Questão:
Os repositórios git privados são seguros?
Krzysztof Wende
2014-05-28 00:20:54 UTC
view on stackexchange narkive permalink

Ouvi de várias pessoas que servidores de repositório privado como o BitBucket não são realmente seguros. Já ouvi rumores de que códigos foram roubados e usados ​​por pessoas até mesmo em repositórios privados.

É verdade? Há alguma evidência de que casos como esse poderiam ter acontecido?

em vez de usar um repositório git de terceiros, você também pode hospedar o seu próprio ... https://www.digitalocean.com/community/tutorials/how-to-set-up-a-private-git-server-on-a-vps isso o tornará tão seguro quanto sua conexão SSH e a segurança física do próprio servidor
O Gitlab pode ser mais seguro, pois é de código aberto com uma comunidade ativa.
Dois respostas:
tylerl
2014-05-28 00:42:52 UTC
view on stackexchange narkive permalink

Um repositório git consiste apenas em arquivos. Então você está perguntando " Os arquivos privados são seguros? ", para o qual a resposta é " você está fazendo a pergunta errada ".

Um git repositório é exatamente tão seguro quanto o local onde ele está sendo armazenado para você. Nem mais nem menos. Se for o GitHub, é exatamente tão seguro quanto o GitHub. E antes que você pergunte o quão seguro é o GitHub: ninguém sabe a resposta além deles.

A mesma história para BitBucket, Gitorius, Dropbox, Google Apps, Microsoft OneDrive e literalmente em qualquer outro lugar onde você possa armazenar arquivos (incluindo seu repositório Git): Ninguém pode dizer o quão seguro eles são, porque ninguém sabe, exceto o fornecedor. E o fornecedor sempre diz isso está seguro.

Se você for paranóico, mantenha seus arquivos em seu disco rígido. Em um colchão. Enterrado atrás do galpão.

1 embora discorde sobre a parte "mas eles" de "ninguém sabe a resposta além deles". Eles podem pensar que tudo está seguro, ter políticas sensatas, proteção de informações e fazer o melhor para manter os dados privados privados. Mas eles podem usar algum tipo de software explorável em sua pilha ou empregar algum indivíduo antiético que explora falhas nas políticas internas. Considere, por exemplo, Edward Snowden vazando informações privadas da NSA que ele não deveria ter tido permissão para acessar. Imagino que a NSA tenha políticas mais rígidas sobre informações privadas do que o github.
@drjimbob Eu concordaria que tecnicamente * ninguém sabe nada *, mas "eles" têm informações que você não tem sobre sua segurança, políticas, motivações, etc., o que os coloca (e definitivamente não você) na melhor posição para fazer avaliações. É isso que estou tentando dizer.
Uma coisa é o que o fornecedor diz e outra - o que o fornecedor faz.Por exemplo, os anexos dos problemas não são seguros de todo: http://wishmesh.com/2017/03/attachments-from-githubs-private-issue-trackers-can-be-viewed-without-any-authentication/
@MarisB.É difícil fazer ACLs em um CDN, então URLs obscuros costumam ser usados como substitutos, assumindo que o risco de exposição é baixo.Eles intencionalmente fizeram uma troca de segurança de que você não gosta, mas isso não significa que ela esteja quebrada.Significa apenas que o rastreador de problemas não foi projetado para oferecer uma proteção tão forte quanto você deseja.
@tylerl.Se eles documentarem isso (falta de ACLs) nas páginas de documentação / ajuda, não vejo o problema.Os usuários devem saber o quão seguros são os repositórios privados.
Alguém pode rastrear os commits até minha máquina ou diretório de onde estou enviando os commits ??Em palavras simples, é possível obter acesso a uma máquina específica a partir do repositório Git?
Uma boa resposta incluiria se as empresas que hospedam seu repo podem ver o código legalmente a partir de seus TOS
A criação de um repositório criptografado resolveria quaisquer problemas de segurança latentes?
Sailab Rahi
2019-05-11 14:24:18 UTC
view on stackexchange narkive permalink

Tecnicamente, os fornecedores "Github, GitLab, Bitbucket etc." tenha acesso a todas as suas fontes em "Seu Repo" porque é "Servidor deles" e "SaaS deles".

Servidor:

O fornecedor provavelmente tem acesso root aos servidores onde seus repositórios públicos ou privados estão armazenados. >

SaaS

É o software do fornecedor que você assinou. Eles apenas deram um significado diferente. Assuma sua conta do Facebook.

O que sua resposta adiciona à resposta já existente?
É uma resposta rápida e mais clara.Você também não precisa ser técnico.


Estas perguntas e respostas foram traduzidas automaticamente do idioma inglês.O conteúdo original está disponível em stackexchange, que agradecemos pela licença cc by-sa 3.0 sob a qual é distribuído.
Loading...