ความปลอดภัยและความน่าเชื่อถือในการโฮสต์เว็บไซต์เช่น sourceforge, github หรือ bitbucket สำหรับโปรเจ็กต์แบบปิดเป็นอย่างไร [ปิด]


32

ฉันกำลังพิจารณาใช้ sourceforge, bitbucket หรือ github สำหรับการจัดการการควบคุมแหล่งที่มาสำหรับธุรกิจของฉัน ฉันมีโครงการแบบเปิดและฉันมีส่วนร่วมในโครงการเปิดเช่น gcc แต่ฉันก็มีธุรกิจที่ฉันพัฒนาซอฟต์แวร์โอเพนซอร์สสำหรับการใช้ชีวิตของฉัน

แหล่งที่เชื่อถือได้ความเชื่อถือของ Github หรือ Bitbucket ในแง่ของการรักษาความปลอดภัยของซอฟต์แวร์จากการสอดรู้สอดเห็นหรือไม่? โฮสติ้งมีความเสถียรเพียงใดในแง่ของการป้องกันการสูญหายของข้อมูล? มีใครบ้างไหมที่ใช้ตรรกะทางธุรกิจกับชุดดังกล่าว? มีใครออกสำรวจโซลูชันโฮสติ้งหลาย ๆ


3
หมายเหตุหนึ่ง: แม้ว่าคุณจะเชื่อถือได้คุณควรมีการสำรองข้อมูลอัตโนมัติของที่เก็บข้อมูลของคุณเอง
Michael Kohne

ไม่ว่าพวกเขาจะต้องการความปลอดภัยเพียงใดคุณควรสมมติว่าหน่วยงานบังคับใช้กฎหมายในประเทศที่พวกเขารักษาเซิร์ฟเวอร์ไว้จะสามารถเข้าถึงไฟล์ของคุณได้ คุณอาจไม่ได้รับแจ้งว่ามีการเข้าถึงไฟล์เหล่านั้นหรือไม่ หากซอฟต์แวร์ของคุณเป็นที่สนใจของรัฐบาลต่างประเทศอาจเป็นเรื่องสำคัญสำหรับคุณ
Simon B

คำตอบ:


34

ไม่มีวิธีมาตรฐานที่ดีในการประเมินความปลอดภัยของผู้ให้บริการเช่นนี้ ความเสถียรที่คุณสามารถเห็นได้บ้าง แต่ความปลอดภัยนั้นค่อนข้างเป็นไปไม่ได้ที่จะประเมินจากภายนอก

ฉันจะพูดคุยกับผู้ให้บริการที่คุณกำลังพิจารณาเกี่ยวกับการรับประกันความปลอดภัยของพวกเขาและดูสัญญาของพวกเขา - หากพวกเขาไม่รับประกันใด ๆ หรือถ้าสัญญาของพวกเขาเต็มไปด้วยข้อ 'เราไม่สามารถรับผิดชอบได้' จากนั้น แจ้งให้คุณทราบว่าพวกเขารักษาความปลอดภัยอย่างจริงจังเพียงใดและจะช่วยคุณได้มากน้อยเพียงใดหากมีรูปทรงลูกแพร์

อย่าประเมินสิ่งนี้ในสุญญากาศ - ลองคิดดูว่าคุณจะใช้เซิร์ฟเวอร์ OWN ของคุณได้อย่างไรและต้องใช้ความพยายามและค่าโสหุ้ยเท่าไรและคุณมีโอกาสที่จะทำให้ล้มลงมากแค่ไหน ) โดยทำที่บ้าน


18
+1 สำหรับการพูดถึงความเป็นไปได้ที่เซิร์ฟเวอร์ของคุณจะปลอดภัยน้อยกว่า
ปีเตอร์

14

เรามีโครงการแบบโอเพ่นซอร์สที่โฮสต์ในลักษณะนี้

เป็นที่ยอมรับกันอย่างกว้างขวางว่าการขโมยซอร์สโค้ดจะไม่ทำให้ใครมาไกลเกินไป ( บทความดีดีที่นี่ ) Bitbucket และ GitHub ทำมาหากินจากแหล่งข้อมูลที่ปิดดังนั้นพวกเขาจึงมีความจำเป็นตามธรรมชาติที่จะรักษาสิ่งต่าง ๆ ให้ปลอดภัยที่สุดเท่าที่จะทำได้

สิ่งหนึ่งที่ทราบก็คือทุกครั้งที่มีการให้บริการลดลงระยะหนึ่งซึ่งอาจเกิดจากการรับส่งข้อมูลแบบโอเพ่นซอร์ส

แต่โดยรวมแล้วเราได้ชั่งน้ำหนักข้อดีข้อเสียและมีความสุข

ป.ล. ถ้าฉันไม่เข้าใจผิด GitHub เสนออินสแตนซ์ "คลาวด์ส่วนตัว" สำหรับลูกค้าองค์กร


ขอบคุณสำหรับบทความ คุณลองคลาวด์ส่วนตัวคุณแค่ใช้ repo ส่วนตัวหรือไม่?
emsr

เพียง repo ส่วนตัว
Dave Clausen

พวกเขาทำ gitlab ซึ่งโดยทั่วไปแล้วเป็น gitub โฮสต์ตนเอง
Tom Squires

14

SourceForge จะไม่ถือว่าเป็นที่น่าเชื่อถืออีกต่อไป มันถูกหักหลังบัญชีและแทนที่แพ็คเกจ Windows ด้วยตัวติดตั้งแอดแวร์ (GIMP, nmap และอื่น ๆ ) SourceForge ยังมีบทบาทในการกรองผู้ใช้จากประเทศที่ระบุ ไม่มีสิ่งใดที่จะป้องกันไม่ให้บริการโฮสติ้งอื่นรบกวนการติดตั้งซอฟต์แวร์เนื่องจากเรายังไม่เห็นการดำเนินคดีทางกฎหมายของ SF caveat emptor

แก้ไข: https://helb.github.io/goodbye-sourceforge/เป็นแหล่งข้อมูลที่ดีสำหรับการเปรียบเทียบพื้นที่ (ฉันไม่ได้มีส่วนเกี่ยวข้องกับพวกเขา)


1
คำถามนี้เกี่ยวกับการเอาท์ซอร์สของโฮสติ้งส่วนตัวดังนั้นปัญหาของ SF messing กับโครงการสาธารณะไม่เกี่ยวข้องโดยเฉพาะที่นี่
Andrew Medico

6
@AndrewMedico - ก็ยังคงเป็นคำถามของความซื่อสัตย์ แต่ ...
Deer Hunter

ในด้านความซื่อสัตย์เมื่อขาย SF ครั้งสุดท้ายเจ้าของคนใหม่ยกเลิกโปรแกรมตัวติดตั้ง - modding: ghacks.net/2016/02/10/30
Michael Kohne

7

มีคำถามที่คล้ายกัน(พร้อมคำตอบที่เขียนโดยฉัน)ใน Stack Overflow: มี
ความปลอดภัยเพียงใดในการโฮสต์ข้อมูลสำคัญบนไซต์พื้นที่เก็บข้อมูลเช่น github, bitbucket เป็นต้น?

TL; DR:

  • เช่นเดียวกับทุกสิ่งในคลาวด์ไม่มีการรับประกัน 100% ว่าแฮ็กเกอร์บางคนจะไม่เข้าถึงข้อมูลของคุณ
    (ในทางกลับกันนั่นอาจเกิดขึ้นได้เมื่อคุณโฮสต์สิ่งของของคุณเอง)
  • ผู้ให้บริการคลาวด์อาจเลิกให้บริการได้ทุกเวลา มันไม่น่าเป็นไปได้ที่สิ่งนี้จะเกิดขึ้นกับซอร์สโค้ดขนาดใหญ่ที่กล่าวถึง แต่คุณไม่เคยรู้
    -> เป็นความรับผิดชอบของคุณในการสำรองข้อมูลของคุณเป็นประจำ!

4

แม้ว่าผู้ให้บริการจะเชื่อถือได้คุณก็ไม่เคยรู้เลยว่าแครกเกอร์เป้าหมายและเว็บไซต์เปิดใดที่สามารถถอดรหัสได้เมื่อมีความตั้งใจ

ใน บริษัท ของฉันเราซื้อGitHub Enterpriseซึ่งเป็น GitHub ของเราเองบนอินทราเน็ตของเรา ถ้าคุณชอบ GitHub และจริงจังกับการรักษางานของคุณให้เป็นส่วนตัวนี่น่าจะปลอดภัยที่สุด


คุณต้องถามตัวเองว่า บริษัท ของคุณดีกว่าที่จะให้การรักษาความปลอดภัยสำหรับพื้นที่เก็บข้อมูลของคุณมากกว่ารุ่นใหญ่อย่าง GitHub และ Bitbucket หรือไม่?
Stefan Billiet

1
@StefanBilliet คงไม่มีพวกเราคนใดที่สามารถรักษาความปลอดภัยแหล่งที่มาของเราได้ 100% แต่ด้วยการรักษาอินสแตนซ์ของ GitHub ของคุณที่องค์กรเครือข่ายท้องถิ่นจะต้องการความช่วยเหลือในการทำเช่นเดียวกันกับเซิร์ฟเวอร์สาธารณะ
Sylwester

3

คำตอบที่ดีสองสามข้อที่ครอบคลุมด้านเทคนิคของสิ่งที่คุณกังวล - ฉันจะไม่พูดซ้ำอีก ในที่สุดในกรณีที่มี "การละเมิดความปลอดภัย" คุณต้องพิจารณาการขอความช่วยเหลือทางกฎหมายที่คุณมี ข้อกำหนดของใบอนุญาตคืออะไรขอบเขตความรับผิดชอบสำหรับความเสียหายที่คุณได้รับเป็นผลมาจากความล้มเหลวในการให้บริการและอื่น ๆ สำหรับกรณีเฉพาะของคุณสามารถเรียกคืนความเสียหายเป็นเงินสดได้ คุณต้องพิจารณาว่าความปลอดภัยของคุณเป็นอย่างไร เซิร์ฟเวอร์ภายใน บริษัท สันนิษฐานว่าเชื่อมต่อกับอินเทอร์เน็ตมีโอกาสน้อยที่จะถูกประนีประนอมมากกว่า Github หรือไม่? คุณมีทักษะเพียงพอและนำทรัพยากรที่ต้องการไปใช้ในการติดตั้งเพื่อให้แน่ใจหรือไม่?

ฉันกำลังทำงานกับองค์กรที่มองหาการวางข้อมูลในระบบคลาวด์ - อย่างไรก็ตามมีข้อมูลแม้ว่าจะมีมูลค่าเชิงพาณิชย์ จำกัด แต่ก็มีความอ่อนไหวทางกฎหมาย ความเสียหายที่เกิดจากเงินสดไม่สามารถแก้ไขการละเมิดความปลอดภัย ดังนั้นการวัดความปลอดภัยของพวกเขาจึงมี "ความปลอดภัยมากกว่าการใช้ระบบภายในองค์กร" ตามด้วยเขตอำนาจศาลที่ถูกต้องจะต้องตอบสนองต่อระบบกฎหมายเดียวกัน - ในกรณีของเราประเทศเดียวกันเนื่องจากพวกเขาจะตกอยู่ภายใต้กฎหมายเดียวกันเกี่ยวกับความปลอดภัยของข้อมูลความเป็นส่วนตัว ฯลฯ ศาลแพ่ง ข้อพิพาททางกฎหมายระหว่างประเทศจะต้องหลีกเลี่ยงค่าใช้จ่ายทั้งหมดเช่นเดียวกับการฟ้องร้องคดีอาญาข้ามพรมแดน


0

ข้อดีอย่างหนึ่งของ git ก็คือมันเป็นแบบ peer-to-peer ดังนั้นคุณไม่จำเป็นต้องมี VCS หลักแม้ว่าหลาย บริษัท (รวมถึงของฉันเอง) จะใช้ gitub เป็นแหล่งเก็บข้อมูลหลัก

คุณสามารถกำหนดการเข้าถึงให้กับแต่ละบุคคล (อ่านอย่างเดียวหรืออ่าน / เขียน) และกำหนดบุคคลเป็นผู้ดูแลได้เช่นกันดังนั้นคุณจึงมีระดับการควบคุมการเข้าถึงที่ยุติธรรม

Github ทำ "สะอึก" เป็นครั้งคราว (ยูนิคอร์นโกรธ) แต่โดยทั่วไปค่อนข้างเสถียรและเราไม่เคยมีปัญหาใด ๆ กับการสูญหายของข้อมูล แต่คุณมีตัวเลือกการสำรองข้อมูลด้วย


สิ่งนี้ไม่ได้ตอบคำถามที่ว่าโฮสติ้งของบุคคลที่สามที่เชื่อถือได้นั้นมีวิธีการอย่างไร
M. Dudley

@ M.Dudley True แต่มันสัมผัสกับความเสถียรซึ่งเป็นหนึ่งในคำถามของฉัน (ยอมรับกันว่าไม่ได้สำคัญที่สุดสำหรับฉัน)
emsr

ยูนิคอร์นโกรธ พุทโธ่.
Dominic Cerisano

0

ทำไมคุณไม่ลองใส่ซอร์สโค้ดของคุณลงในกล่องที่คุณบำรุงรักษาและสำรองไว้ สิ่งนี้สามารถทำได้ผ่านการโค่นล้ม / Tortoise-SVN ค่อนข้างง่ายและจะกำจัดความต้องการใช้พื้นที่เก็บข้อมูลแบบกระจายเว้นแต่แน่นอนว่าเป็นสิ่งที่คุณต้องการ


1
ก็สามารถทำได้ด้วย Git เช่นกัน
Rig
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.