Hallo, für Programmier-Teams gibt es ja Seiten wie BitBucket oder auch GitHub, wo man mit mehreren Personen auf ein GIT Repo zugreifen kann. Weiß jemand, wie gut der Sourcecode bei solchen Diensten gegen Hacker geschützt ist bzw. ob man bei einem geplanten kommerziellen Produkt bedenkenlos diese Form der "Cloud" nutzen kann? Es geht dabei nicht nur um das unberechtigte Abgreifen der Sourcen, sondern auch um die Manipulation selbiger, was dann beim nächsten Update auf dem Server so ziemlich alle negativen Konsequenzen haben könnte, die man sich vorstellen kann. Ist da schon mal etwas gravierendes passiert oder gelten solche Dienste allgemein als sicher? Viele Grüße Ingo
Wenn du externen Diensten nicht traust, dann mach doch einfach ein eigenes Repository im Intranet auf. Da liegen die Daten dann an einer Stelle, der du traust. So du sie backups selber machen kannst und die kein Fremder reinpfuschen kann
Ingo schrieb: > Es geht dabei nicht nur um das unberechtigte Abgreifen der Sourcen, dabei musst Du dem Anbieter vertrauen. Genauso wie beim Schutz gegen Datenverlust oder Nichterreichbarkeit. Schau Dir die Garantien an die die bieten, die Schadensersatzsummen die sie anbieten (Service Level Agreement) und den potentiellen Schaden bei Dir. Vergleiche das zwischen den verschiedenen Anbietern und dem selbst hosten. Dann triff Deine Entscheidung. > sondern auch um die Manipulation selbiger, was dann beim nächsten Update > auf dem Server so ziemlich alle negativen Konsequenzen haben könnte, die > man sich vorstellen kann. Wenn Du es richtig aufsetzt und nutzt, ist Manipulation bei git prinzipbedingt kein so großes Problem wie bei anderen Versionskontrollsystemen. Zum einen verwaltet git eine Kette von Prüfsummen. Wenn die zwischen dem Server und dem lokalen Repository nicht mehr stimmt, bekommst Du ne Fehlermeldung. Du musst nur darauf achten, daß niemand einen force push macht. Denn dann erkennst Du keinen Unterschied zwischen force push und Manipulation. Außerdem kannst Du bei git Versionsstände mit GnuPG signierten Tags versehen. Die Signatur ist im git enthalten und kann automatisiert geprüft werden. Da muss man sich halt einen Prozess überlegen wann das sinnvoll ist das einzusetzen und wer in dem Projekt das wann und wie macht und kontrolliert.
:
Bearbeitet durch User
Github wurde ja schonmal gehackt, zweimal von derselben Person, Egor Homakov. Das erstemal 2012, da hat Github erst seine Hinweise ignoriert, und als er das mit einem harmlosen Exploit verdeutlicht hat, haben sie seinen Account dichtgemacht. Epic fail: http://www.zdnet.com/article/how-github-handled-getting-hacked/ 2014 hat er Github NOCHMAL gehackt. Diesmal hat Github aber was gelernt, und statt ihn rauszuwerfen, bekam er $4000 als Belohnung: http://homakov.blogspot.de/2014/02/how-i-hacked-github-again.html Für industrielle Anwendung kannste das alles sowieso vergessen, bekanntlich nutzen die USA ihre Geheimdienste auch zur Wirtschaftsspionage. Liegen Deine Sourcen bei einem US-Unternehmen, kannste sie auch gleich der US-Konkurrenz mailen. Und selbst wenn nicht - die Sourcen, die Du einmal hochgeladen hast, bleiben dann auch da. Wenn das hostende Unternehmen aufgekauft wird, kann schnell ein anderer Wind wehen. Backup wirst Du sinnigerweise auch selber machen müssen, denn auch da glänzen Clouddienste nicht, siehe Amazon als prominenter Anbieter, die hatten 2011 das hier: http://www.businessinsider.com/amazon-lost-data-2011-4?IR=T
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.