把代码放在gitlab和github有危险吗?
我听说将我们的代码提交到 gitlab 和 github 是很安全的。
原因是每个代码都经过哈希处理,每个人几乎不可能在不使用 git 工具的情况下更改代码。
这是真的吗?
【问题讨论】:
pggp 签名吗?
正如我在“Why does Git use a cryptographic hash function?”中提到的,它在数据完整性方面是“安全的”(Linus Torvalds, 2007):
我们检查被认为是加密安全的校验和。没有人能够破解 SHA-1,但关键是,就 git 而言,SHA-1 甚至不是安全功能。这纯粹是一个一致性检查。 安全部件在别处。
很多人认为由于 git 使用 SHA-1 并且 SHA-1 用于加密安全的东西,他们认为这是一个巨大的安全功能。它与安全性毫无关系,它只是你能得到的最好的哈希值。拥有良好的哈希值有助于信任您的数据
这与以下无关:
OP 添加:
我的意思是gitlab或github的所有者可能会窃取我们的代码
这是一个信任问题:如果 git 托管服务器位于 private 存储库中,它是否可以访问您的代码?技术上是的。
他们会访问您的私人代码吗?正如“Can third party hosts be trusted for closed-source/private source code management?”中所述,没有什么能阻止他们。
然而,many startups have their private code on, for instance, GitHub。
如果您有真正的保密问题,那么保留所有代码库的所有权很重要,包括存储它的服务器(意味着拥有自己的 Git 存储库托管服务器)。
【讨论】:
git clone,您将不会注意到恶意更改。只有在其他地方有 SHA-1 总和的安全副本时,才能检查数据完整性。
重要的是要记住,即使 git 是最安全的版本控制工具,因为它会在您执行的每个命令中进行哈希检查,但重要的做法是不时备份存储库...
有时是硬件或软件故障,但有时是为了防止由于人为错误而丢失数据。
个人克隆并不总是足够的。
【讨论】: