GitHub托管私有存储库的安全性如何？

我们最近尝试使用了 GitHub。

与我们以前部署在自己的 Linux 虚拟服务器上的 Git 代码托管相比，我对其安全性并不是非常印象深刻。我们决定使用它，但仅限于需要保持私密代码不泄露的项目。

特别是：

1. 公司无法控制用户帐户。我们可以控制哪些用户可以访问我们的代码库，但是没有密码策略，用户自己选择电子邮件地址等。
2. 无法通过 IP 地址限制访问。
3. 只有用户能够重置密码。
4. 如果用户的电子邮件帐户被攻破（我们无法看到他们设置的是哪个帐户），将导致他们的 GitHub 帐户被攻破，因为他们使用电子邮件验证来重置忘记的密码。
5. 没有访问日志（对于绝大多数或可能所有更改都有审计追踪，但对于访问没有任何记录）。
6. Web 界面只有密码保护，因此容易受到来自其他网站的密码重用和某种程度的暴力破解攻击（GitHub 关于失败登录后的处理方式的声明非常不清楚）。

单独其中一两个问题也许还可以接受，但是综合来看，GitHub 完全不适用于保密项目。

他们最近增加了两步验证功能，并提供了 API，以便组织至少可以检查具有对其代码库访问权限的用户是否启用了两步验证。虽然我认为这并不是最好的解决方案，但它可能足以使 GitHub 被视为适用于私人代码库的安全解决方案。

正如 mt3 所指出的那样，您可以使用企业版进行安装，这可能会显着提高安全性，但是与标准 GitHub 公司帐户之间的成本差异巨大，而且这可能意味着您将错过与 GitHub 集成的所有第三方工具。

在非安全方面，他们现在可以正确支持年度账单，这有助于降低文书工作量。

GitHub最近推出了新的商业计划和额外功能 - 这可能解决'1'/'4'/'5'。尽管其中的“运行时间保证”（uptime guarantee）令人匪夷所思 - 它甚至不到“四个9”，并且排除了计划维护和任何他们认为是“超出合理控制范围”的事情 - 并且这不是实际的保证，而只是你下一个账单中的小额抵扣，上限是你账单的三分之一。基本上是非常谨慎措辞的市场营销词语，而不是他们做出任何承诺。

他们过去曾经发生过重大的安全事故：http://www.h-online.com/security/news/item/GitHub-security-incident-highlights-Ruby-on-Rails-problem-1463207.html

说实话，除非我的代码已加密且只有我持有密钥，否则我不会将想要保密（或其他敏感数据）的代码托管在云端。

一根绳子有多长？

这是一个相当难回答的问题。

看到他们的安全页面，他们似乎已经覆盖了几乎所有内容，假设他们实际上执行了所有这些操作。

您可以认为将代码放在github上比将其存储在内部服务器上更安全，因为很多公司可能没有像github描述的那样出色的设置或安全策略。您的公司是否有？

您也可以在自己的服务器上运行Github的企业版安装。20个席位许可证每年5000美元。