हमने हाल ही में जिथब की कोशिश की।
हमारे पिछले गिट होस्टिंग (जो हमारे अपने लिनक्स आभासी सर्वर पर था) की तुलना में, मैं सुरक्षा से अत्यधिक प्रभावित नहीं हूं। हमने इसका इस्तेमाल करने का फैसला किया, लेकिन केवल उन परियोजनाओं के लिए जहां कोड निजी रखना बहुत बड़ी चिंता नहीं थी।
अर्थात्
:
- वहाँ कम से सभी उपयोगकर्ता खातों पर कोई कंपनी नियंत्रण है। हम पर नियंत्रण है जो उपयोगकर्ताओं को हमारे भंडार के लिए उपयोग किया, लेकिन कोई पासवर्ड नीतियों है, उपयोगकर्ता अपनी निजी ईमेल पते लेने आदि
- आईपी पते से पहुँच को सीमित करने का कोई तरीका नहीं है
- पासवर्ड केवल उपयोगकर्ता
द्वारा रीसेट किया जा सकता
- उपयोगकर्ताओं के ईमेल खाते से समझौता करना (जिसे हम यह देखने में असमर्थ हैं कि उन्होंने इसे किस खाते में सेट किया है) के परिणामस्वरूप उनके जीथब खाते की समझौता भी होती है, क्योंकि वे भूल गए पासवर्ड रीसेट करने के लिए ईमेल चुनौती का उपयोग करते हैं।
- कोई एक्सेस लॉग नहीं है (अधिकांश या संभवतः सभी परिवर्तनों के लिए ऑडिट ट्रेल है, लेकिन एक्सेस के लिए कोई लॉगिंग नहीं है)
- वेब फ्रंट एंड तक पहुंच केवल पासवर्ड सुरक्षित है, इसलिए पासवर्ड से पुन: उपयोग करने के लिए कमजोर है साइट्स और कुछ हद तक ब्रूट फोर्सिंग (गिटूब का बयान असफल लॉग इन के लिए जो कुछ करता है उसके बारे में बहुत अस्पष्ट है)।
इनमें से एक या दो हम जीवित रह सकते हैं, लेकिन संयोजन में वे मूल रूप से पूरी तरह से अनुपयुक्त बनाते हैं।
उन्होंने हाल ही में 2 कारक प्रमाणीकरण जोड़े हैं, और एक एपीआई है ताकि संगठन कम से कम जांच कर सकें कि उपयोगकर्ताओं को उनके भंडारों तक पहुंच के साथ दो कारक प्रमाणीकरण सक्षम हैं या नहीं। जबकि मुझे नहीं लगता कि यह वास्तव में सबसे अच्छा समाधान है, शायद यह केवल जिथब को सुरक्षित रखने में सक्षम है कि इसे निजी रिपो के लिए माना जा सकता है।
mt3 नोट्स के रूप में, आप इसके बजाए एंटरप्राइज़ इंस्टॉल चला सकते हैं, जो संभावित रूप से सुरक्षा में सुधार करता है - लेकिन उस मानक गिटब कंपनी खाते के बीच लागत अंतर चौंकाने वाला है, और इसका मतलब यह होगा कि आप सभी तीसरे पक्ष को याद करते हैं उपकरण जो github के साथ एकीकृत करते हैं।
गैर-सुरक्षा नोट पर, वे कम से कम वार्षिक बिलिंग का सही ढंग से समर्थन करते हैं, जो पेपरवर्क ओवरहेड को कम करने में मदद करता है।
गिटहब ने हाल ही में announced new business plans with extra features - यह '1'/'4'/'5' को हल कर सकता है। (हालांकि 'अपटाइम गारंटी' का हिस्सा यह है कि यह बहुत हंसने योग्य है - यहां तक कि "चार 9 एस" भी नहीं, और अनुसूचित रखरखाव और कुछ भी उन्हें 'उनके उचित नियंत्रण के बाहर' समझा जाता है - और यह वास्तविक गारंटी नहीं है, यह सिर्फ एक छोटा सा क्रेडिट है अगले बिल में जो छाया हुआ है अपने बिल का एक तिहाई से अधिक नहीं होना करने के लिए मूल रूप से बहुत सावधानी से उन लोगों से प्रतिबद्धता के किसी भी प्रकार के बजाय विपणन weasel शब्द शब्दों में)
हाँ मुझे यकीन नहीं था कि इस प्रश्न को वास्तव में कहां फेंकना है। –
"पैच ओएस" (http://help.github.com/security से) मुझे लगता है कि उन्होंने अपनी सुरक्षा को बर्बाद कर दिया है। अन्य सभी सुरक्षा के साथ परेशान क्यों हैं यदि वे एक कस्टम पैच लिखने जा रहे हैं, जो संभवत: उनके द्वारा तय किए जाने से अधिक बग है। –
@ कोरोनाटस और यह कहां कहता है कि उन्होंने पैच को कस्टम बनाया है? यह शायद ओएस से नवीनतम पैच। नवीनतम, सबसे सुरक्षित संस्करण के रूप में। – alternative