Wie sicher und vertrauenswürdig sind Hosting-Sites wie SourceForge, Github oder Bitbucket für Closed-Source-Projekte? [geschlossen]

Ich denke darüber nach, SourceForge, BitBucket oder Github für die Verwaltung der Quellcodeverwaltung für mein Unternehmen zu verwenden. Ich habe offene Projekte und ich beteilige mich an offenen Projekten wie gcc. Ich habe aber auch ein Geschäft, in dem ich Closed-Source-Software für meinen Lebensunterhalt entwickle.

Wie vertrauenswürdig sind SourceForge, Github oder Bitbucket, wenn es darum geht, Software vor neugierigen Blicken zu schützen? Wie stabil ist das Hosting in Bezug auf die Prävention von Datenverlust? Hat jemand da draußen seine Geschäftslogik mit einem solchen Outfit begründet? Hat jemand da draußen mehrere der Hosting-Lösungen untersucht?

Es gibt keinen guten Standard, um die Sicherheit solcher Anbieter zu bewerten. Stabilität kann man sehen, aber Sicherheit ist von außen so gut wie unmöglich zu bewerten.

Ich würde mit den Anbietern, über die Sie nachdenken, über ihre Sicherheitsgarantien sprechen und ihre Verträge prüfen - wenn sie keine Garantien abgeben oder wenn ihre Verträge mit Klauseln versehen sind, die besagen, dass wir keine Verantwortung übernehmen können, dann das sagt Ihnen, wie ernst sie die Sicherheit nehmen und wie viel Hilfe Sie erwarten können, wenn etwas birnenförmig wird.

Bewerten Sie dies auch nicht in einem luftleeren Raum - denken Sie darüber nach, was Sie für den Betrieb Ihrer EIGENEN Server benötigen, wie viel Aufwand und Aufwand dies bedeuten würde und wie wahrscheinlich es ist, dass Sie es vermasseln (was eine massive Sicherheitslücke hinterlässt) ), indem Sie es im Haus tun.

Wir haben ein so gehostetes Closed-Source-Projekt.

Es ist ziemlich allgemein anerkannt, dass das Stehlen von Quellcode niemanden zu weit bringt ( guter Artikel hier ). Bitbucket und Github verdienen ihren Lebensunterhalt aus geschlossenen Quellen, daher haben sie die natürliche Notwendigkeit, die Dinge so sicher wie möglich zu halten (und schlechte Presse zu minimieren).

Eine Bemerkung ist, dass der Service von Zeit zu Zeit ausfällt - wahrscheinlich (IMO) aufgrund von Open-Source-Verkehr.

Aber insgesamt haben wir die Vor- und Nachteile abgewogen und sind glücklich.

ps Wenn ich mich nicht irre, bietet github eine "Private Cloud" -Instanz für Unternehmenskunden an.

SourceForge gilt nicht mehr als vertrauenswürdig . Es hat Konten gekapert und Windows-Pakete durch Adware-Installer (GIMP, nmap und andere) ersetzt. SourceForge hat auch Nutzer aus bestimmten Ländern herausgefiltert. Nichts hindert andere Hosting-Dienste wirklich daran, die Software-Installer zu stören, da SF noch nicht rechtlich verfolgt wird. Vorbehalt Emptor .

EDIT: https://helb.github.io/goodbye-sourceforge/ ist eine gute Ressource für den Hosting-Vergleich (ich bin nicht mit ihnen verbunden).

Es gibt eine ähnliche Frage (mit einer von mir geschriebenen Antwort) zu Stack Overflow:
Wie sicher ist es, vertrauliche Daten auf Repository-Sites wie Github, Bitbucket usw. zu hosten?

TL; DR:

• Wie bei allem in der Cloud gibt es keine hundertprozentige Garantie dafür, dass ein Hacker nicht auf Ihre Daten zugreift
  (andererseits kann dies auch passieren, wenn Sie Ihre Inhalte selbst hosten).
• Cloud-Anbieter können jederzeit den Betrieb einstellen. Es ist unwahrscheinlich, dass dies den genannten großen Quellcode-Hostern passiert, aber Sie werden es nie erfahren
  -> es liegt in Ihrer Verantwortung, regelmäßig Backups Ihrer Daten zu erstellen!

Selbst wenn die Anbieter vertrauenswürdig sind, wissen Sie nie, auf welche Cracker sie abzielen, und jede offene Site kann geknackt werden, wenn der Wille dazu besteht.

In meiner Firma haben wir GitHub Enterprise gekauft , unseren eigenen Github in unserem Intranet. Wenn Sie GitHub mögen und es ernst meinen, Ihre Arbeit privat zu halten, ist dies wahrscheinlich die sicherste.

Einige gute Antworten, die bereits die technischen Aspekte Ihrer Besorgnis abdecken - ich werde sie nicht wiederholen. Letztendlich müssen Sie im Falle einer "Sicherheitsverletzung" den Rechtsweg berücksichtigen, den Sie haben. Was sind die Bedingungen der Lizenz, in welchem ​​Umfang sind sie für Schäden verantwortlich, die Sie infolge eines Serviceausfalls usw. erleiden. Für Ihren speziellen Fall können die Schäden in bar zurückgefordert werden. Sie müssen auch überlegen, wie sicher Ihre Alternative ist. Ist ein interner Server, der vermutlich mit dem Internet verbunden ist, weniger gefährdet als Github? Sind Sie qualifiziert genug und setzen die erforderlichen Ressourcen in Ihre Installation ein, um sicherzugehen?

Ich arbeite mit einer Organisation zusammen, die versucht, Daten in die Cloud zu stellen. Dort sind Daten zwar von begrenztem kommerziellen Wert, aber rechtlich sensibel. Kein Betrag von Bargeldschäden würde eine Sicherheitsverletzung beheben. Daher ist ihr Sicherheitsmaßstab "sicherer als der Betrieb von Inhouse-Systemen". Daran schließt sich die Rechtsprechung an - das zur Verfügung gestellte Gericht muss sich an das gleiche Rechtssystem wenden - in unserem Fall dasselbe Land, da sie unter die gleichen Gesetze hinsichtlich Datensicherheit, Datenschutz usw. fallen würden und ein Verstoß wahrscheinlich strafrechtlich geahndet wird, nicht nur Zivilgerichte. Grenzüberschreitende Rechtsstreitigkeiten sind ebenso zu vermeiden wie grenzüberschreitende Strafanzeigen.

Einer der Vorteile von git ist, dass es Peer-to-Peer ist, sodass Sie eigentlich kein Master-VCS benötigen, obwohl viele Unternehmen (einschließlich meines eigenen) github als Master-Repository verwenden.

Sie können Einzelpersonen den Zugriff zuweisen (entweder schreibgeschützt oder schreibgeschützt) und auch Einzelpersonen als Administratoren definieren, sodass Sie ein angemessenes Maß an Zugriffskontrolle haben.

Github macht gelegentlich "Schluckauf" (wütende Einhörner), ist aber im Allgemeinen ziemlich stabil und wir hatten nie Probleme mit Datenverlust. Sie haben aber auch Sicherungsoptionen

Warum ziehen Sie nicht in Betracht, Ihren Quellcode auf einer lokalen Box abzulegen, die Sie pflegen und sichern? Dies könnte durch Subversion / Tortoise-SVN recht einfach erreicht werden und würde die Notwendigkeit, ein verteiltes Repository zu verwenden, überflüssig machen, es sei denn, Sie benötigen dies natürlich.