logo标签列表

GitHub 的私有仓库存在的安全问题

github
4
我已经将组织注册到了GitHub Teams的免费计划中,并且我们正在考虑将代码推送到GitHub的私有存储库中。我们的项目由几十年前的旧代码组成,存在着大量硬编码的凭据(不仅在代码中,还有注释),用于连接各种服务器和数据库。
我不想让我的团队改变所有这些代码以在配置文件中存储凭据,我也不确定我们的各种技术堆栈是否支持此操作。这也会非常耗时,并且不能保证我们可以找到每个凭据的引用。我只是想知道,即使创建的存储库不是公共的,将带有所有这些凭据的代码推送到GitHub上是否安全?
1个回答
4
将您的代码存储在GitHub上并不比将其存储在其他任何地方不安全。例如,GitHub通常会花费大量精力来保护代码库,并且未经代码库所有者的同意,员工不允许查看私人代码库的内容。将此代码推送到GitHub上并不会使其本质上暴露得比存储在任何其他服务器上更多。
然而,话虽如此,在您的存储库中存储凭据是一个安全问题,无论您在哪里托管该代码都是如此。由于服务器配置错误、笔记本电脑被盗或其他各种情况,存储库很容易因为许多原因而意外泄漏。如果您能够在至少使用一种更安全的实践方法来存储凭据,那将是非常有益的。这样,您可以将它们存储在单个安全的位置,以便找到它们。例如,当所有凭据都存储在Vault等工具中时,轮换凭据会更加容易,您可以轻松地在所有系统上旋转受损凭据。
因此,总的来说,您所做的并不是很安全,但使用或不使用GitHub都不会改变这一点。
谢谢@bk2204。那么对于我们的代码库来说,使用GitHub与将服务器设置为我们自己网络中的远程服务器并由我们自己的组织管理、然后将代码推送到该远程服务器相比,安全性并没有更高或更低了?在我们的情况下,您会推荐哪种方法? - MERNboy
1
一些公司希望源代码永远不离开他们的网络,因此他们建立自己的服务器,而有些公司则更喜欢云端解决方案的易用性。在这种情况下,两者都可以。如果您喜欢GitHub的功能但不想使用云选项,则GitHub提供本地选项(GitHub Enterprise Server),您也可以使用其他选项。由于两种情况都存在相同的安全问题,所以您可以根据自己的需求来决定采取什么措施。 - bk2204
我对此非常怀疑。微软不能在私有存储库中搜索一些重要的代码吗?从道德上讲不应该这样做,但从技术上看似乎是可能的。我们也经常从社交平台上听到泄漏的消息。我从Github转移到了公司的“Gitea”。 - Davut Gürbüz
1
当然在技术上是可能的,但服务条款不允许这样做,员工未经许可不得访问内容。如果GitHub这样做将面临巨大的责任。这与您存储信息的任何其他网站没有区别,而GitHub的政策比大多数网站都要严格得多。当然,如果您认为这是一个问题并想自己托管它,您可以使用不同的解决方案。这取决于您的舒适水平。 - bk2204
网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接