ali*_*ien 52 security version-control github repository bitbucket
这只是出于好奇的问题.我想知道在Github,Bitbucket等存储库网站上托管敏感数据通常被认为是多么安全?是否足够安全地摆脱本地机器上的所有代码并将其全部存储在那里?保守公司机密意义上的安全性如何?我注意到这些网站吹嘘像谷歌和雅虎这样的大公司使用他们的服务,但这些大公司是否真的将这些商业机密和重要的公司代码存储在这样的网站上?
Github有一个页面(http://help.github.com/security),它有一些有趣的信息,表明他们正在推销它像我描述的那样简单.但实际上,像谷歌这样的大公司是否真的发现他们的专有机密和大量代码在这些网站上的窥探和灾难性事件确实是安全的?
Chr*_*cht 46
一如既往,取决于:-)
"安全"可以有两种不同的含义:
对于1.,没有100%的保证.
当然,像GitHub和Bitbucket这样的大型托管商不会故意与第三方共享您的代码,但总有可能某些黑客设法获取您的私有存储库的内容.
(如果您在公司内部托管代码,也可能发生这种情况,但这不太可能,因为除非您的公司像谷歌一样,否则有人试图攻击您的公司的可能性远小于有人试图袭击一个着名的公共主持人的可能性.
另外,您必须考虑托管商所在国家/地区的法律.
几个星期前,我读到某个地方,如果你的主人在美国,在某些情况下他们可能会被法律强制要求你向美国政府提供数据,他们甚至不允许告诉你这些(我不是记住法律的名称,但也许别人知道).
我想这一切都会导致大多数"大"公司不在公共服务上托管他们的代码(我的公司是中等规模的,我们也将私有代码托管).
顺便说一句,因为你提到的谷歌:
我敢肯定,尤其是谷歌并没有使用到位桶或GitHub上.他们有自己的项目托管的完整基础设施,所以我猜他们也在内部使用它.他们为什么要使用外部服务?它在云端,是的......但它是他们的云.
关于2:明天GitHub或Bitbucket不太可能破产,但你永远不会知道.
IMO您有责任自己备份代码.
DVCS的本质确保您无论如何都拥有代码的本地副本,但是可能很难在许多开发人员机器上搜索所有项目的最新版本.
我这样做是通过定期将我的所有存储库拉到我的本地机器上(我写了一个工具,可以为Bitbucket执行此操作,我用于私人项目)
小智 7
一个关键问题是谁拥有管理权限。该人或那些人始终可以读取您的数据,并可能有意或无意地将其泄露给第三方,或者只是为了自己的娱乐或教育而阅读。这不仅是托管服务的问题,如果您将数据存储在自己的公司内,这也是一个问题。但至少你认识这个人。对于小公司,管理密码可能掌握在企业主手中。
重点是公共代码托管公司是一个如此巨大的目标。破解如此庞大的代码存储库可以获得很多好处。对于政府机构来说,这是一个非常有趣的目标,规模如此之大,以至于他们只需让一名内部人士进入托管公司,这名内部人士只需在回家的路上携带一个包含所有数据的 U 盘即可。这可能就像在那里申请行政工作一样简单,甚至可以获得所有福利的报酬。我认为我们永远不会看到任何有关此事的新闻,只是因为没有任何痕迹,除非有人想吹嘘它。据我所知,托管公司不需要像政府机构那样的安全许可。事实上,这一切都将处于隐秘模式,这对托管公司实际上采取任何行动的压力很小。
| 归档时间: |
|
| 查看次数: |
19526 次 |
| 最近记录: |