¿Qué tan seguros y confiables son los sitios de alojamiento como sourceforge, github o bitbucket para proyectos de código cerrado? [cerrado]

Estoy considerando usar sourceforge, bitbucket o github para administrar el control de fuente para mi negocio. Tengo proyectos abiertos y participo en proyectos abiertos como gcc. Pero también tengo un negocio donde desarrollo software de código cerrado para mi vida.

¿Qué tan confiables son sourceforge, github o bitbucket en términos de mantener el software seguro de miradas indiscretas? ¿Qué tan estable es el hosting en términos de prevención de pérdida de datos? ¿Alguien por ahí basó su lógica de negocios con tal atuendo? ¿Alguien ha encuestado varias de las soluciones de alojamiento?

No hay una buena forma estándar de evaluar la seguridad de proveedores como este. La estabilidad se puede ver, de alguna manera, pero la seguridad es prácticamente imposible de evaluar desde el exterior.

De hecho, hablaría con los proveedores que está considerando acerca de sus garantías de seguridad y verificaría sus contratos; si no ofrecen ninguna garantía o si sus contratos están plagados de cláusulas de "no podemos ser responsables", entonces eso le dice cuán en serio se toman la seguridad y cuánta ayuda puede esperar si algo tiene forma de pera.

Además, no evalúe esto en el vacío: piense en lo que le tomaría ejecutar sus PROPIOS servidores, cuánto esfuerzo y sobrecarga requeriría, y cuán probable es que lo arruine (dejando un enorme agujero de seguridad) ) haciéndolo en casa.

Tenemos un proyecto de código cerrado alojado de tal manera.

Es ampliamente aceptado que robar código fuente no llevará a nadie demasiado lejos ( buen artículo aquí ). Bitbucket y Github viven de fuentes cerradas, por lo que tienen un imperativo natural para mantener las cosas lo más seguras posible (y minimizar la mala prensa).

Una nota es que de vez en cuando, el servicio se cae por un tiempo, probablemente (IMO) causado por el tráfico de código abierto.

Pero en general, hemos evaluado los pros y los contras, y estamos contentos.

ps Si no me equivoco, github ofrece una instancia de "nube privada" para clientes empresariales.

SourceForge ya no se considera confiable . Ha estado secuestrando cuentas y reemplazando paquetes de Windows con instaladores de adware (GIMP, nmap y otros). SourceForge también ha estado activo en el filtrado de usuarios de países específicos. Nada realmente impide que otros servicios de alojamiento interfieran con los instaladores de software, ya que aún no hemos visto que SF sea procesado legalmente. Advertencia emptor .

EDITAR: https://helb.github.io/goodbye-sourceforge/ es un buen recurso para la comparación de alojamiento (no estoy afiliado a ellos).

Hay una pregunta similar (con una respuesta escrita por mí) sobre Stack Overflow:
¿Qué tan seguro es alojar datos confidenciales en sitios de repositorio como github, bitbucket, etc.?

TL; DR:

• Al igual que con todo en la nube, no existe una garantía del 100% de que algún pirata informático no acceda a sus datos
  (por otro lado, eso también puede suceder cuando aloja sus cosas usted mismo)
• los proveedores de la nube pueden dejar de funcionar en cualquier momento. Es poco probable que esto le suceda a los grandes proveedores de código fuente mencionados, pero nunca se sabe
  : ¡es su responsabilidad hacer copias de seguridad de sus cosas regularmente!

Incluso cuando los proveedores son confiables, nunca se sabe a qué objetivos se dirigen los crackers y cualquier sitio abierto es crackable cuando existe la voluntad de hacerlo.

En mi empresa compramos GitHub Enterprise , que es nuestro propio github en nuestra intranet. Si te gusta GitHub y te tomas en serio mantener tu trabajo privado, este es probablemente el más seguro.

Algunas buenas respuestas ya cubren los aspectos técnicos de lo que le preocupa; no las reiteraré. En última instancia, en el caso de una "violación de seguridad", debe considerar el recurso legal que tiene. Cuáles son los términos de la licencia, en qué medida son responsables de los daños que sufra como resultado de una falla en el servicio, etc. Para su caso específico, ¿pueden los daños recuperarse en efectivo? También debe considerar qué tan segura es su alternativa. ¿Es menos probable que un servidor interno, presumiblemente conectado a Internet, se vea comprometido que Github? ¿Es lo suficientemente hábil y pone los recursos necesarios en su instalación para estar seguro?

Estoy trabajando con una organización que busca poner datos en la nube; sin embargo, los datos, aunque tienen un valor comercial limitado, son legalmente sensibles. Ninguna cantidad de daños en efectivo solucionaría una violación de seguridad. Como resultado, su medida de seguridad es "más segura que ejecutar sistemas internos". A esto le sigue la jurisdicción legal (la proporcionada debe responder al mismo sistema legal), en nuestro caso, el mismo país, ya que estarían sujetos a las mismas leyes con respecto a la seguridad de los datos, la privacidad, etc., y es probable que una violación responda en un caso penal, no solo tribunales civiles. Las disputas legales transfronterizas deben evitarse a toda costa, al igual que las quejas penales transfronterizas.

Uno de los beneficios de git es que es peer-to-peer, por lo que en realidad no necesita un VCS maestro, aunque muchas compañías (incluida la mía) usan github como repositorio maestro.

Puede asignar acceso a personas (ya sea de solo lectura o de lectura / escritura) y definir a las personas como administradores también, de modo que tenga un grado justo de control de acceso.

Github hace "hipo" ocasionalmente (unicornios enojados) pero generalmente es bastante estable, y nunca hemos tenido ningún problema con la pérdida de datos; pero también tienes opciones de respaldo

¿Por qué no está considerando poner su código fuente en una caja local que mantiene y realiza una copia de seguridad? Esto podría lograrse mediante subversion / Tortoise-SVN con bastante facilidad y evitaría la necesidad de utilizar un repositorio distribuido a menos que, por supuesto, eso sea lo que necesita.