web-dev-qa-db-ja.com

github、bitbucketなどのリポジトリサイトで機密データをホストするのはどの程度安全ですか?

これは好奇心からの質問です。 Github、BitbucketなどのリポジトリWebサイトで機密データをホストすることは、一般的にどの程度安全であると思いますか?ローカルマシン上のすべてのコードを削除して、そこにすべて保存するだけで十分ですか?会社の秘密を守るという意味での安全はどうですか?これらのサイトはGoogleやYahooなどの大企業がサービスを利用していると宣伝していますが、これらの大企業は実際に企業秘密や重要な会社コードをこのようなWebサイトに保存していますか?

Githubにはページ( http://help.github.com/security )があり、これには興味深い情報が含まれています。これは、私が説明したように馬鹿げた証拠としてマーケティングしていることを示しています。しかし実際には、Googleのような大企業は、自社の機密情報と大量のコードがこのようなサイトでのぞき見や悲惨な出来事から本当に安全であることを本当に知っていますか?

securitygithubversion-controlrepositorybitbucket
53
alien

いつものように、それは依存します:-)

「安全」には2つの異なる意味があります。

  1. ホスティング業者が私のもの(知的財産、会社の秘密など)を非公開にしておくことを信頼できますか?
  2. ホスティング業者が突然サービスを停止した場合、コードはどうなりますか?

1.の場合、100%の保証はありません。
もちろん、GitHubやBitbucketなどの大規模なホスティング業者は意図的にサードパーティとコードを共有しませんが、一部のハッカーがプライベートリポジトリのコンテンツを取得する可能性は常にあります。
(会社内でコードをホストしている場合にも発生する可能性がありますが、会社がGoogleなどとして知られている場合を除いて、可能性は低いです。誰かがあなたの会社を攻撃しようとする確率は、有名なパブリックホスティング業者を攻撃しようとする確率よりはるかに小さいです。

さらに、ホスティング事業者が居住する国の法律を考慮する必要があります。
数週間前に、あなたのホスティング業者が米国にいる場合、特定の状況下では、ホスティング業者が法律によってあなたのデータを米国政府に提供することを強制される可能性があり、そのことについてあなたに話すことさえ許可されないことをどこかで読みました(私は法律の名前を覚えていませんが、多分誰かが知っています)。

これにより、ほとんどの「大企業」はしないようになります(私の会社は中規模であり、コードもプライベートです)。

ちなみに、あなたがグーグルについて述べたように:
特にGoogleはBitbucketやGitHubを使用しないと確信しています。彼らは プロジェクトホスティングのための完全なインフラストラクチャ を持っているので、内部でも使用していると思います。なぜ外部サービスを使用する必要があるのですか?それは雲の中にあります、はい...しかし、それはそれらの雲です。

2.に関して:GitHubやBitbucketが明日倒産する可能性は低いですが、あなたにはわかりません。
IMOコードのバックアップを自分で作成するのはユーザーの責任です。
DVCSの性質上、コードのローカルコピーがいくつかあることを確認しますが、すべてのプロジェクトの最新バージョンを探すために多くの開発者用マシンを検索するのは難しい場合があります。
これを行うには、すべてのリポジトリをローカルマシンに定期的にプルします(私は、プライベートプロジェクトで使用するBitbucketでこれを実行できる tool を作成しました)

45
Christian Specht

重要な質問の1つは、管理アクセス権を持つユーザーです。その人またはそれらの人はいつでもあなたのデータを読み取ることができ、潜在的にこれを意図的にまたは知らずに第三者に漏らしたり、自分の娯楽や教育のためにそれを読んだりする可能性があります。これは、ホステッドサービスの問題だけでなく、自社内にデータを保存する場合の問題でもあります。しかし、少なくともあなたはその人を知っています。中小企業の場合、管理パスワードはビジネスオーナーの手に渡る可能性があります。

主なポイントは、公開コードホスティング会社が非常に大きなターゲットであるということです。このような大きなコードリポジトリをハッキングすることで得られることはたくさんあります。これは政府機関にとって非常に興味深いターゲットであり、非常に大きいため、家に帰る途中ですべてのデータが入ったUSBスティックを使用するホスティング会社に内部関係者を連れて行くだけです。これは、管理職に応募するだけで簡単で、すべてのメリットを享受できます。誰かがそれについて自慢したくない限り、予想される痕跡がないからといって、これについてニュースが見られることはないと思います。私の知る限り、ホスティング会社は政府機関のようなセキュリティクリアランスを必要としません。そして、これらすべてがステルスモードになるという事実は、ホスティング会社に実際に何かを実行するよう圧力をかけることはほとんどありません。

1
Christian S.

記録のために:まず、リポジトリはバックアップであり、後でセキュリティについてです。

これまでのところ、GitHubまたはBitbucketに関連するセキュリティ侵害はまだ確認されていません。したがって、経験的に言えば、それらは安全です。

ただし、私たちは情報を民間企業に提示しているため、たとえばGithubの従業員が私たちのものをコピーすることを決定するなど、リスクがあります。

ただし、リポジトリは主にバックアップであることを忘れないでください。リソースを所有している場合は、プライベートサーバーを使用しても問題ありません。ただし、サーバーの場所も考慮する必要があります。同じ場所にある場合、洪水、火災、Thunderboltなど、すべての情報が失われる可能性があります。したがって、リモートリポジトリは非常に優れています。

リモートリポジトリを使用する場合は、あまり明確にしないでください。あなたがコカコラコーポレーションであり、重要なプロジェクトを管理したい場合は、ビジネスの名前でアカウントを作成せず、プロジェクトをIMPORTANT_SECRET_VITAL_FOR_COCACOLAとして呼び出さないでください。PROJECT1とだけ呼んでください。ハッカーが攻撃した場合は、それは気にしません。

0
magallanes