Seberapa aman & tepercaya situs hosting seperti sourceforge, github, atau bitbucket untuk proyek sumber tertutup? [Tutup]

Saya mempertimbangkan untuk menggunakan sourceforge, bitbucket, atau github untuk mengelola kontrol sumber untuk bisnis saya. Saya memiliki proyek terbuka dan saya berpartisipasi dalam proyek terbuka seperti gcc. Tetapi saya juga memiliki bisnis di mana saya mengembangkan perangkat lunak sumber tertutup untuk kehidupan saya.

Seberapa dapat dipercaya sourceforge, github, atau bitbucket dalam hal menjaga perangkat lunak aman dari pengintaian? Seberapa stabil hosting dalam hal pencegahan kehilangan data? Adakah orang di luar sana yang mendasarkan logika bisnis mereka dengan pakaian seperti itu? Adakah yang di luar sana yang mensurvei beberapa solusi hosting?

Tidak ada cara yang baik, standar, untuk mengevaluasi keamanan penyedia seperti ini. Stabilitas bisa Anda lihat, tetapi keamanan tidak mungkin dievaluasi dari luar.

Saya benar-benar akan berbicara dengan penyedia yang Anda pertimbangkan tentang jaminan keamanan mereka, dan melihat kontrak mereka - jika mereka tidak membuat jaminan, atau jika kontrak mereka penuh dengan klausul 'kita tidak bisa dianggap bertanggung jawab', maka itu memberi tahu Anda betapa seriusnya mereka menjaga keamanan, dan seberapa banyak bantuan yang dapat Anda harapkan jika sesuatu berubah bentuk.

Juga, jangan mengevaluasi ini dalam ruang hampa - pikirkan tentang apa yang diperlukan bagi Anda untuk menjalankan server SENDIRI Anda, dan berapa banyak upaya dan overhead yang akan diperlukan, dan seberapa besar kemungkinan Anda mengacaukannya (meninggalkan lubang keamanan besar-besaran ) dengan melakukannya di rumah.

Kami memiliki proyek sumber tertutup yang diselenggarakan sedemikian rupa.

Sudah diterima secara luas bahwa mencuri kode sumber tidak akan membuat siapa pun terlalu jauh ( artikel bagus di sini ). bitbucket dan github mencari nafkah dari sumber tertutup, sehingga mereka memiliki keharusan alami untuk menjaga hal-hal seaman mungkin (dan meminimalkan pers yang buruk).

Satu catatan adalah bahwa sesekali, layanan turun untuk sementara waktu - mungkin (IMO) yang disebabkan oleh lalu lintas sumber terbuka.

Namun secara keseluruhan, kami telah mempertimbangkan pro dan kontra, dan senang.

ps Jika saya tidak salah, github menawarkan contoh "private cloud" untuk pelanggan perusahaan.

SourceForge tidak dianggap dapat dipercaya lagi . Ini telah membajak akun dan mengganti paket Windows dengan installer adware (GIMP, nmap, dan lainnya). SourceForge juga aktif menyaring pengguna dari negara tertentu. Tidak ada yang benar-benar mencegah layanan hosting lain mengganggu penginstal perangkat lunak karena kami belum melihat SF dituntut secara hukum. Kaisar peringatan .

EDIT: https://helb.github.io/goodbye-sourceforge/ adalah sumber yang bagus untuk perbandingan hosting (saya tidak berafiliasi dengan mereka).

Ada pertanyaan serupa (dengan jawaban yang ditulis oleh saya) di Stack Overflow:
Seberapa amankah menyimpan data sensitif di situs repositori seperti github, bitbucket, dll?

TL; DR:

• seperti semua yang ada di cloud, tidak ada jaminan 100% bahwa beberapa peretas tidak akan mengakses data Anda
  (di sisi lain, itu juga bisa terjadi ketika Anda meng-host barang-barang Anda sendiri)
• penyedia cloud dapat keluar dari layanan kapan saja. Tidak mungkin hal ini terjadi pada host kode sumber besar yang disebutkan, tetapi Anda tidak pernah tahu
  -> adalah tanggung jawab Anda untuk mengambil cadangan barang-barang Anda secara teratur!

Bahkan ketika penyedia dapat dipercaya, Anda tidak pernah tahu apa yang menjadi target cracker dan situs terbuka mana pun yang bisa di crack ketika ada keinginan untuk melakukannya.

Di perusahaan saya, kami membeli GitHub Enterprise , yang merupakan github kami sendiri di intranet kami. Jika Anda suka GitHub dan serius menjaga pekerjaan Anda tetap pribadi, ini mungkin yang paling aman.

Beberapa jawaban bagus sudah mencakup aspek teknis dari apa yang Anda khawatirkan - saya tidak akan mengulanginya. Pada akhirnya, dalam hal terjadi "pelanggaran keamanan" Anda perlu mempertimbangkan jalan hukum yang Anda miliki. Apa ketentuan lisensi, sejauh mana mereka bertanggung jawab atas kerusakan yang Anda derita sebagai akibat dari kegagalan layanan, dll. Untuk kasus khusus Anda, dapatkah kerusakan dikembalikan dalam bentuk uang tunai. Anda juga perlu mempertimbangkan seberapa aman alternatif Anda. Apakah server di rumah, mungkin terhubung ke internet, lebih kecil kemungkinannya untuk dikompromikan daripada Github? Apakah Anda cukup terampil dan memastikan sumber daya yang diperlukan dalam instalasi Anda?

Saya bekerja dengan organisasi yang sedang mempertimbangkan untuk menempatkan data di cloud - namun, ada data, meskipun memiliki nilai komersial terbatas, secara hukum sensitif. Tidak ada jumlah kerusakan uang tunai yang akan memperbaiki pelanggaran keamanan. Akibatnya, ukuran keamanan mereka "lebih aman daripada menjalankan sistem in-house". Ini diikuti dengan yurisdiksi hukum - yang disediakan harus menjawab sistem hukum yang sama - dalam kasus kami, negara yang sama, karena mereka akan jatuh di bawah undang-undang yang sama mengenai keamanan data, privasi dll, dan pelanggaran kemungkinan akan dijawab secara pidana, tidak hanya pengadilan sipil. Sengketa hukum lintas batas harus dihindari dengan cara apa pun, seperti halnya pengaduan pidana lintas batas.

Salah satu manfaat dari git adalah itu peer-to-peer, jadi Anda sebenarnya tidak memerlukan master VCS, meskipun banyak perusahaan (termasuk saya sendiri) menggunakan github sebagai repositori master.

Anda dapat menetapkan akses ke individu (baik hanya baca atau baca / tulis) dan mendefinisikan individu sebagai administrator juga, sehingga Anda memiliki tingkat kontrol akses yang adil.

Github melakukan "cegukan" sesekali (unicorn marah) tetapi umumnya cukup stabil, dan kami tidak pernah mengalami masalah dengan kehilangan data; tetapi Anda juga memiliki opsi cadangan

Mengapa Anda tidak mempertimbangkan untuk meletakkan kode sumber di kotak lokal yang Anda pelihara dan cadangkan? Ini dapat dicapai melalui subversi / Tortoise-SVN dengan cukup mudah dan akan menghilangkan kebutuhan untuk menggunakan repositori terdistribusi kecuali, tentu saja, itulah yang Anda butuhkan.