Seberapa aman & tepercaya situs hosting seperti sourceforge, github, atau bitbucket untuk proyek sumber tertutup? [Tutup]


32

Saya mempertimbangkan untuk menggunakan sourceforge, bitbucket, atau github untuk mengelola kontrol sumber untuk bisnis saya. Saya memiliki proyek terbuka dan saya berpartisipasi dalam proyek terbuka seperti gcc. Tetapi saya juga memiliki bisnis di mana saya mengembangkan perangkat lunak sumber tertutup untuk kehidupan saya.

Seberapa dapat dipercaya sourceforge, github, atau bitbucket dalam hal menjaga perangkat lunak aman dari pengintaian? Seberapa stabil hosting dalam hal pencegahan kehilangan data? Adakah orang di luar sana yang mendasarkan logika bisnis mereka dengan pakaian seperti itu? Adakah yang di luar sana yang mensurvei beberapa solusi hosting?


3
Satu catatan: Bahkan jika Anda mempercayai mereka, Anda harus memiliki cadangan otomatis dari repositori Anda sendiri.
Michael Kohne

Terlepas dari seberapa aman mereka ingin menjadi, Anda harus mengasumsikan bahwa lembaga penegak hukum di negara tempat mereka menyimpan server mereka akan memiliki akses ke file Anda. Anda mungkin tidak diberi tahu jika file-file itu diakses. Jika perangkat lunak Anda akan menarik bagi pemerintah asing, maka ini mungkin penting bagi Anda.
Simon B

Jawaban:


34

Tidak ada cara yang baik, standar, untuk mengevaluasi keamanan penyedia seperti ini. Stabilitas bisa Anda lihat, tetapi keamanan tidak mungkin dievaluasi dari luar.

Saya benar-benar akan berbicara dengan penyedia yang Anda pertimbangkan tentang jaminan keamanan mereka, dan melihat kontrak mereka - jika mereka tidak membuat jaminan, atau jika kontrak mereka penuh dengan klausul 'kita tidak bisa dianggap bertanggung jawab', maka itu memberi tahu Anda betapa seriusnya mereka menjaga keamanan, dan seberapa banyak bantuan yang dapat Anda harapkan jika sesuatu berubah bentuk.

Juga, jangan mengevaluasi ini dalam ruang hampa - pikirkan tentang apa yang diperlukan bagi Anda untuk menjalankan server SENDIRI Anda, dan berapa banyak upaya dan overhead yang akan diperlukan, dan seberapa besar kemungkinan Anda mengacaukannya (meninggalkan lubang keamanan besar-besaran ) dengan melakukannya di rumah.


18
+1 untuk menyebutkan kemungkinan server Anda sendiri menjadi kurang aman.
Peter

14

Kami memiliki proyek sumber tertutup yang diselenggarakan sedemikian rupa.

Sudah diterima secara luas bahwa mencuri kode sumber tidak akan membuat siapa pun terlalu jauh ( artikel bagus di sini ). bitbucket dan github mencari nafkah dari sumber tertutup, sehingga mereka memiliki keharusan alami untuk menjaga hal-hal seaman mungkin (dan meminimalkan pers yang buruk).

Satu catatan adalah bahwa sesekali, layanan turun untuk sementara waktu - mungkin (IMO) yang disebabkan oleh lalu lintas sumber terbuka.

Namun secara keseluruhan, kami telah mempertimbangkan pro dan kontra, dan senang.

ps Jika saya tidak salah, github menawarkan contoh "private cloud" untuk pelanggan perusahaan.


Terima kasih untuk artikelnya. Sudahkah Anda mencoba cloud pribadi, apakah Anda hanya menggunakan repo pribadi?
emsr

Repo pribadi saja.
Dave Clausen

Mereka melakukan gitlab yang pada dasarnya adalah github yang dihosting sendiri
Tom Squires

14

SourceForge tidak dianggap dapat dipercaya lagi . Ini telah membajak akun dan mengganti paket Windows dengan installer adware (GIMP, nmap, dan lainnya). SourceForge juga aktif menyaring pengguna dari negara tertentu. Tidak ada yang benar-benar mencegah layanan hosting lain mengganggu penginstal perangkat lunak karena kami belum melihat SF dituntut secara hukum. Kaisar peringatan .

EDIT: https://helb.github.io/goodbye-sourceforge/ adalah sumber yang bagus untuk perbandingan hosting (saya tidak berafiliasi dengan mereka).


1
Pertanyaannya secara khusus tentang outsourcing hosting pribadi , sehingga masalah SF mengacaukan proyek publik tidak terlalu relevan di sini.
Andrew Medico

6
@AndrewMedico - itu masih masalah integritas, ...
Deer Hunter

Di sisi integritas, ketika SF terakhir dijual, pemilik baru menghentikan program installer-modding: ghacks.net/2016/02/10/…
Michael Kohne

7

Ada pertanyaan serupa (dengan jawaban yang ditulis oleh saya) di Stack Overflow:
Seberapa amankah menyimpan data sensitif di situs repositori seperti github, bitbucket, dll?

TL; DR:

  • seperti semua yang ada di cloud, tidak ada jaminan 100% bahwa beberapa peretas tidak akan mengakses data Anda
    (di sisi lain, itu juga bisa terjadi ketika Anda meng-host barang-barang Anda sendiri)
  • penyedia cloud dapat keluar dari layanan kapan saja. Tidak mungkin hal ini terjadi pada host kode sumber besar yang disebutkan, tetapi Anda tidak pernah tahu
    -> adalah tanggung jawab Anda untuk mengambil cadangan barang-barang Anda secara teratur!

4

Bahkan ketika penyedia dapat dipercaya, Anda tidak pernah tahu apa yang menjadi target cracker dan situs terbuka mana pun yang bisa di crack ketika ada keinginan untuk melakukannya.

Di perusahaan saya, kami membeli GitHub Enterprise , yang merupakan github kami sendiri di intranet kami. Jika Anda suka GitHub dan serius menjaga pekerjaan Anda tetap pribadi, ini mungkin yang paling aman.


Anda harus bertanya pada diri sendiri: apakah perusahaan Anda lebih baik dalam menyediakan keamanan untuk repositori Anda daripada kelas berat seperti GitHub dan Bitbucket?
Stefan Billiet

1
@StefanBilliet Mungkin tidak ada dari kita yang mampu mengamankan sumber kami 100%, tetapi dengan menjaga instance perusahaan github Anda di cracker jaringan lokal akan memerlukan bantuan dari dalam untuk melakukan hal yang sama yang dapat mereka lakukan kapan saja terhadap server publik.
Sylwester

3

Beberapa jawaban bagus sudah mencakup aspek teknis dari apa yang Anda khawatirkan - saya tidak akan mengulanginya. Pada akhirnya, dalam hal terjadi "pelanggaran keamanan" Anda perlu mempertimbangkan jalan hukum yang Anda miliki. Apa ketentuan lisensi, sejauh mana mereka bertanggung jawab atas kerusakan yang Anda derita sebagai akibat dari kegagalan layanan, dll. Untuk kasus khusus Anda, dapatkah kerusakan dikembalikan dalam bentuk uang tunai. Anda juga perlu mempertimbangkan seberapa aman alternatif Anda. Apakah server di rumah, mungkin terhubung ke internet, lebih kecil kemungkinannya untuk dikompromikan daripada Github? Apakah Anda cukup terampil dan memastikan sumber daya yang diperlukan dalam instalasi Anda?

Saya bekerja dengan organisasi yang sedang mempertimbangkan untuk menempatkan data di cloud - namun, ada data, meskipun memiliki nilai komersial terbatas, secara hukum sensitif. Tidak ada jumlah kerusakan uang tunai yang akan memperbaiki pelanggaran keamanan. Akibatnya, ukuran keamanan mereka "lebih aman daripada menjalankan sistem in-house". Ini diikuti dengan yurisdiksi hukum - yang disediakan harus menjawab sistem hukum yang sama - dalam kasus kami, negara yang sama, karena mereka akan jatuh di bawah undang-undang yang sama mengenai keamanan data, privasi dll, dan pelanggaran kemungkinan akan dijawab secara pidana, tidak hanya pengadilan sipil. Sengketa hukum lintas batas harus dihindari dengan cara apa pun, seperti halnya pengaduan pidana lintas batas.


0

Salah satu manfaat dari git adalah itu peer-to-peer, jadi Anda sebenarnya tidak memerlukan master VCS, meskipun banyak perusahaan (termasuk saya sendiri) menggunakan github sebagai repositori master.

Anda dapat menetapkan akses ke individu (baik hanya baca atau baca / tulis) dan mendefinisikan individu sebagai administrator juga, sehingga Anda memiliki tingkat kontrol akses yang adil.

Github melakukan "cegukan" sesekali (unicorn marah) tetapi umumnya cukup stabil, dan kami tidak pernah mengalami masalah dengan kehilangan data; tetapi Anda juga memiliki opsi cadangan


Ini tidak benar-benar menjawab pertanyaan tentang seberapa layaknya hosting kode sumber pihak ketiga.
M. Dudley

@ M. Dudley Benar, tapi itu menyentuh stabilitas yang merupakan salah satu pertanyaan saya (diakui bukan yang paling penting bagi saya).
emsr

Unicorn marah. Astaga.
Dominic Cerisano

0

Mengapa Anda tidak mempertimbangkan untuk meletakkan kode sumber di kotak lokal yang Anda pelihara dan cadangkan? Ini dapat dicapai melalui subversi / Tortoise-SVN dengan cukup mudah dan akan menghilangkan kebutuhan untuk menggunakan repositori terdistribusi kecuali, tentu saja, itulah yang Anda butuhkan.


1
Itu bisa dilakukan dengan Git juga.
Rig
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.