it-swarm.com.de

Wie sicher und vertrauenswürdig sind Hosting-Sites wie Sourceforge, Github oder Bitbucket für Closed-Source-Projekte?

Ich denke darüber nach, Sourceforge, Bitbucket oder Github für die Verwaltung der Quellcodeverwaltung für mein Unternehmen zu verwenden. Ich habe offene Projekte und nehme an offenen Projekten wie gcc teil. Ich habe aber auch ein Geschäft, in dem ich Closed-Source-Software für meinen Lebensunterhalt entwickle.

Wie vertrauenswürdig sind SourceForge, Github oder Bitbucket, um Software vor neugierigen Blicken zu schützen? Wie stabil ist das Hosting in Bezug auf die Verhinderung von Datenverlust? Hat da draußen jemand seine Geschäftslogik mit einem solchen Outfit begründet? Hat jemand da draußen mehrere Hosting-Lösungen untersucht?

33
emsr

Es gibt keine gute Standardmethode, um die Sicherheit solcher Anbieter zu bewerten. Stabilität kann man etwas sehen, aber Sicherheit ist von außen so gut wie unmöglich zu bewerten.

Ich würde tatsächlich mit den Anbietern, die Sie in Betracht ziehen, über ihre Sicherheitsgarantien sprechen und ihre Verträge prüfen - wenn sie keine Garantien geben oder wenn ihre Verträge mit Klauseln über „Wir können nicht verantwortlich gemacht werden“ durchsetzt sind, dann das sagt Ihnen, wie ernst sie die Sicherheit nehmen und wie viel Hilfe Sie erwarten können, wenn etwas birnenförmig wird.

Bewerten Sie dies auch nicht im luftleeren Raum - überlegen Sie, was Sie für den Betrieb Ihrer EIGENEN Server benötigen würden, wie viel Aufwand und Aufwand dies bedeuten würde und wie wahrscheinlich es ist, dass Sie es vermasseln (was eine massive Sicherheitslücke hinterlässt) ) indem du es im Haus machst.

35
Michael Kohne

Wir haben ein Closed-Source-Projekt, das so gehostet wird.

Es ist allgemein anerkannt, dass der Diebstahl von Quellcode niemanden zu weit bringt ( guter Artikel hier ). Bitbucket und Github leben von Closed-Source-Produkten, daher haben sie eine natürliche Notwendigkeit, die Dinge so sicher wie möglich zu halten (und schlechte Presse zu minimieren).

Ein Hinweis ist, dass der Dienst von Zeit zu Zeit für eine Weile ausfällt - wahrscheinlich (IMO), verursacht durch Open-Source-Verkehr.

Aber insgesamt haben wir die Vor- und Nachteile abgewogen und sind glücklich.

p.s. Wenn ich mich nicht irre, bietet github eine "Private Cloud" -Instanz für Unternehmenskunden an.

14
Dave Clausen

SourceForge wird nicht als nicht mehr vertrauenswürdig angesehen. Es hat Konten entführt und Windows-Pakete durch Adware-Installationsprogramme (GIMP, nmap und andere) ersetzt. SourceForge hat auch aktiv Benutzer aus bestimmten Ländern herausgefiltert. Nichts hindert andere Hosting-Dienste wirklich daran, Software-Installer zu stören, da SF noch nicht rechtlich verfolgt wird. Vorbehalt .

EDIT: https://helb.github.io/goodbye-sourceforge/ ist eine gute Ressource für den Hosting-Vergleich (ich bin nicht mit ihnen verbunden).

14
Deer Hunter

Es gibt eine ähnliche Frage (mit einer von mir geschriebenen Antwort) zum Stapelüberlauf:
Wie sicher ist es, sensible Daten auf Repository-Sites wie Github, Bitbucket usw. zu hosten?

TL; DR:

  • wie bei allem in der Cloud gibt es keine 100% ige Garantie dafür, dass einige Hacker nicht auf Ihre Daten zugreifen
    (andererseits kann das auch passieren, wenn Sie Ihre Sachen selbst hosten)
  • cloud-Anbieter können jederzeit außer Betrieb gehen. Es ist unwahrscheinlich, dass dies den genannten großen Quellcode-Hostern passiert, aber Sie wissen es nie
    -> Es liegt in Ihrer Verantwortung, regelmäßig Backups Ihrer Daten zu erstellen!
7

Selbst wenn Anbieter vertrauenswürdig sind, wissen Sie nie, auf welche Ziele Cracker abzielen, und jede offene Site ist knackbar, wenn der Wille dazu vorhanden ist.

In meiner Firma haben wir GitHub Enterprise gekauft, das ist unser eigener Github in unserem Intranet. Wenn Sie GitHub mögen und es ernst meinen, Ihre Arbeit privat zu halten, ist dies wahrscheinlich die sicherste.

4
Sylwester

Ein paar gute Antworten, die bereits die technischen Aspekte Ihrer Besorgnis abdecken - ich werde diese nicht wiederholen. Letztendlich müssen Sie im Falle einer "Sicherheitsverletzung" den Rechtsweg berücksichtigen, den Sie haben. Was sind die Bedingungen der Lizenz, inwieweit sind sie für Schäden verantwortlich, die Sie infolge eines Servicefehlers usw. erleiden. In Ihrem speziellen Fall können die Schäden in bar zurückgefordert werden. Sie müssen auch berücksichtigen, wie sicher Ihre Alternative ist. Ist es weniger wahrscheinlich, dass ein interner Server, der vermutlich mit dem Internet verbunden ist, kompromittiert wird als Github? Sind Sie kompetent genug und setzen die erforderlichen Ressourcen in Ihre Installation ein, um sicherzugehen?

Ich arbeite mit einer Organisation zusammen, die Daten in die Cloud stellen möchte. Diese Daten sind jedoch rechtlich sensibel, obwohl sie nur einen begrenzten kommerziellen Wert haben. Kein Betrag an Bargeldschaden würde eine Sicherheitsverletzung beheben. Infolgedessen ist ihr Sicherheitsmaß "sicherer als der Betrieb interner Systeme". Daran schließt sich die rechtliche Zuständigkeit an - die bereitgestellten müssen auf dasselbe Rechtssystem antworten - in unserem Fall auf dasselbe Land, da sie unter dieselben Gesetze in Bezug auf Datensicherheit, Datenschutz usw. fallen würden, und ein Verstoß ist wahrscheinlich strafbar, nicht strafrechtlich nur Zivilgerichte. Grenzüberschreitende Rechtsstreitigkeiten sind um jeden Preis zu vermeiden, ebenso grenzüberschreitende Strafanzeigen.

3
mattnz

Einer der Vorteile von git ist, dass es Peer-to-Peer ist, sodass Sie eigentlich kein Master-VCS benötigen, obwohl viele Unternehmen (einschließlich meiner eigenen) github als Master-Repository verwenden.

Sie können Einzelpersonen Zugriff zuweisen (entweder schreibgeschützt oder lesend/schreibend) und Einzelpersonen auch als Administratoren definieren, sodass Sie ein angemessenes Maß an Zugriffskontrolle haben.

Github macht gelegentlich "Schluckauf" (wütende Einhörner), ist aber im Allgemeinen ziemlich stabil, und wir hatten nie Probleme mit Datenverlust. Sie haben aber auch Sicherungsoptionen

0
Mark Baker

Warum erwägen Sie nicht, Ihren Quellcode auf einer lokalen Box abzulegen, die Sie verwalten und sichern? Dies könnte ganz einfach durch Subversion/Tortoise-SVN erreicht werden und würde die Verwendung eines verteilten Repositorys überflüssig machen, es sei denn, Sie benötigen dies natürlich.

0
Mushy