Насколько безопасны и надежны хостинговые сайты, такие как sourceforge, github или bitbucket для проектов с закрытым исходным кодом? [закрыто]

Я рассматриваю возможность использования sourceforge, bitbucket или github для управления исходным кодом в моем бизнесе. У меня есть открытые проекты, и я участвую в открытых проектах, таких как gcc. Но у меня также есть бизнес, где я занимаюсь разработкой программного обеспечения с закрытым исходным кодом для своей жизни.

Насколько заслуживают доверия sourceforge, github или bitbucket с точки зрения защиты программного обеспечения от посторонних глаз? Насколько стабилен хостинг с точки зрения предотвращения потери данных? Кто-нибудь основывал свою бизнес-логику с таким нарядом? Кто-нибудь изучал несколько хостинговых решений?

Не существует хорошего, стандартного способа оценки безопасности провайдеров, подобных этому. Стабильность, которую вы можете видеть, несколько, но безопасность практически невозможно оценить извне.

Я бы на самом деле поговорил с провайдерами, которых вы рассматриваете, об их гарантиях безопасности, и посмотрел бы на их контракты - если они не дают никаких гарантий или если их контракты изобилуют оговорками «мы не можем нести ответственность», тогда говорит вам, насколько серьезно они относятся к безопасности, и какую помощь вы можете ожидать, если что-то станет грушевидным.

Кроме того, не оценивайте это в вакууме - подумайте о том, что потребуется для запуска ваших OWN-серверов, сколько потребуется усилий и накладных расходов, и какова вероятность того, что вы облажаетесь (оставляя огромную дыру в безопасности). Делая это в доме.

У нас есть проект с закрытым исходным кодом, размещенный таким образом.

Принято считать, что кража исходного кода никому не поможет ( хорошая статья здесь ). bitbucket и github зарабатывают себе на жизнь из закрытых источников, поэтому у них есть естественная необходимость держать вещи как можно безопаснее (и сводить к минимуму плохую прессу).

Следует отметить, что время от времени служба на некоторое время отключается - вероятно, (IMO) из-за трафика с открытым исходным кодом.

Но в целом мы взвесили все за и против и рады.

ps Если я не ошибаюсь, github предлагает корпоративным клиентам экземпляр "частного облака".

SourceForge больше не считается заслуживающим доверия . Он угонял учетные записи и заменял пакеты Windows установщиками рекламного ПО (GIMP, nmap и другие). SourceForge также активно фильтрует пользователей из определенных стран. Ничто на самом деле не мешает другим хостинговым службам мешать установщикам программного обеспечения, так как нам еще предстоит судебное преследование SF. Пусть покупатель будет бдителен .

РЕДАКТИРОВАТЬ: https://helb.github.io/goodbye-sourceforge/ является хорошим ресурсом для сравнения хостинга (я не связан с ними).

Аналогичный вопрос (с ответом, написанным мной) о переполнении стека:
насколько безопасно размещать конфиденциальные данные на сайтах репозиториев, таких как github, bitbucket и т. Д.?

TL; DR:

• как и все в облаке, нет 100% гарантии, что какой-нибудь хакер не получит доступ к вашим данным
  (с другой стороны, это также может произойти, когда вы сами размещаете свои материалы)
• облачные провайдеры могут выйти из строя в любое время. Маловероятно, что это произойдет с упомянутыми хостерами большого исходного кода, но вы никогда не знаете
  -> вы обязаны регулярно делать резервные копии своих материалов!

Даже когда поставщики заслуживают доверия, вы никогда не знаете, на что нацелены взломщики, и любой открытый сайт можно взломать, когда есть желание сделать это.

В моей компании мы купили GitHub Enterprise , который является нашим собственным github в нашей интрасети. Если вам нравится GitHub и вы серьезно относитесь к сохранению конфиденциальности вашей работы, это, вероятно, самый безопасный вариант

Несколько хороших ответов уже касаются технических аспектов того, что вас беспокоит - я не буду повторять их. В конечном счете, в случае «нарушения безопасности» вам необходимо рассмотреть возможность обращения в суд. Каковы условия лицензии, в какой степени они несут ответственность за убытки, понесенные вами в результате сбоя в обслуживании и т. Д. В вашем конкретном случае можно ли возместить убытки наличными. Вы также должны подумать, насколько безопасен ваш заместитель. Является ли внутренний сервер, предположительно подключенный к Интернету, менее уязвимым, чем Github? Вы достаточно квалифицированы и вкладываете необходимые ресурсы в вашу установку, чтобы быть уверенным?

Я работаю с организацией, занимающейся размещением данных в облаке, однако эти данные, хотя и имеют ограниченную коммерческую ценность, юридически чувствительны. Никакие денежные убытки не могут исправить брешь в безопасности. В результате их мера безопасности «более безопасна, чем запуск собственных систем». За этим следует юридическая юрисдикция - предоставленный должен отвечать той же правовой системе - в нашем случае, той же стране, поскольку они подпадают под действие тех же законов в отношении безопасности данных, конфиденциальности и т. Д., И нарушение может быть привлечено к уголовной ответственности, а не только гражданские суды. Следует избегать трансграничных правовых споров любой ценой, равно как и трансграничных уголовных жалоб.

Одним из преимуществ git является то, что он одноранговый, так что вам на самом деле не нужен главный VCS, хотя многие компании (включая мою) используют github в качестве основного репозитория.

Вы можете назначить доступ отдельным пользователям (либо только для чтения, либо для чтения / записи), а также определить людей как администраторов, что обеспечит вам достаточный уровень контроля доступа.

Github иногда «икает» (сердитые единороги), но в целом довольно стабилен, и у нас никогда не было проблем с потерей данных; но у вас также есть варианты резервного копирования

Почему вы не рассматриваете возможность размещения своего исходного кода на локальном ящике, который вы поддерживаете и создаете резервную копию? Это может быть легко достигнуто с помощью Subversion / Tortoise-SVN и избавит от необходимости использовать распределенный репозиторий, если, конечно, это не то, что вам нужно.