La memorizzazione di software nel cloud con fornitori affidabili è sicura?

4

Ho un membro del team che si rifiuta di utilizzare qualsiasi forma di repository di codice sorgente privato su Github o Bitbucket a causa di "problemi di sicurezza". Di conseguenza, abbiamo difficoltà a condividere il codice con lui. Sembra essere preoccupato per il furto del codice sorgente da parte di qualche parte. Per me, l'utilizzo di repository di codice sorgente basati su cloud è una pratica del settore abbastanza standard. Ma questo individuo ha un punto? I venditori rubano ai clienti di altri settori. Un'idea multimilionaria non dovrebbe essere archiviata su un servizio cloud di terze parti come AWS, Github, Bitbucket, App Engine, ecc?

    
posta kmorris511 21.03.2014 - 22:19
fonte

4 risposte

2

Sono d'accordo con @ david.pfx che un membro del team non ha alcuna intenzione di decidere unilateralmente a favore o contro la decisione aziendale di un'azienda, specialmente perché il codice non è suo ... Potrebbe sollevare le sue preoccupazioni , presenta il suo caso e lascia che i decisori (il controllo del codice sorgente possa essere una decisione presa tanto in veste di vicepresidente o da un capo di gruppo, a seconda della politica aziendale) accettarlo o rifiutarlo. Dopo di che - dovrebbe accettare il verdetto.

Quando le aziende aggiungono repository privati su GitHub, si iscrivono a GitHub sotto la sua informativa sulla privacy , che è legalmente vincolante per GitHub.

Per quanto riguarda la sicurezza, puoi indicarlo all'indirizzo di GitHub relativo all'articolo :

We know your code is extremely important to you and your business, and we're very protective of it. After all, GitHub's code is hosted on GitHub, too!

Proseguono e dettagliano le misure di sicurezza che prendono fisicamente, operativamente, ecc. e anche l'accesso ai dipendenti.

Alla fine della giornata, devi avere fiducia che qualcuno ... i server potrebbero essere compromessi, le librerie di terze parti potrebbero contenere codice dannoso e i dipendenti possono perdere informazioni o sabotare il prodotto - ma senza fidarsi (controllato) server, biblioteche o dipendenti: non otterresti nulla ...

    
risposta data 22.03.2014 - 12:20
fonte
3

In primo luogo, sembra che tu abbia un problema di gestione. Un membro del team non dovrebbe prendere una tale decisione e dettare termini che impongono tale decisione agli altri.

In secondo luogo, ti sembra di fraintendere la natura dei servizi basati su cloud. La maggior parte di tali servizi offre un alto grado di isolamento tra gli utenti e contro agenti esterni (diversi dalla NSA), ma nessuna protezione da parte dei dipendenti dei fornitori. Poiché carichi testo non crittografato, chiunque abbia accesso a qualsiasi parte del percorso da te al provider o con accesso ai componenti interni del provider, ha accesso al tuo codice sorgente.

Puoi affrontare questo 3 modi.

  1. Legale / fiducia. Hai fiducia in tutti questi fornitori implicitamente o ottieni documenti legali che li legano a determinati standard di comportamento, pena la sanzione.

  2. Crittografia locale. Utilizzi un meccanismo per trasmettere e memorizzare il codice sorgente in un formato crittografato, per il quale solo tu possiedi le chiavi. I dettagli tecnici sono complessi, ma realizzabili. Ricorda che devi ancora scambiare le chiavi con i tuoi colleghi.

  3. Proprio server. Si esegue il proprio repository del codice sorgente e si utilizza qualcosa come https con il proprio certificato autofirmato per la trasmissione protetta o un client che lo fa al posto tuo. Hai ancora il problema dello scambio di chiavi.

Senza dubbio ci sono strategie e varianti a cui non ho pensato, ma queste sono le principali. La maggior parte delle persone tende a fingere che non ci sia un problema e per la maggior parte delle persone non c'è. Se il tuo codice è sufficientemente valido (ad esempio stai sviluppando sistemi finanziari di alto profilo o sistemi di gioco o sistemi di sicurezza), allora non sarei io quello a fare quella chiamata.

    
risposta data 22.03.2014 - 07:18
fonte
2

Bene, pensi che quando i dipendenti di Dropbox sono a bordo si tuffino nelle nostre foto? o il personale di Gmail legge le nostre e-mail quando non c'è nient'altro da fare?

Sono abbastanza sicuro che in aziende più piccole come le compagnie telefoniche locali potresti avere problemi con loro dato che alcune persone hanno una quantità pericolosa di potere nelle loro mani e di solito non è illegale, ma le aziende più grandi sono più di un Organizzazione che ha il potere. Ad esempio, la quantità X di azioni appartiene a una società di investimento, non a un individuo, quindi è meno probabile che qualcuno possa fare qualsiasi cosa desideri all'interno dell'azienda e nessuno se ne accorge o discute perché potrebbero rischiare l'intera reputazione di una grande azienda o portarla a un disastro totale.

Anche per una società matura che è grande abbastanza per fare una grande impresa come quella, rubare ai propri clienti è più come un piano di suicidio che un'idea intelligente per guadagnare qualche dollaro. Vedo ancora molte persone che hanno paura di andare a cercare un nome di dominio online nel sito del registrar perché credono che il dominio sia veramente buono, quindi la società di registrazione lo registrerà prima di loro e chiederà loro di pagare migliaia di dollari se vogliono quel dominio Se questa è una piccola società, allora potrebbe essere vero, ma questo non è il modo in cui Godady o Name.com funzionano, ad esempio, ma alcune persone sono ancora paranoiche al riguardo.

L'altra cosa è che qualcuno può trovare i tuoi beni lì? Se sei una persona famosa o lavori in una compagnia ben nota, allora potrebbe essere possibile, ma sono comunque abbastanza sicuro che quelle aziende facciano molto per assumere le persone giuste, quindi nessuno su Github andrà a dai un'occhiata ai repository di Jon Skeet, altrimenti nessuno si sarebbe più fidato di Github. Tuttavia, se sei qualcuno che non è famoso e / o la tua azienda non è nelle notizie, allora è molto improbabile che qualcuno per caso trovi i tuoi beni e si accorga che sono preziosi e vale la pena rubarli e rischiare il resto della loro vita.

Immagina se in qualche modo si scopre che qualcuno in Dropbox stava ricattando la sua ex ragazza perché aveva accesso al suo account in compagnia. Questa è una cosa seria e le conseguenze sono estremamente disastrose. Quindi presumo che ci siano molte cose all'interno di un'azienda come Dropbox per assicurarsi che una cosa del genere non accadrà mai, dal processo di assunzione al monitoraggio di ciò che fanno. Lo stesso vale per altre società come Github, Amazon, PayPal, Google, Yahoo, ecc.

    
risposta data 22.03.2014 - 10:57
fonte
0

Penso che ci sia un po 'di legittimità nella preoccupazione, ma allo stesso tempo ci sono modi per salvaguardarci.

Sul piano legale, una chiara terminologia legale nei termini di servizio può rendere l'host responsabile di qualsiasi furto.

Dal punto di vista tecnico, i record dei client potrebbero essere crittografati per impedire l'accesso offline da parte del provider cloud. Potrebbero comunque alterare il loro codice per rubare le chiavi se lo desiderano, ma impedirebbero a Joe Shmoe nell'IT di spostarsi con i dati poiché richiederebbe una password utente per poter decrittografare i dati se la crittografia fosse usata correttamente.

I servizi cloud offrono molto valore quando è più economico gestirli anziché gestirli da soli, ma non si rinuncia al controllo e occorre assicurarsi che siano state predisposte misure di protezione sufficienti per proteggere la propria attività.

    
risposta data 22.03.2014 - 01:34
fonte

Leggi altre domande sui tag