Наскільки безпечними та надійними є хостингові сайти, такі як sourceforge, github чи bitbucket для проектів із закритим кодом? [зачинено]

Я розглядаю можливість використання sourceforge, bitbucket або github для управління джерелом управління для мого бізнесу. У мене є відкриті проекти і я беру участь у відкритих проектах, таких як gcc. Але я також маю бізнес, де розробляю програмне забезпечення із закритим кодом для свого життя.

Наскільки надійні sourceforge, github чи bitbucket з точки зору захисту програмного забезпечення від сторонніх очей? Наскільки стабільним є хостинг з точки зору запобігання втратам даних? Хтось там базував свою ділову логіку на такому вбранні? Хтось там опитував кілька хостинг-рішень?

Не існує хорошого, стандартного способу оцінити безпеку таких постачальників. Стабільність, яку ви можете бачити, дещо, але безпеку майже неможливо оцінити ззовні.

Я б насправді поговорив з постачальниками, яких ви розглядаєте, щодо їх гарантій безпеки, і подивіться на їхні договори - якщо вони не дають жодних гарантій, або якщо їхні договори містять пункти "ми не можемо нести відповідальність", то це говорить про те, як вони серйозно ставляться до безпеки, і скільки допомоги ви можете очікувати, якщо щось піде у формі груші.

Крім того, не оцінюйте це у вакуумі - подумайте, що знадобиться для запуску власних серверів, а також скільки зусиль і витрат на це знадобиться, і наскільки ймовірним, що ви його накрутите (залишаючи масивну дірку в безпеці ) роблячи це вдома.

У нас проект із закритим джерелом розміщений таким чином.

Досить широко прийнято вважати, що крадіжка вихідного коду нікому не надто далеко ( хороша стаття тут ). бітбукет і github заробляють на життя із закритого джерела, тому вони мають природний імператив, щоб тримати речі максимально безпечно (і мінімізувати погану пресу).

Одне зауваження полягає в тому, що час від часу сервіс на деякий час знижується - ймовірно (IMO), викликаний трафіком з відкритим кодом.

Але загалом ми зважили плюси і мінуси і раді.

ps Якщо я не помиляюся, github пропонує для приватних клієнтів екземпляр "приватної хмари".

SourceForge вже не вважається надійним . Він викрав облікові записи та замінив пакети Windows інсталяторами рекламного ПЗ (GIMP, nmap та інші). SourceForge також активно здійснює фільтрацію користувачів із певних країн. Ніщо насправді не заважає іншим хостинговим службам втручатися у встановлення програмного забезпечення, оскільки ми ще не переслідували юридичну кримінальну відповідальність. Caveat emptor .

EDIT: https://helb.github.io/goodbye-sourceforge/ - хороший ресурс для порівняння хостингу (я не пов'язаний з ними).

Існує аналогічне запитання (з відповіддю, написане мною) щодо Stack Overflow:
Наскільки безпечно розміщувати конфіденційні дані на сайтах сховищ, таких як github, bitbucket тощо?

TL; DR:

• як і в усьому хмарі, немає 100% гарантії того, що якийсь хакер не отримає доступ до ваших даних
  (з іншого боку, це також може статися, коли ви самі розміщуєте свої речі)
• хмарні провайдери можуть вийти з експлуатації будь-коли. Навряд чи це станеться з великими згаданими хостерами вихідного коду, але ви ніколи не знаєте
  -> це ваша відповідальність регулярно робити резервні копії ваших речей!

Навіть коли постачальники надійні, ви ніколи не знаєте, на що спрямовані сухарики, і будь-який відкритий сайт може бути зламаним, коли є бажання зробити це.

У моїй компанії ми купили GitHub Enterprise , який є нашим власним github у нашій інтрамережі. Якщо вам подобається GitHub і серйозно ставитесь до збереження приватної роботи, це, мабуть, найбезпечніше.

Кілька хороших відповідей, які вже охоплюють технічні аспекти того, що вас хвилює - я не буду їх повторювати. Зрештою, у разі "порушення безпеки" вам потрібно врахувати закон, який ви маєте. Які умови ліцензії, в якій мірі вони несуть відповідальність за збитки, які ви зазнаєте внаслідок відмови служби тощо. Чи можна у вашому конкретному випадку відшкодувати збитки готівкою. Вам також потрібно врахувати, наскільки захищений ваш заступник. Чи внутрішній сервер, імовірно, підключений до Інтернету, може бути менш небезпечним, ніж Github? Ви достатньо кваліфіковані і вкладаєте потрібні ресурси у вашу установку, щоб бути певними?

Я працюю з організацією, яка шукає введення даних у хмару - однак там дані, хоча мають обмежену комерційну цінність, є юридично чутливими. Жодна сума грошових збитків не може зафіксувати порушення безпеки. Як результат, їх міра захищеності "безпечніша, ніж внутрішні системи". Це супроводжується юридичною юрисдикцією - надані повинні відповідати тій же правовій системі - у нашому випадку, тій же країні, оскільки вони підпадають під ті самі закони, що стосуються безпеки даних, конфіденційності тощо. просто цивільні суди. Транскордонних правових суперечок слід уникати будь-якою ціною, як і скарги на прикордонну кримінальну відповідальність.

Однією з переваг git є те, що він є одноранговим, тому вам фактично не потрібен VCS-майстер, хоча багато компаній (включаючи мою власну) використовують github як основне сховище.

Ви можете призначити доступ особам (або лише читати, або читати / писати), і визначати осіб як адміністраторів, тому у вас є достатня ступінь контролю доступу.

Github періодично "гикає" (сердиті єдинороги), але, як правило, досить стабільний, і ми ніколи не мали проблем із втратою даних; але у вас є також варіанти резервного копіювання

Чому ви не збираєтесь ставити свій вихідний код на локальну скриньку, яку ви підтримуєте та створюєте резервну копію? Цього можна досягти за допомогою підривної роботи / Tortoise-SVN досить легко і позбавить від необхідності використання розподіленого сховища, якщо, звичайно, це не потрібно.