github 托管对于私有存储库的安全性如何？ [关闭]

Question

我已阅读this thread，但我想知道这样的解决方案有多安全？我知道 github 提供 ssh/ssl 支持并且我很熟悉，但有人可以告诉我他们将使用哪种内部安全措施来确保我提交的 conf/credential 文件不会被黑客入侵吗？

编辑：我已阅读http://help.github.com/security/，但我希望得到与多个存储库主机合作并在这方面有实际经验的人的回答。

Answer 1

一根绳子有多长？

这是一个很难回答的问题。

看看他们的security page，他们似乎涵盖了几乎所有内容，假设他们确实做了所有这些事情。

您可能会争辩说，将代码放在 github 上比将其存储在内部服务器上更安全，许多公司不会有 github 描述的那样好的设置或安全策略。你的呢？

Answer 2

您也可以在自己的服务器上运行 Github 的 Enterprise installation。 20 座许可证每年 5000 美元。

Answer 3

我们最近试用了github。

与我们之前的 git 托管（在我们自己的 linux 虚拟服务器上）相比，我对安全性印象不深。我们确实决定使用它，但仅适用于对代码保密不是大问题的项目。

即：

1. 对用户帐户完全没有公司控制。我们控制哪些用户可以访问我们的存储库，但没有密码政策，用户选择自己的电子邮件地址等。
2. 无法通过 IP 地址限制访问
3. 密码只能由用户重置
4. 泄露用户的电子邮件帐户（我们无法看到他们将其设置为哪个帐户）也会导致他们的 github 帐户遭到泄露，因为他们使用电子邮件质询来重置忘记的密码。
5. 没有访问日志（大部分或可能所有更改都有审计跟踪，但根本没有访问日志）
6. 对 Web 前端的访问仅受密码保护，因此容易受到其他网站的密码重用，并在某种程度上受到暴力破解（github 关于他们对登录失败的处理方式的声明非常不清楚）。

其中一两个我们可以生存，但它们结合起来基本上使 github 完全不适合。

他们最近添加了两因素身份验证，并且有一个 API，以便组织至少可以检查有权访问其存储库的用户是否启用了两因素身份验证。虽然我不觉得这真的是最好的解决方案，但它可能只是让 github 变得足够安全，可以考虑用于私人回购。

正如 mt3 所指出的，您可以运行企业安装，这可能会显着提高安全性 - 但是这与标准 github 公司帐户之间的成本差异是惊人的，这可能意味着您错过了所有第三方工具与github集成。

在非安全说明方面，他们至少现在确实支持正确的年度计费，这有助于减少文书工作开销。

GitHub 最近有 announced new business plans with extra features - 这可以解决 '1'/'4'/'5'。 （尽管作为其中一部分的“正常运行时间保证”非常可笑——甚至不是“四个 9”，并且不包括定期维护和他们认为“超出其合理控制范围”的任何事情——这不是实际的保证，这只是一个小小的信用您的下一个账单上限不超过您账单的三分之一。基本上是措辞非常谨慎的营销黄鼠狼话，而不是他们的任何承诺。）

Answer 4

他们过去曾发生过重大安全事件： http://www.h-online.com/security/news/item/GitHub-security-incident-highlights-Ruby-on-Rails-problem-1463207.html

坦率地说，我不会将我想要保密的代码（或任何其他敏感数据）委托给云，除非它被加密并且只有我持有密钥。