निजी भंडारों के लिए जिथब होस्टिंग कितना सुरक्षित होगा?

मैंने this thread पढ़ा है, लेकिन मुझे आश्चर्य है कि इस तरह का समाधान कितना सुरक्षित होगा? मुझे पता है कि जिथब एसएसएच/एसएसएल समर्थन प्रदान करता है और परिचित हूं लेकिन क्या कोई मुझे यह सुनिश्चित करने के लिए किस तरह की आंतरिक सुरक्षा का उपयोग करेगा, यह सुनिश्चित करने के लिए कि मेरी प्रतिबद्ध conf/credential फ़ाइलों को हैक नहीं किया जा सकता है?निजी भंडारों के लिए जिथब होस्टिंग कितना सुरक्षित होगा?

संपादित: मैं http://help.github.com/security/ पढ़ा है, लेकिन मैं कोई है जो एक से अधिक भंडार मेजबानों के साथ काम किया है और इस के साथ वास्तविक दुनिया अनुभव है है से उत्तर चाहता है।

स्रोत

2010-10-21 meder omuraliev

हाँ मुझे यकीन नहीं था कि इस प्रश्न को वास्तव में कहां फेंकना है। –

"पैच ओएस" (http://help.github.com/security से) मुझे लगता है कि उन्होंने अपनी सुरक्षा को बर्बाद कर दिया है। अन्य सभी सुरक्षा के साथ परेशान क्यों हैं यदि वे एक कस्टम पैच लिखने जा रहे हैं, जो संभवत: उनके द्वारा तय किए जाने से अधिक बग है। –

@ कोरोनाटस और यह कहां कहता है कि उन्होंने पैच को कस्टम बनाया है? यह शायद ओएस से नवीनतम पैच। नवीनतम, सबसे सुरक्षित संस्करण के रूप में। – alternative

स्ट्रिंग का एक टुकड़ा कितना समय है?

यह उत्तर देने के लिए एक बहुत कठिन सवाल है।

उनके security page पर देखकर उन्हें लगता है कि वे वास्तव में सभी चीजें करते हैं, मानते हैं कि वे सबकुछ बहुत अधिक करते हैं।

आप तर्क दे सकते हैं कि गिटूब पर अपना कोड डालने से इन-हाउस सर्वर पर संग्रहीत होने से कहीं अधिक सुरक्षित है, कई कंपनियों को गिटूब वर्णन के रूप में एक सेटअप या सुरक्षा नीतियों के रूप में अच्छा नहीं होगा। क्या तुम्हारा

स्रोत

2010-10-21 23:10:16 mpe

मुझे लगता है कि गिटहब किसी भी अनधिकृत डेटा पहुंच (उनकी शर्तों के खंड G.13) के लिए कोई कानूनी ज़िम्मेदारी स्वीकार नहीं करता है। यह निराशाजनक है लेकिन कुछ हद तक समझ में आता है। कानूनी देयता स्वीकार करने के बदले में, मैं उन्हें अपने रैकस्पेस, एनजेन्यूटी और मटासैनो सुरक्षा लेखा परीक्षा के परिणामों को प्रकाशित करना चाहता हूं, ताकि हम पुष्टि कर सकें कि वे जो भी वर्णन कर रहे हैं वे कर रहे हैं। – Raman

वे वास्तव में ऐसा नहीं करते हैं जो सुरक्षा पृष्ठ कहता है। उदाहरण के लिए, मुद्दों के अनुलग्नक बिल्कुल निजी नहीं हैं - http://wishmesh.com/2017/03/attachments-from-githubs-private-issue-trackers-can-be-viewed-without-any-authentication/ –

आप अपने स्वयं के सर्वर पर गिथब के Enterprise installation भी चला सकते हैं। 20 सीट लाइसेंस के लिए $ 5000/वर्ष।

स्रोत

2011-09-19 15:25:40 mt3

हमने हाल ही में जिथब की कोशिश की।

हमारे पिछले गिट होस्टिंग (जो हमारे अपने लिनक्स आभासी सर्वर पर था) की तुलना में, मैं सुरक्षा से अत्यधिक प्रभावित नहीं हूं। हमने इसका इस्तेमाल करने का फैसला किया, लेकिन केवल उन परियोजनाओं के लिए जहां कोड निजी रखना बहुत बड़ी चिंता नहीं थी।

अर्थात्

वहाँ कम से सभी उपयोगकर्ता खातों पर कोई कंपनी नियंत्रण है। हम पर नियंत्रण है जो उपयोगकर्ताओं को हमारे भंडार के लिए उपयोग किया, लेकिन कोई पासवर्ड नीतियों है, उपयोगकर्ता अपनी निजी ईमेल पते लेने आदि
आईपी पते से पहुँच को सीमित करने का कोई तरीका नहीं है
पासवर्ड केवल उपयोगकर्ता
उपयोगकर्ताओं के ईमेल खाते से समझौता करना (जिसे हम यह देखने में असमर्थ हैं कि उन्होंने इसे किस खाते में सेट किया है) के परिणामस्वरूप उनके जीथब खाते की समझौता भी होती है, क्योंकि वे भूल गए पासवर्ड रीसेट करने के लिए ईमेल चुनौती का उपयोग करते हैं।
कोई एक्सेस लॉग नहीं है (अधिकांश या संभवतः सभी परिवर्तनों के लिए ऑडिट ट्रेल है, लेकिन एक्सेस के लिए कोई लॉगिंग नहीं है)
वेब फ्रंट एंड तक पहुंच केवल पासवर्ड सुरक्षित है, इसलिए पासवर्ड से पुन: उपयोग करने के लिए कमजोर है साइट्स और कुछ हद तक ब्रूट फोर्सिंग (गिटूब का बयान असफल लॉग इन के लिए जो कुछ करता है उसके बारे में बहुत अस्पष्ट है)।

इनमें से एक या दो हम जीवित रह सकते हैं, लेकिन संयोजन में वे मूल रूप से पूरी तरह से अनुपयुक्त बनाते हैं।

उन्होंने हाल ही में 2 कारक प्रमाणीकरण जोड़े हैं, और एक एपीआई है ताकि संगठन कम से कम जांच कर सकें कि उपयोगकर्ताओं को उनके भंडारों तक पहुंच के साथ दो कारक प्रमाणीकरण सक्षम हैं या नहीं। जबकि मुझे नहीं लगता कि यह वास्तव में सबसे अच्छा समाधान है, शायद यह केवल जिथब को सुरक्षित रखने में सक्षम है कि इसे निजी रिपो के लिए माना जा सकता है।

mt3 नोट्स के रूप में, आप इसके बजाए एंटरप्राइज़ इंस्टॉल चला सकते हैं, जो संभावित रूप से सुरक्षा में सुधार करता है - लेकिन उस मानक गिटब कंपनी खाते के बीच लागत अंतर चौंकाने वाला है, और इसका मतलब यह होगा कि आप सभी तीसरे पक्ष को याद करते हैं उपकरण जो github के साथ एकीकृत करते हैं।

गैर-सुरक्षा नोट पर, वे कम से कम वार्षिक बिलिंग का सही ढंग से समर्थन करते हैं, जो पेपरवर्क ओवरहेड को कम करने में मदद करता है।

गिटहब ने हाल ही में announced new business plans with extra features - यह '1'/'4'/'5' को हल कर सकता है। (हालांकि 'अपटाइम गारंटी' का हिस्सा यह है कि यह बहुत हंसने योग्य है - यहां तक कि "चार 9 एस" भी नहीं, और अनुसूचित रखरखाव और कुछ भी उन्हें 'उनके उचित नियंत्रण के बाहर' समझा जाता है - और यह वास्तविक गारंटी नहीं है, यह सिर्फ एक छोटा सा क्रेडिट है अगले बिल में जो छाया हुआ है अपने बिल का एक तिहाई से अधिक नहीं होना करने के लिए मूल रूप से बहुत सावधानी से उन लोगों से प्रतिबद्धता के किसी भी प्रकार के बजाय विपणन weasel शब्द शब्दों में)

स्रोत

2011-11-04 15:41:28 JosephH

गिटहब वास्तव में आपको वार्षिक बिलिंग में चुनने की अनुमति देता है: https://help.github.com/articles/does-github-provide-invoicing –

बहुत उपयोगी पोस्ट, धन्यवाद। –

गिटलैब कम लागत पर और ओपन सोर्स कार्यान्वयन के साथ गिटहब को समान क्षमताओं को प्रदान करता प्रतीत होता है। उनके पास एक निःशुल्क संस्करण है जिसे आप स्वयं होस्ट कर सकते हैं, या एंटरप्राइज़ संस्करण $ 39/उपयोगकर्ता/वर्ष पर कर सकते हैं। (मैंने गिटहब का उपयोग किया है, लेकिन केवल गिटलैब वेबसाइट को ब्राउज़ किया है, कोई व्यक्तिगत अनुभव नहीं है।) – yoyo

वे अतीत में प्रमुख सुरक्षा की घटनाओं लिया है:।। http://www.h-online.com/security/news/item/GitHub-security-incident-highlights-Ruby-on-Rails-problem-1463207.html

सचमुच, मैं कोड को सौंपा नहीं चाहता हूं, जब तक कि यह एन्क्रिप्ट नहीं किया जाता है और केवल मैं कुंजी पकड़ता हूं, तब तक मैं क्लाउड को निजी (या कोई अन्य संवेदनशील डेटा) रखना चाहता हूं।

स्रोत

2013-10-31 01:11:16

यह ध्यान देने योग्य है कि कुंजीबेस ने बिल्कुल यह पेश किया: क्लाउड की सुविधा और एन्क्रिप्शन की सुरक्षा: https://keybase.io/blog/encrypted -git-सभी के लिए –

निजी भंडारों के लिए जिथब होस्टिंग कितना सुरक्षित होगा?

उत्तर

संबंधित मुद्दे