1. Inicio
  2. Pregunta y respuesta
  3. ¿Se puede confiar en los hosts de terceros para la gestión de código fuente privada/de código cerrado?

¿Se puede confiar en los hosts de terceros para la gestión de código fuente privada/de código cerrado?

2009-06-03 10 views
5

Para muchas empresas, el código fuente de su proyecto es muy valioso para ellos: el robo del código fuente podría ser muy costoso. Mantener el código fuente estrictamente controlado en una red local es una forma de ayudar a protegerlo.¿Se puede confiar en los hosts de terceros para la gestión de código fuente privada/de código cerrado?

Sin embargo, existen ventajas de alojar código fuente externamente, ya sea simplemente un servidor subversion o git alojado en dreamweaver, o una solución completa como github o cvsdude.

En la mayoría de estos casos, existe la posibilidad de que un empleado u otra información privilegiada podrían acceso al código fuente completo de su compañía y de la historia, aunque, presumiblemente, este riesgo es relativamente pequeño.

¿Son estos temores reales, o las empresas no deben preocuparse por ellos y en su lugar hacer uso de las ventajas de los hosts de terceros?

¿Hay alguna gran empresa exitosa actualmente alojando su repositorio privado en uno de los sitios web de administración de código fuente de terceros?

Fuente

2009-06-03 travis-146

+0

Esta cuestión parece ser fuera de tema, ya que se trata de la seguridad de TI, y no sobre programación Pertenece a [security.se]. –

Respuesta

13

Creo que todo depende de cuánto se sienta cómodo una empresa de outsourcing. Hay muchas piezas de trabajo de IP comunes para subcontratar. Éstos son algunos, junto con los riesgos para la IP:

  • Desarrollo: los programadores del contrato pueden saber mucho sobre su IP
  • Hosting: Su servidor web tiene todo el código
  • Contabilidad: Contadores conocer toda la detalles sobre sus finanzas
  • Legal: Los abogados conocen todos los detalles sobre adquisiciones, patentes presentadas previamente, etc.
  • Fabricación: Los fabricantes por contrato tienen toda la IP relacionada con la producción de su producto
  • Email: Outsourcing Email da su anfitrión una única base de datos con todas sus comunicaciones
  • Telefonía: La compañía telefónica podría husmear en sus líneas

Básicamente, el alojamiento de código fuente no es diferente a la externalización de cualquier otra pieza de la pila IP, excepto que es más reciente para que las personas no hayan tenido tiempo para adaptarse. Cada empresa tiene un equilibrio diferente de comodidad que externaliza cada parte de la pila, pero la realidad es que cada cosa que subcontrata es una oportunidad para que alguien robe su IP. En última instancia, se reduce a encontrar un proveedor confiable. Incluso la notoriamente paranoica Apple ha encontrado socios de fabricación para producir su hardware.

IMNSHO la razón para externalizar el alojamiento de código fuente es la misma razón por la que una empresa subcontrata algo: no es su actividad principal. Terciar el alojamiento de sus repositorios durante un año puede costar lo mismo que 2-3 horas del tiempo de un desarrollador; si gasta más tiempo que eso en un año manteniendo el repositorio, esencialmente ha perdido dinero. (Esto es cierto incluso si no se le paga por hora porque solo puede robar muchos de sus fines de semana antes de que se tome el tiempo necesario para pasar más tiempo de trabajo en Twitter).

Descargo de responsabilidad: Trabajo para ProjectLocker, una empresa de alojamiento de código fuente.

Fuente

2009-06-03 23:58:59 runako

3

Presumiblemente, si la empresa infringe sus términos de servicio y roba o expone su propiedad intelectual, puede iniciar acciones legales en su contra.

Fuente

2009-06-03 23:19:06 Rob

+1

Si bien esto es cierto, esto no necesariamente convence a los jefes. Por ejemplo, Jeffrey Hardy de 37signals dijo: "Hospedamos internamente todo el código fuente de nuestras aplicaciones por razones obvias de seguridad. Eso no quiere decir que el alojamiento de repositorios privados de Github no sea una buena opción, especialmente si desea una configuración sin problemas. Simplemente no es para nosotros ". –

+0

No, estoy bastante de acuerdo; El problema es que si el IP está expuesto, entonces, una acción legal segura puede ayudar, pero si el asunto está en la naturaleza, vas a sufrir alguna pérdida de material. – Rob

+0

Si realmente hay algunas consecuencias de la divulgación, entonces ocurrirán con bastante rapidez y, en la mayoría de los casos, dudo que una acción legal pueda revertirlas de manera efectiva. Una gran cantidad de código fuente no es tan valioso en sí mismo: el código es confidencial porque el cliente lo quiere de esa manera, por lo que cualquier fuga es una brecha de confianza entre usted, independientemente de si se utiliza la contratación externa. –

3

francamente no veo ninguna ventaja en el almacenamiento del precioso código de su empresa en un servidor de terceros, solo posibles problemas ... Puede haber tantos escenarios de miedo que ni siquiera trataré de imaginarlos a todos.

Además del esfuerzo de instalar y mantener, por ejemplo, un servidor SVN es bastante reducido, también el costo de tener un servidor dedicado para este propósito, así que no veo ninguna razón para no almacenar su propio código.

Es posible que se vea obligado a utilizar un tercero en caso de que no tenga las habilidades, o el dinero para comprar un servidor o lo que sea, pero elegir esta opción a propósito ... es un claro NO-NO para mí .

Fuente

2009-06-03 23:43:09 Billy

+1

+1, el código fuente es crítico para su negocio. ¿Por qué le gustaría dejar que un tercero lo administre si no es necesario? – Michael

+5

Mantener las copias de seguridad adecuadas es mucho más difícil y más costoso de lo que la mayoría de la gente piensa. Si usted es un pequeño taller de desarrollo sin personal de sistemas dedicado, lo más probable es que no tenga las copias de seguridad adecuadas. Las probabilidades son que un host comercial sí. ¿Cuál es su plan de recuperación de desastres? –

+0

Una ventaja de la muestra para no hacerlo usted mismo: la matriz RAID de su servidor falla. Pasas 3 horas instalando una unidad de reemplazo y reconstruyendo la matriz. No estaba facturando a su cliente durante esas 3 horas, por lo que está fuera de 3 horas facturables. Seguramente eso vale algo? – runako

1

Cualquier relación comercial requiere cierto nivel de confianza. Si no desea hacerlo usted mismo, ya que puede ser más costoso hacerlo, tendrá que confiar en alguien, lo hacemos todo el tiempo.

Puede, como se ha mencionado, cubrir algunos de los riesgos, asegurando un acuerdo firme de la confidencialidad y la responsabilidad existe, que sus abogados pueden estar seguros de un caso de mates para recuperar los daños. Nunca puede eliminar el riesgo al tratar con terceros que no están bajo su control. De hecho, la mayoría de las compañías nunca aceptarán ser responsables de los problemas.

Si no puede hacer frente al riesgo, o correr el riesgo, sólo debe hacerlo en casa en vez de mirar a demandar si algo sucede.

Fuente

2009-06-03 23:44:07 Kekoa

0

Tal vez, pero la confianza no puede basarse en nada formal. Por ejemplo, GitHub Términos de Servicio (https://help.github.com/articles/github-terms-of-service) no mencionan las palabras "privado", "confidencial" o "seguro" que no sea

GitHub does not warrant that 
(i) the service will meet your specific requirements, 
(ii) the service will be uninterrupted, timely, secure, or error-free, 
...

Fuente

2014-06-20 13:47:17 prototype

Cuestiones relacionadas

 Cuestiones relacionadas