it-swarm.com.de

Ist es ratsam, Mitarbeiter zu bitten, GitHub-Konten für die Arbeit zu erstellen?

Ich habe alle Git-Repositorys unserer Firma auf GitHub verschoben und möchte jetzt Mitarbeiter zu den Projekten hinzufügen. Da die meisten Mitarbeiter bereits persönliche GitHub-Konten haben, frage ich mich, ob ich sie bitten soll, ein Arbeits-GitHub-Konto zu erstellen. Der Grund, warum ich darüber nachdenke, besteht darin, die Wahrscheinlichkeit eines nicht autorisierten Zugriffs auf unsere Codebasis zu verringern, da ihre persönlichen Konten durch ihre persönlichen Aktivitäten auf der Website gut bekannt gemacht werden können, was die Wahrscheinlichkeit gezielter Angriffe erhöht. Sollte ihr persönliches Konto jemals kompromittiert werden, bedeutet dies nicht, dass der gesamte Buchungskreis für den Entführer zugänglich ist. Da dies die Führung von zwei Konten für die Mitarbeiter mit sich bringt, frage ich mich, ob dies der richtige Ansatz ist und ob er überhaupt Sinn macht. Ich würde gerne Ihre Meinung dazu hören.

pdate Danke für all die nützlichen Erkenntnisse. Ich werde eine Antwort aufgrund der subjektiven Natur der Frage/Antworten nicht als akzeptiert festlegen und da ich die besten Punkte aus mehreren verschiedenen Antworten gezogen habe.

Ich habe mich für diesen Weg entschieden: Ich werde die Mitarbeiter daran erinnern, dass arbeitsbezogene GitHub-E-Mail-Benachrichtigungen aus praktischen Gründen an ihre geschäftlichen E-Mail-Konten gesendet werden müssen. Daher wäre es sinnvoller, GitHub-Arbeitskonten zu erstellen. Wenn sie bereit sind, ihre persönlichen GitHub-Konten zu verwenden und sie mit ihren geschäftlichen E-Mail-Konten zu verbinden, ist das in Ordnung. In jedem Fall müssen sich die Mitarbeiter schriftlich auf eine Reihe von Bedingungen einigen, die mit der Verwendung von GitHub verbunden sind. Diese beziehen sich auf die Kontosicherheit: Auswahl eines sicheren Kennworts mithilfe eines sicheren Zufallskennwortgenerators, der mit keinem anderen Konto verwendet wird, Zugriff auf GitHub nicht über Computer, deren Eigentümer oder Verwalter sie nicht sind usw. Am Ende des Tages müssen die Mitarbeiter dies tun Entscheiden Sie selbst, ob ein Arbeitskonto für sie sinnvoller ist oder nicht.

94
fiorenti

Wenn es einen Vorteil gäbe, wäre es nur schmerzhaft. Aber nichts ist schlimmer als schmerzhaft und sinnlos. Haben Sie nur den einzigen persönlichen Account. Zwei Gründe:

  • Github hat eine unglaublich gute Zugangskontrolle in ihren Organisationen. Wenn ein Mitarbeiter das Unternehmen verlässt, können Sie seinen Zugriff sofort entfernen. Wenn sie ein Firmenkonto hätten, müssten Sie das Konto irgendwie zurückfordern, um die angegebenen Vorteile zu erhalten. In der Praxis würden Sie wahrscheinlich nur den Kontozugriff entfernen, als hätten sie ein persönliches Konto.

  • Es ist schmerzhaft, mehr als einen Account zu haben. Das An- und Abmelden zwischen Konten tut weh und das Hinzufügen von Kommentaren, Folgen und allen sozialen Dingen, wenn Sie verschiedene Konten verwenden.

Referenzen: Ich mache einen CI-Server mit GitHub-Integration , also habe ich ungefähr viele Testkonten, und ich ' Wir haben mit Kunden mit allen möglichen seltsamen Konfigurationen gesprochen, einschließlich separater Arbeitskonten und persönlicher Konten. Es führt immer zu Problemen.

63
Paul Biggar

Befindet sich der Code Ihres Unternehmens in öffentlichen oder privaten Repositories? Wenn sie (oder zumindest einige) öffentlich sind und Sie Ihren Mitarbeitern gestattet haben, ihre eigenen GitHub-Konten zu verwenden, wäre dies ein Anreiz für sie, guten Code zu schreiben. Ihr Name würde buchstäblich öffentlich daran angehängt. Ich gehe jedoch davon aus, dass alle Ihre Repositorys privat sind.

Insgesamt klingt es so, als würden Sie es vorziehen, wenn die Konten Ihrer Mitarbeiter nicht in GitHub öffentlich sichtbar sind. Leider verdienen sie Geld mit dem Verkauf von GitHub Enterprise . Ich kann mir vorstellen, dass dies ein Grund ist, warum Sie keine privaten Konten für Organisationen erstellen können. In beiden Fällen wäre es wirklich kontraintuitiv, (im Wesentlichen) gesperrte Arbeitskonten zu haben, nachdem Sie eine sehr soziale Site zum Hosten Ihrer Repositorys ausgewählt haben.

Stellen wir uns vor, Sie haben Arbeitskonten für Ihre Mitarbeiter eingerichtet. Würden Sie Einschränkungen für die Verwendung dieser Konten durchsetzen? Würden Sie ihnen erlauben, Code für Nicht-Arbeitsprojekte für Arbeitszwecke beizutragen? In diesem Fall werden ihre Konten öffentlich sichtbar und bringen Sie zu Ihrem ursprünglichen Anliegen zurück. Sie könnten ihnen einfach erlauben, die Beiträge mit ihren persönlichen Konten zu leisten, aber dann schaffen Sie einen logistischen Schmerzpunkt für sie. Persönlich würde ich meine Mitarbeiter ermutigen, Code für andere Projekte als sie selbst beizutragen. Dies gibt ihnen nicht nur einen Vertrauensschub, sondern ermöglicht ihnen auch, wertvolle Erfahrungen zu sammeln und ihre Glaubwürdigkeit zu stärken.

Auf jeden Fall denke ich nicht, dass es die Mühe wert ist, Arbeitskonten zu haben. Über die GitHub-Oberfläche können Sie leicht steuern, wer Zugriff auf was hat, sodass das Entfernen des Zugriffs in beiden Fällen einfach ist. Ich denke auch nicht, dass separate Konten wirklich mehr eine Grenze zwischen persönlichen und beruflichen Projekten ziehen als die GitHub-Oberfläche bereits.

Denken Sie auch daran, wie Sie damit umgehen möchten, wenn Ihr Unternehmen wächst. Werden die von Ihnen festgelegten Richtlinien jetzt vom Standpunkt des Managements aus skalierbar sein? Die Verwaltung von 5 Konten im Moment mag in Ordnung sein, aber was passiert, wenn Sie auf 20 oder 50 wachsen? Aber wenn Sie an diesem Punkt angelangt sind, ist GitHub Enterprise möglicherweise eine ansprechbare Lösung. In diesem Fall würde ich herausfinden, ob GitHub-Konten auf GitHub Enterprise-Installationen migriert werden können. Wenn ja, kann ich sehen, dass dies ein positiver Grund ist, Arbeitskonten zu haben.

25
Jeremy Heiler

Nicht ausgeschlossen und eigentlich eine ziemlich gute Idee.

So bedauerlich es auch sein mag, Sie müssen planen, dass Ihre Mitarbeiter das Unternehmen irgendwann im Leben des Unternehmens verlassen. Wie werden Sie ihre persönlichen Konten zu diesem Zeitpunkt aus dem Repository des Unternehmens entfernen?

Was machen Sie, wenn der Mitarbeiter zu schlechten Konditionen abreist? In einer idealen Welt wird alles professionell bleiben und es wird keine Feindseligkeit zwischen dem Unternehmen und dem ehemaligen Mitarbeiter geben. Es wäre ratsam, weniger als ideale Umstände zu planen.

Während die Führung von zwei Konten schmerzhaft ist, sollten Ihre Mitarbeiter die Gelegenheit begrüßen. Es bietet eine sauberere Linie zwischen dem, was ihnen gehört, und dem, was das Unternehmen ist.

Bearbeiten: Hier ist es wichtig, eine klare Trennung zwischen den persönlichen Beiträgen des Mitarbeiters zu den Projekten X, Y, Z usw. und seiner bezahlten Arbeit am Produkt Ihres Unternehmens zu gewährleisten. Die Verwendung eines separaten Arbeitskontos hilft bei der Abgrenzung, die erforderlich ist, um festzustellen, wem welches geistige Eigentum und das damit verbundene Urheberrecht gehören.

Wenn beispielsweise ein Mitarbeiter sein persönliches Konto verwendet und sowohl zum Unternehmen als auch zu Projekt X beiträgt, wie können Sie feststellen, in welcher Rolle der Mitarbeiter zu diesem Zeitpunkt war? War der Beitrag zu X im Namen Ihres Unternehmens oder nach eigenem Ermessen? Besitzt der Mitarbeiter oder das Unternehmen das Urheberrecht an dem Werk, das X übertragen wurde? Wenn Sie externe Beiträge zur Arbeit Ihres Unternehmens zulassen, wie unterscheiden Sie dann, ob der Mitarbeiter ein Mitarbeiter war oder ob es sich um einen freiwilligen Beitrag handelte?

Nehmen wir im weiteren Sinne an, Sie haben einen Mitarbeiter, der einen Ruf aufbaut, der im Namen des Unternehmens handelt, indem er zu anderen Projekten beiträgt. Wie geben Sie an, dass das persönliche Benutzerkonto nicht mehr mit Ihrem Unternehmen verknüpft ist, wenn dieser Mitarbeiter das Unternehmen verlässt? Schwerwiegende Markenprobleme können auftreten, ohne dass klar definiert wird, wofür ein bestimmtes Konto bestimmt ist.

Es ist ziemlich einfach, auf eine Spur von Eigentums-, Marken- und Urheberrechtsproblemen zu stoßen, wenn Sie anfangen, über die möglichen Szenarien nachzudenken. Die Verwendung separater Arbeitskonten hilft dabei, einige dieser Unklarheiten zu beseitigen. Das Unternehmen muss in der Lage sein, Ansprüche auf Beiträge in seinem Namen geltend zu machen.

Es geht nicht um die technischen Aspekte der Trennung des Benutzerkontos, sondern um die rechtlichen Fragen, die Sie stören können.

Beachten Sie, dass dies ein strittiger Punkt sein kann, wenn alle Produkte Ihres Unternehmens als Open Source unter zulässigen Lizenzen veröffentlicht werden und/oder Sie sich überhaupt keine Sorgen über mögliche Markenprobleme machen.
(Hutspitze an Paul Biggar für die Anforderung dieser Bearbeitung)

19
user53019

Da sich alle darüber einig zu sein scheinen, dass der Arbeitgeber nicht beide trennen muss, ist hier meine kurze Erfahrung, die ich mit meinem persönlichen Konto für berufliche Projekte und Open-Source-Beiträge im Rahmen der Arbeit gemacht habe.

Nur um den Kontext zu vervollständigen: Ich wurde nicht nach Konten gefragt, eigentlich ist GitHub den meisten Leuten an meinem Arbeitsplatz unbekannt. Ich war einfach in der Lage, grünes Licht für Open-Source-Projekte zu bekommen, an denen ich arbeiten werde, und habe mit dem geringsten Arbeitsaufwand gearbeitet, d. H. Mit meinem persönlichen Konto.

Aus Sicht eines Mitarbeiters hasse ich eine Sache wirklich: Benachrichtigungen in meiner persönlichen E-Mail erhalten für Arbeitssachen.

Aufgrund dieser Beobachtung wurde mir klar, dass dies ein offensichtlicher Durchbruch der beruflichen/persönlichen Barriere ist: Wenn ich in meiner Freizeit zu einem Projekt beitragen möchte, erhalte ich immer noch alle Aktualisierungen meiner Arbeitsprojekte… und es kann für externe Mitarbeiter Verwirrung stiften , wer könnte Sie kontaktieren, ohne zu wissen, dass Sie ausgeschaltet sind das Projekt.

Dann gibt es natürlich ein Gleichgewicht mit der Tatsache, dass Ihr persönlicher Ruf von Ihren Arbeitsbeiträgen profitieren kann. Aber andererseits könnte es das Gegenteil sein, wenn Ihr Name mit einem schlechten Projekt in Verbindung gebracht wird…

Am Ende, da die Frage aus der Sicht von Arbeitgeber gestellt wird und alle anderen Antworten berücksichtigt werden: Ich würde sagen, dass es wahrscheinlich nicht viel Sinn macht, die Verwendung von work- durchzusetzen. dedizierte Konten. Aber Sie sollten es nicht verbieten, damit Mitarbeiter, die es vorziehen, die persönliche Barriere zu erhöhen, dies tun und vielleicht auf diese Risiken hinweisen…?


Als Randnotiz in Bezug auf die Sicherheit, da es in anderen Antworten eine leichte Entlassung zu geben scheint:

Natürlich wäre ein "Arbeits" -Konto in Bezug auf Passwörter nicht mehr oder weniger sicher als ein "persönliches" Konto. Wenn Sie GitHub verwenden, dürfen Sie jedoch mit einem SSH-Schlüssel pushen. Und dieser Schlüssel liegt normalerweise in der eigenen Sitzung… Das persönliche Konto kann also alle Arbeitsrepositorys mit einem einfachen PC-Diebstahl (ohne Kennwortkenntnisse) gefährden, während ein dediziertes Arbeitskonto seinen Schlüssel wahrscheinlich nur auf dem Arbeitscomputer haben würde, wodurch er erstellt wird physisch sicherer (hoffentlich).

10
MattiSG

Ich würde mit "Nein" stimmen. Es ist ein ziemlicher Aufwand für Ihre Entwickler und gibt Ihnen Sicherheit durch Dunkelheit: Wenn jemand Ihre Entwickler aktiv angreift, gibt es viele andere Angriffsmethoden, mit denen jemand Ihren Code abrufen kann.

Außerdem wäre es als Startup peinlich, schrecklich und widerlich, wenn Sie nicht viele magische Algorithmen vom Typ einer geheimen Soße im Spiel haben, wenn jemand Ihren Code erhält, aber er sollte nicht zu einem signifikanten Wettbewerbsvorteil führen (wer könnte Ihren legal nutzen) Code?) oder veranlassen Sie, aus dem Geschäft zu gehen.

Solch niedrige Bestellwahrscheinlichkeit im Vergleich zur Entwicklerproduktivität? Ich würde Entwicklerproduktivität nehmen, aber das ist mein Kalkül. :) :)

9
Matt Rogish

Ich würde sagen, dass dies eine Entscheidung sein sollte, die dem Mitarbeiter überlassen bleibt. Eine Sache, die ich sagen würde, ist, sie nicht zu zwingen, ihr persönliches Github-Konto zu verwenden, wenn sie nicht wollen. Ich war bei einer Firma, die GitHub verwendete, und obwohl dies nicht erforderlich war, wollte ich persönlich ein separates Konto erstellen. Der Hauptgrund war, meine persönlichen Projekte zu schützen. Ich wollte nicht, dass die Firma versucht, zu sagen, dass eines meiner persönlichen Projekte das ihre war, weil es unter demselben Github-Konto stand, das für ihre Unternehmensprojekte verwendet wurde (ich bin mir nicht sicher, ob das jemals vor Gericht Bestand haben würde, aber ich habe nicht viel Vertrauen im Rechtssystem, wenn es um solche Dinge geht). Ich denke, dass es eine gute Sache sein kann, diese saubere Trennung zu haben.

4
ryanzec

Wir machen das in unserer Firma. Ich möchte keine Diskussion beginnen "Was ist sicherer, Github oder ein Server unter Ihrer Tabelle, auf den jeder Root-Zugriff hat, nicht sicher, ob die Sicherung funktioniert usw.". Unser Ansatz war:

  • jeder Entwickler muss ein neues Konto erstellen, das nicht mit seinem persönlichen Github-Konto zusammenhängt
  • es sollte die E-Mail-Adresse des Unternehmens verwenden.
  • Es sollte unseren Sicherheitsregeln entsprechen (Anmeldename und Passwort erforderlich).
  • Sie können keine öffentlichen Aktivitäten zeigen/haben.
  • Es ist Firmeneigentum. Nicht sein/ihr Konto.
  • Alle Konten sind mit einem Firmennamen verbunden. Auch keine öffentliche Aktivität.
2
VP.

Ich erkenne, dass diese Fragen und Antworten ein paar Jahre alt sind. Vielleicht war dies vorher nicht verfügbar, aber sie geben ausdrücklich in nterschiede zwischen Benutzer- und Organisationskonten Folgendes an:

Es kann verlockend sein, mehr als ein Benutzerkonto zu haben, z. B. für den persönlichen und geschäftlichen Gebrauch, aber Sie benötigen nur ein Konto.

GitHub hat gute Tools zum Ein- und Ausschalten von Benachrichtigungen nach Repository entwickelt. Daher scheint es am sinnvollsten zu sein, Personal/Arbeit zu kombinieren.

0
scojomodena