Probamos github recientemente.
En comparación con nuestro alojamiento anterior de git (que estaba en nuestro propio servidor virtual de Linux), no estoy demasiado impresionado con la seguridad. Decidimos usarlo, pero solo para proyectos donde mantener el código privado no era una gran preocupación.
A saber:
- No hay control de la empresa en todas partes las cuentas de usuario. Podemos controlar qué usuarios tienen acceso a nuestro repositorio, pero no hay políticas de contraseñas, los usuarios eligen sus propias direcciones de correo electrónico, etc.
- No hay manera de limitar el acceso por dirección IP
- contraseñas sólo se puede restablecer por el usuario
- Comprometerse con la cuenta de correo electrónico de los usuarios (que no podemos ver en qué cuenta lo han configurado) también da como resultado un compromiso de su cuenta de github, ya que usan un correo electrónico para restablecer las contraseñas olvidadas.
- No hay registros de acceso (hay una pista de auditoría para la mayoría o, posiblemente, todos los cambios, pero ninguna explotación forestal para el acceso)
- El acceso a la interfaz web sólo es protegido por contraseña, por lo que es vulnerable a la reutilización de contraseñas de otros sitios y, hasta cierto punto, a la fuerza bruta (la declaración de github sobre lo que hacen por los inicios de sesión fallidos es bastante poco clara).
Uno o dos de estos podríamos vivir, pero en combinación básicamente hacen que github sea completamente inadecuado.
Han agregado la autenticación de 2 factores recientemente, y hay una API para que las organizaciones puedan al menos verificar si los usuarios con acceso a sus repositorios tienen activada la autenticación de dos factores. Aunque no creo que esta sea realmente la mejor solución, es probable que Github se convierta en algo suficientemente seguro como para considerarlo para repositorios privados.Como mt3 notas, puede ejecutar una instalación empresarial en su lugar, lo que presumiblemente mejora significativamente la seguridad, pero la diferencia de costo entre eso y una cuenta estándar de la compañía github es asombrosa, y probablemente significaría que se perderá todo el tercero. herramientas que se integran con github.
En una nota no la seguridad, lo hacen por lo menos ahora admiten la facturación anual correctamente, lo que ayuda a reducir la sobrecarga de papeleo.
GitHub han announced new business plans with extra features recientemente - esto podría resolver '1'/'4'/'5'. (Aunque la 'garantía de tiempo de actividad' que es parte es bastante ridícula, ni siquiera "cuatro nueve", y excluye el mantenimiento programado y cualquier cosa que consideren 'fuera de su control razonable') y no es una garantía real, es solo un pequeño crédito contra su próxima factura que tiene un límite de no más de un tercio de su factura. Básicamente palabras de comadreja de marketing muy cuidadosamente redactadas en lugar de cualquier tipo de compromiso de ellas.)
Sí, no estaba seguro de dónde lanzar esta pregunta. –
"parched OS" (de http://help.github.com/security) es suficiente para hacerme pensar que arruinaron su seguridad. ¿Por qué molestarse con todas las otras medidas de seguridad si van a escribir un parche personalizado que probablemente tenga más errores de los que creen que arreglaron? –
@ Coronatus y ¿dónde dice que hicieron los parches personalizados? Probablemente sean los últimos parches del sistema operativo. Como en la última versión más segura. – alternative