github托pipe对于私人存储库有多安全?
我已阅读此线程,但我想知道这种解决scheme有多安全? 我知道github提供了ssh / ssl的支持,并且很熟悉,但是有人能给我一个他们用来确保我的提交的conf /凭证文件不被黑客攻击的内部安全性的细目。
编辑 :我读过http://help.github.com/security/,但我想从谁已经与多个存储库主机的工作,并有与此真实世界的经验的人的答案。
我们最近尝试了github。
与我们以前的git托pipe(这是在我们自己的linux虚拟服务器上)相比,我对安全性并没有太大的印象。 我们确实决定使用它,但只有在保持代码隐私的项目中才不是一个大问题。
即:
- 用户帐户没有公司控制权。 我们控制哪些用户有权访问我们的存储库,但没有密码策略,用户select他们自己的电子邮件地址等。
- 无法通过IP地址限制访问
- 密码只能由用户重置
- 妥协用户的电子邮件帐户(我们无法看到他们设置了什么帐户)也导致他们的github帐户的妥协,因为他们使用电子邮件挑战来重置被遗忘的密码。
- 没有访问日志(对于大多数或所有更改都有审计跟踪,但根本没有日志logging)
- 访问Web前端只有密码保护,所以很容易从其他网站的密码重用,并在某种程度上暴力强制(Github的声明,他们做失败login是相当不明确的)。
其中有一两个我们可以生存,但是它们基本上使得github完全不适合。
他们最近添加了两个身份validation,并且有一个API,这样组织至less可以检查访问其存储库的用户是否启用了两个身份validation。 虽然我不认为这是最好的解决scheme,但可能只是将github放到足够安全的位置,以便可以考虑用于私人回购。
正如mt3所指出的那样,你可以运行一个企业安装,这可能会大大提高安全性,但是这和标准的github公司账户之间的成本差异是惊人的,这可能意味着你错过了所有与第三方集成的工具github上。
在非安全性说明中,他们至less现在至less支持年度计费,这有助于减less文书工作开销。
GitHub最近宣布了具有额外function的新业务计划 – 这可以解决“1”/“4”/“5”。 (尽pipe其中的“正常运行时间保证”相当可笑 – 甚至不包括“四九”,并且排除了定期维护以及他们认为在“合理控制范围之外”的任何事情 – 这不是一个实际的保证,这只是一个小小的信贷你的下一张账单上限不超过你账单的三分之一,基本上是非常谨慎的营销黄鼠狼的话,而不是他们的任何承诺。
他们过去曾经发生过重大的安全事件: http : //www.h-online.com/security/news/item/GitHub-security-incident-highlights-Ruby-on-Rails-problem-1463207.html
坦率地说,我不会委托我想保密的代码(或任何其他敏感数据)到云端,除非它被encryption,只有我拥有密钥。
一段绳子有多长?
这是一个很难回答的问题。
看看他们的安全页面,他们似乎已经涵盖了几乎所有的东西,假设他们真的做了所有的东西。
你可能会认为把你的代码放在github上比把它放在内部服务器上更安全,许多公司没有github描述的那么好的安装或安全策略。 你的?
你也可以在你自己的服务器上运行Github的企业安装 。 5000美元/年的20个座位的许可证。
