Dans quelle mesure les sites d'hébergement tels que sourceforge, github ou bitbucket sont-ils sûrs et fiables pour les projets à code source fermé? [fermé]

J'envisage d'utiliser sourceforge, bitbucket ou github pour gérer le contrôle de source pour mon entreprise. J'ai des projets ouverts et je participe à des projets ouverts tels que gcc. Mais j'ai aussi une entreprise dans laquelle je développe des logiciels à source fermée pour ma vie.

Dans quelle mesure sourceforge, github ou bitbucket sont-ils fiables en termes de protection des logiciels contre les regards indiscrets? Dans quelle mesure l'hébergement est-il stable en termes de prévention des pertes de données? Quelqu'un at-il basé sa logique commerciale avec une telle tenue? Quelqu'un a-t-il déjà sondé plusieurs solutions d'hébergement?

Il n'y a pas de bonne manière standard d'évaluer la sécurité de fournisseurs comme celui-ci. La stabilité est visible, mais la sécurité est quasiment impossible à évaluer de l’extérieur.

En fait, je parlerais avec les fournisseurs que vous envisagez de leurs garanties de sécurité et examinez leurs contrats - s'ils ne font aucune garantie, ou si leurs contrats sont criblés de clauses «nous ne pouvons pas être tenus responsables», alors vous indique à quel point ils prennent la sécurité au sérieux et quelle aide vous pouvez attendre si quelque chose se passe en forme de poire.

En outre, n’évaluez pas cela en vase clos. Réfléchissez à ce qu’il faudrait pour que vous exploitiez vos serveurs OWN, et aux efforts que cela prendrait et aux coûts supplémentaires qui pourraient en résulter, ainsi que sur les probabilités de vous tromper (en laissant une énorme faille de sécurité). ) en le faisant à la maison.

Nous avons un projet à source fermée hébergé de cette manière.

Il est assez largement admis que voler du code source ne mènera personne trop loin ( bon article ici ). bitbucket et github vivent de sources fermées. Ils doivent donc impérativement préserver la sécurité (et minimiser la mauvaise presse).

Une remarque est que de temps en temps, le service tombe en panne pendant un moment - probablement (IMO) en raison du trafic open source.

Mais dans l’ensemble, nous avons pesé le pour et le contre et sommes heureux.

ps Si je ne me trompe pas, github propose une instance de "cloud privé" pour les entreprises.

SourceForge n'est plus considéré comme digne de confiance . Il a détourné des comptes et remplacé des packages Windows par des installateurs de logiciels publicitaires (GIMP, nmap et autres). SourceForge a également été actif dans le filtrage des utilisateurs de pays spécifiques. Rien n'empêche réellement d'autres services d'hébergement d'interférer avec les installateurs de logiciels, car SF n'a toujours pas été poursuivi légalement. Caveat emptor .

EDIT: https://helb.github.io/goodbye-sourceforge/ est une bonne ressource pour la comparaison d’hébergement (je ne suis pas affilié à eux).

Il y a une question similaire (avec une réponse écrite par moi) sur le dépassement de pile:
quel est le niveau de sécurité pour héberger des données sensibles sur des sites de référentiel tels que github, bitbucket, etc.?

TL; DR:

• comme pour tout ce qui se trouve dans le nuage, rien ne garantit à 100% qu'un pirate informatique n'accédera pas à vos données
  (par contre, cela peut également se produire lorsque vous hébergez vous-même vos contenus).
• Les fournisseurs de cloud peuvent être hors service à tout moment. Il est peu probable que cela arrive aux gros hébergeurs de code source mentionnés, mais vous ne savez jamais
  -> il est de votre responsabilité de faire des sauvegardes de vos données régulièrement!

Même lorsque les fournisseurs sont dignes de confiance, vous ne savez jamais ce que les pirates ciblent et tout site ouvert est craquable lorsque la volonté de le faire existe.

Dans mon entreprise, nous avons acheté GitHub Enterprise , notre propre github sur notre intranet. Si vous aimez GitHub et tenez vraiment à garder votre travail privé, c'est probablement le plus sûr.

Quelques bonnes réponses couvrant déjà les aspects techniques de ce qui vous préoccupe - je ne les répéterai pas. En fin de compte, en cas de "violation de la sécurité", vous devez tenir compte de vos recours légaux. Quelles sont les conditions de la licence, dans quelle mesure sont-elles responsables des dommages que vous subissez du fait d'une défaillance du service, etc. Dans votre cas particulier, les dommages peuvent-ils être récupérés en espèces. Vous devez également prendre en compte le niveau de sécurité de votre suppléant. Un serveur interne, possiblement connecté à Internet, est-il moins susceptible d'être compromis que Github? Êtes-vous suffisamment qualifié et mettez-vous les ressources nécessaires dans votre installation pour être certain?

Je travaille avec une organisation qui envisage de mettre des données dans le cloud. Cependant, leurs données, bien que leur valeur commerciale soit limitée, sont juridiquement sensibles. Aucune somme d'argent en dommages-intérêts ne permettrait de réparer une atteinte à la sécurité. En conséquence, leur mesure de sécurité est "plus sécurisée que l'exécution de systèmes internes". Ceci est suivi par la juridiction légale - les fournis doivent répondre au même système juridique - dans notre cas, le même pays, comme ils tomberaient sous les mêmes lois en matière de sécurité des données, de confidentialité, etc. juste des tribunaux civils. Les litiges transfrontaliers doivent être évités à tout prix, de même que les plaintes pénales transfrontalières.

L'un des avantages de git est qu'il est peer-to-peer. Vous n'avez donc pas besoin d'un VCS maître, bien que de nombreuses entreprises (y compris la mienne) utilisent github comme référentiel maître.

Vous pouvez attribuer un accès à des personnes (en lecture seule ou en lecture / écriture) et définir des personnes en tant qu'administrateurs, de sorte que vous disposez d'un degré de contrôle d'accès suffisant.

Github "hoquet" de temps en temps (licornes en colère) mais est généralement assez stable, et nous n'avons jamais eu de problèmes avec la perte de données; mais vous avez aussi des options de sauvegarde

Pourquoi n'envisagez-vous pas de placer votre code source sur une boîte locale que vous entretenez et sauvegardez? Ceci pourrait être réalisé facilement par subversion / Tortoise-SVN et éviterait la nécessité d’utiliser un référentiel distribué à moins que, bien sûr, c’est ce dont vous avez besoin.