github托管对私有存储库的安全性如何?[关闭]

我们最近试过github。

与之前的git托管(在我们自己的linux虚拟服务器上)相比,我对安全性没有太大的印象。我们确实决定使用它,但仅限于那些不太关心代码私密性的项目。

即:

1. 用户帐户上没有公司控制。我们控制哪些用户可以访问我们的存储库,但没有密码策略,用户选择自己的电子邮件地址等。
2. 无法通过IP地址限制访问
3. 密码只能由用户重置
4. 泄露用户的电子邮件帐户(我们无法看到他们设置的帐户)也会导致他们的github帐户泄露,因为他们使用电子邮件挑战重置忘记的密码。
5. 没有访问日志(大多数或所有更改都有一个审计跟踪,但访问根本没有日志记录)
6. 对web前端的访问仅受密码保护,因此很容易受到来自其他站点的密码重用以及某种程度上的暴力强制(github关于他们对失败登录所做操作的声明非常不清楚)。

其中一个或两个我们可以生存,但它们的结合基本上使github完全不适合。

他们最近添加了2因素身份验证,并且有一个API,这样组织至少可以检查访问其存储库的用户是否启用了2因素身份验证。虽然我觉得这并不是最好的解决方案,但它可能只是让github变得足够安全,可以考虑用于私人回购。

正如mt3所指出的,您可以运行企业安装,这可能会显著提高安全性,但这与标准github公司帐户之间的成本差异是惊人的,这可能意味着您错过了与github集成的所有第三方工具。

在非安全性方面,他们至少现在支持正确的年度账单,这有助于减少文书工作的开销。

GitHub最近 announced new business plans with extra features -这可以解决“1”/“4”/“5”。(尽管其中的“正常运行时间保证”相当可笑,甚至不包括“四个9”,也不包括定期维护和他们认为“超出他们合理控制范围”的任何东西,而且这不是一个实际的保证,但它只是对下一个账单的一小笔信贷,上限不超过账单的三分之一。基本上是非常谨慎的营销黄鼠狼的话,而不是他们的任何承诺。)

他们过去曾发生过重大安全事件: http://www.h-online.com/security/news/item/GitHub-security-incident-highlights-Ruby-on-Rails-problem-1463207.html

坦白地说,我不会将我想要保密的代码(或任何其他敏感数据)委托给云,除非它是加密的,而且只有我持有密钥。

一根绳子有多长?

这个问题很难回答。

看他们的 security page 他们似乎涵盖了几乎所有的事情,假设他们真的做了所有的事情。

您可能会争辩说,将代码放在github上比将其存储在内部服务器上更安全,许多公司可能没有github描述的那么好的设置或安全策略。你的呢?

你也可以运行Github的 Enterprise installation 在你自己的服务器上。20座驾照每年5000美元。