Dans quelle mesure les sites d'hébergement tels que sourceforge, github ou bitbucket sont-ils sûrs et fiables pour les projets à source fermée?
J'envisage d'utiliser sourceforge, bitbucket ou github pour gérer le contrôle de code source pour mon entreprise. J'ai des projets ouverts et je participe à des projets ouverts tels que gcc. Mais j'ai aussi une entreprise où je développe des logiciels de source fermée pour ma vie.
Dans quelle mesure sourceforge, github ou bitbucket sont-ils fiables pour protéger les logiciels des regards indiscrets? Quelle est la stabilité de l'hébergement en termes de prévention de la perte de données? Quelqu'un at-il basé sa logique commerciale avec une telle tenue? Quelqu'un a-t-il étudié plusieurs des solutions d'hébergement?
Il n'y a pas de bonne méthode standard pour évaluer la sécurité de fournisseurs comme celui-ci. La stabilité que vous pouvez voir, un peu, mais la sécurité est à peu près impossible à évaluer de l'extérieur.
En fait, je parlerais aux fournisseurs que vous envisagez de leurs garanties de sécurité et j'examinerais leurs contrats - s'ils ne font aucune garantie, ou si leurs contrats sont criblés de clauses `` nous ne pouvons pas être tenus pour responsables '', alors que vous indique à quel point ils prennent la sécurité au sérieux et à quel point vous pouvez vous attendre en cas de problème.
De plus, n'évaluez pas cela dans le vide - pensez à ce qu'il vous faudrait pour exécuter vos serveurs OWN, et combien d'efforts et de frais généraux cela prendrait, et combien vous êtes susceptible de le gâcher (laissant une faille de sécurité massive) ) en le faisant en interne.
Nous avons un projet de source fermée hébergé de cette manière.
Il est assez largement admis que le vol de code source n'amènera personne trop loin ( bon article ici ). bitbucket et github gagnent leur vie à partir de sources fermées, ils ont donc un impératif naturel de garder les choses aussi sécurisées que possible (et de minimiser la mauvaise presse).
Une note est que de temps en temps, le service tombe en panne pendant un certain temps - probablement (IMO) causé par le trafic open-source.
Mais dans l'ensemble, nous avons pesé le pour et le contre et nous en sommes heureux.
p.s. Si je ne me trompe pas, github propose une instance de "cloud privé" pour les entreprises.
SourceForge n'est plus considéré plus fiable . Il a piraté des comptes et remplacé des packages Windows par des programmes d'installation de logiciels publicitaires (GIMP, nmap et autres). SourceForge a également été actif dans le filtrage des utilisateurs de certains pays. Rien n'empêche vraiment d'autres services d'hébergement d'interférer avec les installateurs de logiciels car nous n'avons pas encore vu SF poursuivi en justice. Caveat emptor .
EDIT: https://helb.github.io/goodbye-sourceforge/ est une bonne ressource pour l'hébergement de comparaison (je ne suis pas affilié avec eux).
Il y a une question similaire (avec une réponse écrite par moi) sur Stack Overflow:
Dans quelle mesure est-il sûr d'héberger des données sensibles sur des sites de référentiel comme github, bitbucket, etc.?
TL; DR:
- comme avec tout dans le cloud, il n'y a aucune garantie à 100% qu'un pirate n'accédera pas à vos données
(d'autre part, cela peut aussi se produire lorsque vous hébergez vous-même vos affaires) - les fournisseurs de cloud peuvent être mis hors service à tout moment. Il est peu probable que cela arrive aux gros hébergeurs de code source mentionnés, mais on ne sait jamais
-> il est de votre responsabilité d'effectuer régulièrement des sauvegardes de vos fichiers!
Même lorsque les fournisseurs sont dignes de confiance, vous ne savez jamais quels sont les cibles des crackers et tout site ouvert est crackable lorsque la volonté de le faire est là.
Dans ma société, nous avons acheté GitHub Enterprise , qui est notre propre github sur notre intranet. Si vous aimez GitHub et que vous voulez vraiment garder votre travail privé, c'est probablement le plus sûr.
Quelques bonnes réponses couvrant déjà les aspects techniques de ce qui vous préoccupe - je ne les répéterai pas. En fin de compte, en cas de "violation de la sécurité", vous devez considérer le recours juridique dont vous disposez. Quelles sont les conditions de la licence, dans quelle mesure sont-ils responsables des dommages que vous subissez à la suite d'une panne de service, etc. Dans votre cas spécifique, les dommages peuvent-ils être récupérés en espèces. Vous devez également considérer la sécurité de votre remplaçant. Un serveur interne, vraisemblablement connecté à Internet, est-il moins susceptible d'être compromis que Github? Êtes-vous suffisamment qualifié et mettez-vous les ressources nécessaires dans votre installation pour en être certain?
Je travaille avec une organisation qui cherche à mettre des données dans le cloud - cependant, les données, bien qu'elles aient une valeur commerciale limitée, sont juridiquement sensibles. Aucun montant de dommages en espèces ne résoudrait une faille de sécurité. En conséquence, leur mesure de sécurité est "plus sûre que l'exécution de systèmes internes". Ceci est suivi de la juridiction légale - le fourni doit répondre au même système juridique - dans notre cas, même pays, car ils relèveraient des mêmes lois concernant la sécurité des données, la vie privée, etc. juste des tribunaux civils. Les litiges juridiques transfrontaliers doivent être évités à tout prix, tout comme les plaintes pénales transfrontalières.
L'un des avantages de git est qu'il est peer-to-peer, donc vous n'avez pas réellement besoin d'un VCS maître, bien que de nombreuses entreprises (y compris la mienne) utilisent github comme référentiel maître.
Vous pouvez attribuer un accès à des individus (en lecture seule ou en lecture/écriture) et définir des individus en tant qu'administrateurs également, afin d'avoir un bon degré de contrôle d'accès.
Github fait "hoquet" de temps en temps (licornes en colère) mais est généralement assez stable, et nous n'avons jamais eu de problèmes avec la perte de données; mais vous avez également des options de sauvegarde
Pourquoi n'envisagez-vous pas de mettre votre code source sur une boîte locale que vous gérez et sauvegardez? Cela pourrait être réalisé grâce à Subversion/Tortoise-SVN assez facilement et éliminerait la nécessité d'utiliser un référentiel distribué sauf si, bien sûr, c'est ce dont vous avez besoin.