene molte aziende (inclusa la mia) utilizzino github come repository principale.

Puoi assegnare l'accesso alle persone (solo leggere o leggere / scrivere) e definire gli individui come amministratori, quindi hai un buon grado di controllo degli accessi.

Github fa "singhiozzo" occasionalmente (unicorni arrabbiati) ma è generalmente abbastanza stabile, e non abbiamo mai avuto problemi con la perdita di dati; ma hai anche opzioni di backup

    
risposta data 01.04.2013 - 18:44
fonte
0

Perché non stai pensando di inserire il codice sorgente su una casella locale che gestisci e esegui il backup? Questo potrebbe essere ottenuto attraverso sovversione / Tortoise-SVN abbastanza facilmente e ovvierebbe alla necessità di utilizzare un repository distribuito a meno che, ovviamente, questo sia ciò di cui hai bisogno.

    
risposta data 02.04.2013 - 19:11
fonte