Dans quelle mesure les sites d'hébergement tels que sourceforge, github ou bitbucket sont-ils sûrs et fiables pour les projets à code source fermé? [fermé]


32

J'envisage d'utiliser sourceforge, bitbucket ou github pour gérer le contrôle de source pour mon entreprise. J'ai des projets ouverts et je participe à des projets ouverts tels que gcc. Mais j'ai aussi une entreprise dans laquelle je développe des logiciels à source fermée pour ma vie.

Dans quelle mesure sourceforge, github ou bitbucket sont-ils fiables en termes de protection des logiciels contre les regards indiscrets? Dans quelle mesure l'hébergement est-il stable en termes de prévention des pertes de données? Quelqu'un at-il basé sa logique commerciale avec une telle tenue? Quelqu'un a-t-il déjà sondé plusieurs solutions d'hébergement?


3
Une remarque: même si vous leur faites confiance, vous devriez avoir une sauvegarde automatisée de votre propre dépôt.
Michael Kohne

Quel que soit le niveau de sécurité souhaité, vous devez supposer que les organismes chargés de l'application de la loi dans le pays où ils conservent leurs serveurs auront accès à vos fichiers. On ne vous dira peut-être pas si ces fichiers sont des accès. Si votre logiciel peut intéresser un gouvernement étranger, cela peut vous intéresser.
Simon B

Réponses:


34

Il n'y a pas de bonne manière standard d'évaluer la sécurité de fournisseurs comme celui-ci. La stabilité est visible, mais la sécurité est quasiment impossible à évaluer de l’extérieur.

En fait, je parlerais avec les fournisseurs que vous envisagez de leurs garanties de sécurité et examinez leurs contrats - s'ils ne font aucune garantie, ou si leurs contrats sont criblés de clauses «nous ne pouvons pas être tenus responsables», alors vous indique à quel point ils prennent la sécurité au sérieux et quelle aide vous pouvez attendre si quelque chose se passe en forme de poire.

En outre, n’évaluez pas cela en vase clos. Réfléchissez à ce qu’il faudrait pour que vous exploitiez vos serveurs OWN, et aux efforts que cela prendrait et aux coûts supplémentaires qui pourraient en résulter, ainsi que sur les probabilités de vous tromper (en laissant une énorme faille de sécurité). ) en le faisant à la maison.


18
+1 pour avoir mentionné la possibilité que vos propres serveurs soient moins sécurisés.
Peter

14

Nous avons un projet à source fermée hébergé de cette manière.

Il est assez largement admis que voler du code source ne mènera personne trop loin ( bon article ici ). bitbucket et github vivent de sources fermées. Ils doivent donc impérativement préserver la sécurité (et minimiser la mauvaise presse).

Une remarque est que de temps en temps, le service tombe en panne pendant un moment - probablement (IMO) en raison du trafic open source.

Mais dans l’ensemble, nous avons pesé le pour et le contre et sommes heureux.

ps Si je ne me trompe pas, github propose une instance de "cloud privé" pour les entreprises.


Merci pour l'article. Avez-vous essayé le cloud privé ou utilisez-vous simplement le référentiel privé?
emsr

Juste repo privé.
Dave Clausen

Ils font gitlab qui est fondamentalement un github auto-hébergé
Tom Squires

14

SourceForge n'est plus considéré comme digne de confiance . Il a détourné des comptes et remplacé des packages Windows par des installateurs de logiciels publicitaires (GIMP, nmap et autres). SourceForge a également été actif dans le filtrage des utilisateurs de pays spécifiques. Rien n'empêche réellement d'autres services d'hébergement d'interférer avec les installateurs de logiciels, car SF n'a toujours pas été poursuivi légalement. Caveat emptor .

EDIT: https://helb.github.io/goodbye-sourceforge/ est une bonne ressource pour la comparaison d’hébergement (je ne suis pas affilié à eux).


1
La question concerne spécifiquement l'externalisation de l' hébergement privé , de sorte que la question de la confusion entre SF et des projets publics n'est pas particulièrement pertinente ici.
Andrew Medico

6
@AndrewMedico - C'est toujours la question de l'intégrité, même si ...
Deer Hunter

Sur le plan de l’intégrité, lors de la vente du dernier SF, les nouveaux propriétaires ont cessé le programme d’installation-modding: ghacks.net/2016/02/02/…
Michael Kohne

7

Il y a une question similaire (avec une réponse écrite par moi) sur le dépassement de pile:
quel est le niveau de sécurité pour héberger des données sensibles sur des sites de référentiel tels que github, bitbucket, etc.?

TL; DR:

  • comme pour tout ce qui se trouve dans le nuage, rien ne garantit à 100% qu'un pirate informatique n'accédera pas à vos données
    (par contre, cela peut également se produire lorsque vous hébergez vous-même vos contenus).
  • Les fournisseurs de cloud peuvent être hors service à tout moment. Il est peu probable que cela arrive aux gros hébergeurs de code source mentionnés, mais vous ne savez jamais
    -> il est de votre responsabilité de faire des sauvegardes de vos données régulièrement!

4

Même lorsque les fournisseurs sont dignes de confiance, vous ne savez jamais ce que les pirates ciblent et tout site ouvert est craquable lorsque la volonté de le faire existe.

Dans mon entreprise, nous avons acheté GitHub Enterprise , notre propre github sur notre intranet. Si vous aimez GitHub et tenez vraiment à garder votre travail privé, c'est probablement le plus sûr.


Cependant, vous devez vous demander: votre entreprise est-elle plus apte à sécuriser votre référentiel que des poids lourds comme GitHub et Bitbucket?
Stefan Billiet

1
@StefanBilliet Aucun de nous n'est probablement capable de sécuriser à 100% notre source, mais si vous gardez votre instance d'entreprise github sur un réseau local, les pirates auront besoin d'une aide interne pour faire de même, à tout moment, contre un serveur public.
Sylwester

3

Quelques bonnes réponses couvrant déjà les aspects techniques de ce qui vous préoccupe - je ne les répéterai pas. En fin de compte, en cas de "violation de la sécurité", vous devez tenir compte de vos recours légaux. Quelles sont les conditions de la licence, dans quelle mesure sont-elles responsables des dommages que vous subissez du fait d'une défaillance du service, etc. Dans votre cas particulier, les dommages peuvent-ils être récupérés en espèces. Vous devez également prendre en compte le niveau de sécurité de votre suppléant. Un serveur interne, possiblement connecté à Internet, est-il moins susceptible d'être compromis que Github? Êtes-vous suffisamment qualifié et mettez-vous les ressources nécessaires dans votre installation pour être certain?

Je travaille avec une organisation qui envisage de mettre des données dans le cloud. Cependant, leurs données, bien que leur valeur commerciale soit limitée, sont juridiquement sensibles. Aucune somme d'argent en dommages-intérêts ne permettrait de réparer une atteinte à la sécurité. En conséquence, leur mesure de sécurité est "plus sécurisée que l'exécution de systèmes internes". Ceci est suivi par la juridiction légale - les fournis doivent répondre au même système juridique - dans notre cas, le même pays, comme ils tomberaient sous les mêmes lois en matière de sécurité des données, de confidentialité, etc. juste des tribunaux civils. Les litiges transfrontaliers doivent être évités à tout prix, de même que les plaintes pénales transfrontalières.


0

L'un des avantages de git est qu'il est peer-to-peer. Vous n'avez donc pas besoin d'un VCS maître, bien que de nombreuses entreprises (y compris la mienne) utilisent github comme référentiel maître.

Vous pouvez attribuer un accès à des personnes (en lecture seule ou en lecture / écriture) et définir des personnes en tant qu'administrateurs, de sorte que vous disposez d'un degré de contrôle d'accès suffisant.

Github "hoquet" de temps en temps (licornes en colère) mais est généralement assez stable, et nous n'avons jamais eu de problèmes avec la perte de données; mais vous avez aussi des options de sauvegarde


Cela ne résout pas vraiment la question de savoir à quel point l' hébergement de code source tiers est digne de confiance .
M. Dudley

@ M.Dudley C'est vrai, mais cela touche à la stabilité qui était l'une de mes questions (certes pas la plus importante pour moi).
emsr

Licornes en colère. Oh mon.
Dominic Cerisano

0

Pourquoi n'envisagez-vous pas de placer votre code source sur une boîte locale que vous entretenez et sauvegardez? Ceci pourrait être réalisé facilement par subversion / Tortoise-SVN et éviterait la nécessité d’utiliser un référentiel distribué à moins que, bien sûr, c’est ce dont vous avez besoin.


1
Cela pourrait être fait avec Git aussi.
Rig
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.