这只是出于好奇的问题。我想知道在Github,Bitbucket等存储库网站上托管敏感数据通常被认为是多么安全?是否足够安全地摆脱本地机器上的所有代码并将其全部存储在那里?保守公司机密意义上的安全性如何?我注意到这些网站吹嘘像谷歌和雅虎这样的大公司使用他们的服务,但这些大公司是否真的在这样的网站上存储他们的商业机密和重要的公司代码?
Github有一个页面(http://help.github.com/security),它有一些有趣的信息,表明他们正在推销它像我描述的那样简单。但实际上,像谷歌这样的大公司是否真的发现他们的专有机密和大量代码在这类网站上不会被窥探和灾难性事件?
答案 0 :(得分:44)
一如既往,取决于: - )
“安全”可以有两种不同的含义:
对于1.,没有100%保证
当然,像GitHub和Bitbucket这样的大型托管商不会故意与第三方共享您的代码,但总有可能一些黑客设法获取您私人存储库的内容。
(如果您在公司内部托管代码,这也可能发生在您身上,但这不太可能,因为除非您的公司像谷歌一样,否则有人试图攻击您公司的可能性很大小于有人试图攻击知名公共机构的机会。)
另外,您必须考虑主持人所在国家/地区的法律 几个星期前,我读到某个地方,如果你的主持人在美国,在某些情况下他们可能会被法律强制将你的数据提供给美国政府,他们甚至不允许告诉你这些(我不是记住法律的名称,但也许别人知道。)
我想这一切都会导致大多数“大”公司不在公共服务上托管他们的代码(我的公司是中等规模的,我们也将私有代码托管)。
顺便说一下,正如你提到谷歌:
我确信特别是Google 不使用Bitbucket或GitHub。他们自己有complete infrastructure for project hosting,所以我猜他们也在内部使用它。他们为什么要使用外部服务?它在云中,是的......但它是他们的云。
关于2:明天GitHub或Bitbucket不太可能破产,但你永远不会知道。
IMO您有责任自己备份代码。
DVCS的性质确保您无论如何都拥有代码的本地副本,但是可能很难在许多开发人员机器上搜索所有项目的最新版本。
我通过将我的所有存储库定期拉到我的本地机器来做到这一点(我写了一个tool可以为Bitbucket执行此操作,我将其用于我的私人项目)
答案 1 :(得分:0)
记录: 首先,存储库是备份,然后是安全性。
到目前为止,我们尚未发现涉及GitHub或Bitbucket的安全漏洞。所以,从经验上讲,它们是安全的。
但是,我们向私营公司展示我们的信息,因此存在风险,例如Github员工决定复制我们的东西。
但是,我们应该记住,存储库主要是备份。如果您拥有资源,拥有私人服务器就没问题。但是,我们还应该考虑服务器的位置。如果它在同一个位置,则有可能丢失所有信息,例如洪水,火灾,摧毁我们所有机器的霹雳等等。所以,一个远程存储库真的很酷。
如果您想使用远程存储库,那么就不要太明显了。假设您是Cocacola Corp并且您想要管理一个重要的项目,然后不创建一个具有业务名称的帐户,并且不要将项目称为IMPORTANT_SECRET_VITAL_FOR_COCACOLA,只需将其称为PROJECT1,如果是黑客攻击然后他不会关心它。
答案 2 :(得分:0)
一个关键问题是谁拥有管理权限。那个人或那些人总是可以阅读你的数据,并可能故意或有意地将其泄露给第三方,或者只是为了自己的娱乐或教育而阅读它。这不仅是托管服务的问题,如果您将数据存储在自己的公司中,这也是一个问题。但至少你认识这个人。对于小公司,管理密码可能掌握在业主手中。
重点是公共代码托管公司是如此巨大的目标。攻击如此庞大的代码库可以获得很多好处。对于政府机构而言,这是一个非常有趣的目标,如此之大,以至于他们只是进入托管公司的内部人员,他们只需要在回家的路上拿走所有数据的USB记忆棒。这可能就像在那里申请管理工作一样简单,甚至可以获得所有福利。我认为我们不会看到任何关于此的消息,只是因为没有任何预期的痕迹,除非有人想吹嘘它。据我所知,托管公司不需要像政府机构那样的安全许可。事实上,这一切都将处于秘密模式,这对托管公司施加的压力几乎没有给它实际做任何事情。