我阅读了这个帖子,但我想知道这样的解决方案有多安全?我知道github提供ssh/ssl支持,很熟悉,但是有人可以给我解释一下他们将使用什么内部安全措施来确保我的提交的conf/credential文件不会被黑客攻击吗?
编辑:我已经阅读了http://help.github.com/security/,但我希望得到一个来自有多个代码库主机工作经验的人的答案。
我阅读了这个帖子,但我想知道这样的解决方案有多安全?我知道github提供ssh/ssl支持,很熟悉,但是有人可以给我解释一下他们将使用什么内部安全措施来确保我的提交的conf/credential文件不会被黑客攻击吗?
编辑:我已经阅读了http://help.github.com/security/,但我希望得到一个来自有多个代码库主机工作经验的人的答案。
我们最近尝试使用了 GitHub。
与我们以前部署在自己的 Linux 虚拟服务器上的 Git 代码托管相比,我对其安全性并不是非常印象深刻。我们决定使用它,但仅限于需要保持私密代码不泄露的项目。
特别是:
单独其中一两个问题也许还可以接受,但是综合来看,GitHub 完全不适用于保密项目。
他们最近增加了两步验证功能,并提供了 API,以便组织至少可以检查具有对其代码库访问权限的用户是否启用了两步验证。虽然我认为这并不是最好的解决方案,但它可能足以使 GitHub 被视为适用于私人代码库的安全解决方案。
正如 mt3 所指出的那样,您可以使用企业版进行安装,这可能会显着提高安全性,但是与标准 GitHub 公司帐户之间的成本差异巨大,而且这可能意味着您将错过与 GitHub 集成的所有第三方工具。
在非安全方面,他们现在可以正确支持年度账单,这有助于降低文书工作量。
GitHub最近推出了新的商业计划和额外功能 - 这可能解决'1'/'4'/'5'。尽管其中的“运行时间保证”(uptime guarantee)令人匪夷所思 - 它甚至不到“四个9”,并且排除了计划维护和任何他们认为是“超出合理控制范围”的事情 - 并且这不是实际的保证,而只是你下一个账单中的小额抵扣,上限是你账单的三分之一。基本上是非常谨慎措辞的市场营销词语,而不是他们做出任何承诺。
他们过去曾经发生过重大的安全事故:http://www.h-online.com/security/news/item/GitHub-security-incident-highlights-Ruby-on-Rails-problem-1463207.html
说实话,除非我的代码已加密且只有我持有密钥,否则我不会将想要保密(或其他敏感数据)的代码托管在云端。
一根绳子有多长?
这是一个相当难回答的问题。
看到他们的安全页面,他们似乎已经覆盖了几乎所有内容,假设他们实际上执行了所有这些操作。
您可以认为将代码放在github上比将其存储在内部服务器上更安全,因为很多公司可能没有像github描述的那样出色的设置或安全策略。您的公司是否有?