GitHub 或 Coding.net 这类代码托管网站,怎样保证代码安全?

2016-03-02 17:36:19 +08:00
 zpvip
从界面上来看,私有代码对公众不可见,但从技术上来讲,必须以不加密的方式以 Repository 为文件夹存在服务器上。

如果哪天服务器爆一个 0day 漏洞,别人把服务器打包下载了,这些代码不就被人拿来卖了吗?他们网站都没有就安全工作做更多说明。

就算不被攻破,如果潜入一两个没有职业操守的员工,也可以把服务器上的代码打包带走,作为程序员,他们可以随便把几个私有项目改头换面闭源发布,一下就成为别人的竞争者。

没有绝对安全,大家怎么看?
4079 次点击
所在节点    问与答
17 条回复
lebowsk1s
2016-03-02 17:51:50 +08:00
理论上你自己建私有服务器也不安全,除非断网环境存代码
movtoy
2016-03-02 17:53:35 +08:00
你最后一句已经回答了,大家还有什么看法?
neilp
2016-03-02 18:22:06 +08:00
有一种东西叫 法律
cnnblike
2016-03-02 19:09:56 +08:00
所以得自己建 gitlab 才好啊。我之前 coding.net 上的 repo 突然就传不了东西了,最后他们给我的建议是:把 project 删除了再重建
loading
2016-03-02 19:14:45 +08:00
卧槽,我要下线所有服务,万一服务器被黑了呢…
kikyous
2016-03-02 19:21:16 +08:00
蛋疼, 万一明天人类灭绝了呢
hging
2016-03-02 19:26:19 +08:00
你要知道产品重要的不是代码 而是运营 就算给你 V2EX 的代码 你能做一个 V2EX 么?
publicID002
2016-03-02 19:52:09 +08:00
我怎么觉得楼主有点想当然,大公司应该不会随便允许普通员工访问用户数据吧。

No GitHub employees ever access private repositories unless required to for support reasons.

Support staff does not have direct access to clone any repository

—— GitHub Security , https://help.github.com/articles/github-security/
tobyxdd
2016-03-02 19:56:32 +08:00
不能保证
akira
2016-03-02 20:10:48 +08:00
为什么必须以不加密方式保存?
xupefei
2016-03-02 20:14:01 +08:00
@publicID002 按照 LZ 的思维递推下去,这也不靠谱:“你怎么知道这句话被执行了?”
不过这样下去人或者就没意思了,不如自杀省事儿。
zpvip
2016-03-02 21:00:43 +08:00
@loading 搞定一台服务器不是一个简单的工作,一个单独的服务器和一个集中了优质资源的服务器哪个更有吸引力?你怎么不和 Lastpass 比去呢? LastPass 服务器都已经被搞定两次了。


@hging 产品重要的不是代码,但没有代码哪来的产品?照你这么说为什么还有私有仓库呢,大家开源不就好了吗?反正给你代码你也运营不起来?


@xupefei 一个积极去建立秩序的公司应该被鼓励和接纳。但有点提防心绝对不是错的,建议看看:
https://movie.douban.com/subject/25932086/
nicevar
2016-03-03 08:01:22 +08:00
首先你要确定你的代码有价值,要不然 github 茫茫码海中谁去关心你的代码,再次如果你的代码真有价值,像上面人说的选择断网,要不然你自己搭建的服务器你敢保证比 github 更稳固?
zpvip
2016-03-03 16:19:21 +08:00
@nicevar 我是 LastPass 的用户,请问一个黑客要黑 LastPass 的服务器,是看中的我的账号吗?这么简单的问题,怎么会有你这种理解?
nicevar
2016-03-03 17:06:50 +08:00
@zpvip 谁说要看中你账号了,如果 github 被黑,项目那么多,你认为黑客就会特意去找你的代码,这么简单的文字都难理解,算了
zpvip
2016-03-03 17:35:37 +08:00
@nicevar 还模仿我. 麻烦你把我的帖子从头到尾看一下,哪里出现了“我的代码”,我只是在质疑这类网站的安全问题是不是做到位了。

你觉得黑客拿到代码仅仅自己参考一下?这后面产业链多了,你用 ”商业源码” 在 Google 搜索一下?

如果你不在乎私有 Repository 的安全性,这是你个人的看法,但一个商业公司,如果代码有可能会被公开,在一定程序上可能是致命的。

夏虫语冰,我也是闲的
nicevar
2016-03-03 19:24:39 +08:00
@zpvip 客气,我是在质疑 V2EX 能不能回复

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/260567

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX