我已经读过这个帖子,但我想知道这样的解决方案有多安全?我知道github提供ssh/ssl支持并且我很熟悉,但有人可以告诉我他们将使用什么类型的内部安全性来确保我的承诺的conf /凭证文件不被黑客入侵?
编辑:我已经阅读了http://help.github.com/security/但我希望得到一位曾与多个存储库主机合作过的人的答案,并且拥有真实的经验.
我们最近尝试了github.
与我们之前的git托管(在我们自己的linux虚拟服务器上)相比,我对安全性并没有太过深刻的印象.我们确实决定使用它,但仅限于保持代码私有的项目不是一个大问题.
即:
用户帐户根本没有公司控制权.我们控制哪些用户可以访问我们的存储库,但是没有密码策略,用户选择他们自己的电子邮件地址等.
无法通过IP地址限制访问
密码只能由用户重置
妥协用户电子邮件帐户(我们无法查看他们设置的帐户)也会导致他们的github帐户遭到破坏,因为他们使用电子邮件质询来重置忘记的密码.
没有访问日志(对于大多数或可能的所有更改都有审计跟踪,但根本没有日志记录进行访问)
对Web前端的访问只受密码保护,因此容易受到其他站点密码重用的影响,并且在某种程度上容易受到强制攻击(github声明他们对失败登录的操作非常不清楚).
我们可以生活其中的一个或两个,但结合使用它们基本上使github完全不合适.
他们最近添加了2因素身份验证,并且有一个API,以便组织至少可以检查有权访问其存储库的用户是否启用了两个因子身份验证.虽然我觉得这不是最好的解决方案,但它可能只是让github变得足够安全,可以考虑用于私人回购.
正如mt3所说,你可以改为运行企业安装,这可能会显着提高安全性 - 但是它与标准github公司帐户之间的成本差异是惊人的,这可能意味着你错过了所有与之集成的第三方工具. github上.
在非安全性说明中,它们至少现在可以正确支持年度计费,这有助于减少文书工作开销.
GitHub最近宣布了具有额外功能的新业务计划 - 这可以解决'1'/'4'/'5'.(虽然'正常运行时间保证'是其中的一部分非常可笑 - 甚至不是"四个9",并且不包括定期维护和他们认为"超出其合理控制范围"的任何东西 - 而且这不是一个实际的保证,它只是一个小小的功劳你的下一个账单上限不超过账单的三分之一.基本上是非常谨慎的营销狡猾的话,而不是他们的任何承诺.)
他们过去曾发生过重大安全事件:http: //www.h-online.com/security/news/item/GitHub-security-incident-highlights-Ruby-on-Rails-problem-1463207.html
坦率地说,我不会委托我想保密的代码(或任何其他敏感数据),除非它是加密的,只有我持有密钥.
一段绳子有多长?
这是一个很难回答的问题。
看看他们的安全页面,他们似乎几乎涵盖了所有内容,假设他们实际上做了所有这些事情。
您可能会争辩说,将代码放在github上比将代码存储在内部服务器上更安全,许多公司将没有github描述的那样好的设置或安全策略。是你的吗?
京公网安备 11010802040832号 | 京ICP备19059560号-6 