Dans quelle mesure l’hébergement github serait-il sécurisé pour les référentiels privés?

J’ai lu ce fil mais je me demande comment une telle solution serait sécurisée? Je sais que github offre un support ssh / ssl et je suis familier, mais est-ce que quelqu’un pourrait me donner une idée de la sécurité interne qu’il utiliserait pour s’assurer que mes fichiers conf / credential ne sont pas piratés?

EDIT : J’ai lu http://help.github.com/security/ mais je voudrais une réponse de quelqu’un qui a travaillé avec plusieurs hôtes de référentiel et qui a une expérience réelle avec ceci.

    Nous avons essayé github récemment.

    Comparé à notre hébergement git précédent (qui était sur notre propre serveur virtuel Linux), je ne suis pas trop impressionné par la sécurité. Nous avons décidé de l’utiliser, mais uniquement pour des projets où le maintien du code privé n’était pas une préoccupation majeure.

    À savoir:

    1. Il n’y a pas de contrôle de l’entreprise sur tous les comptes d’utilisateurs. Nous contrôlons quels utilisateurs ont access à notre référentiel, mais il n’y a pas de politique de mot de passe, les utilisateurs choisissent leurs propres adresses e-mail, etc.
    2. Il n’y a aucun moyen de limiter l’access par adresse IP
    3. Les mots de passe ne peuvent être réinitialisés que par l’utilisateur
    4. La compromission du compte de messagerie des utilisateurs (que nous ne parvenons pas à voir à quel compte ils ont défini) a également pour effet de compromettre leur compte github, car ils utilisent un défi par courrier électronique pour réinitialiser les mots de passe oubliés.
    5. Il n’y a pas de journaux d’access (il existe une piste d’audit pour la plupart ou éventuellement toutes les modifications, mais aucune connexion pour l’access)
    6. L’access au frontal Web n’est protégé que par un mot de passe. Il est donc vulnérable à la réutilisation des mots de passe d’autres sites et, dans une certaine mesure, au forçage brutal.

    Nous pourrions vivre avec un ou deux d’entre eux, mais en combinaison, ils rendent les github complètement inadaptés.

    Ils ont récemment ajouté une authentification à 2 facteurs, et il existe une API pour que les organisations puissent au moins vérifier si l’authentification à deux facteurs est activée pour les utilisateurs ayant access à leurs référentiels. Bien que je ne pense pas que ce soit vraiment la meilleure solution, il est probable que Github soit suffisamment sûr pour pouvoir être pris en compte pour les repos privés.

    Comme mt3 le note, vous pouvez exécuter une installation d’entreprise, ce qui améliore considérablement la sécurité – mais la différence de coût entre ce compte et un compte d’entreprise github standard est stupéfiante, et cela signifierait probablement que tous les outils tiers github.

    Sur une note non liée à la sécurité, ils prennent désormais en charge au moins la facturation annuelle, ce qui consortingbue à réduire les coûts administratifs.

    GitHub a récemment annoncé de nouveaux plans d’affaires avec des fonctionnalités supplémentaires – cela pourrait résoudre «1» / «4» / «5». (Même si la «garantie de disponibilité» qui en fait partie est assez risible – même pas «quatre heures», et exclut la maintenance programmée et tout ce qu’elle juge «hors de son contrôle raisonnable» – et ce n’est pas une garantie réelle. votre prochaine facture qui ne doit pas dépasser le tiers de votre facture: des mots de marketing marketing rédigés avec beaucoup de soin au lieu de tout engagement de leur part.

    Ils ont eu des incidents de sécurité majeurs dans le passé: http://www.h-online.com/security/news/item/GitHub-security-incident-highlights-Ruby-on-Rails-problem-1463207.html

    Franchement, je ne confierais pas le code que je veux garder privé (ou toute autre donnée sensible) au cloud à moins qu’il ne soit crypté et que je ne détienne que la clé.

    Quelle est la longueur d’une ficelle?

    C’est une question assez difficile à répondre.

    En regardant leur page de sécurité, ils semblent avoir à peu près tout couvert, en supposant qu’ils fassent tout ce travail.

    Vous pourriez faire valoir que mettre votre code sur github est plus sûr que de le stocker sur un serveur interne, de nombreuses entresockets n’ayant pas une configuration ou des stratégies de sécurité aussi bonnes que celles décrites par github. Est-ce que le vôtre?

    Vous pouvez également exécuter l’ installation Enterprise de Github sur vos propres serveurs. 5000 $ / an pour une licence de 20 places.