V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
zpvip
V2EX  ›  问与答

GitHub 或 Coding.net 这类代码托管网站,怎样保证代码安全?

  •  
  •   zpvip · 2016-03-02 17:36:19 +08:00 · 4072 次点击
    这是一个创建于 3179 天前的主题,其中的信息可能已经有所发展或是发生改变。
    从界面上来看,私有代码对公众不可见,但从技术上来讲,必须以不加密的方式以 Repository 为文件夹存在服务器上。

    如果哪天服务器爆一个 0day 漏洞,别人把服务器打包下载了,这些代码不就被人拿来卖了吗?他们网站都没有就安全工作做更多说明。

    就算不被攻破,如果潜入一两个没有职业操守的员工,也可以把服务器上的代码打包带走,作为程序员,他们可以随便把几个私有项目改头换面闭源发布,一下就成为别人的竞争者。

    没有绝对安全,大家怎么看?
    17 条回复    2016-03-03 19:24:39 +08:00
    lebowsk1s
        1
    lebowsk1s  
       2016-03-02 17:51:50 +08:00 via Android
    理论上你自己建私有服务器也不安全,除非断网环境存代码
    movtoy
        2
    movtoy  
       2016-03-02 17:53:35 +08:00
    你最后一句已经回答了,大家还有什么看法?
    neilp
        3
    neilp  
       2016-03-02 18:22:06 +08:00 via iPhone
    有一种东西叫 法律
    cnnblike
        4
    cnnblike  
       2016-03-02 19:09:56 +08:00
    所以得自己建 gitlab 才好啊。我之前 coding.net 上的 repo 突然就传不了东西了,最后他们给我的建议是:把 project 删除了再重建
    loading
        5
    loading  
       2016-03-02 19:14:45 +08:00 via Android
    卧槽,我要下线所有服务,万一服务器被黑了呢…
    kikyous
        6
    kikyous  
       2016-03-02 19:21:16 +08:00
    蛋疼, 万一明天人类灭绝了呢
    hging
        7
    hging  
       2016-03-02 19:26:19 +08:00 via iPhone   ❤️ 2
    你要知道产品重要的不是代码 而是运营 就算给你 V2EX 的代码 你能做一个 V2EX 么?
    publicID002
        8
    publicID002  
       2016-03-02 19:52:09 +08:00
    我怎么觉得楼主有点想当然,大公司应该不会随便允许普通员工访问用户数据吧。

    No GitHub employees ever access private repositories unless required to for support reasons.

    Support staff does not have direct access to clone any repository

    —— GitHub Security , https://help.github.com/articles/github-security/
    tobyxdd
        9
    tobyxdd  
       2016-03-02 19:56:32 +08:00
    不能保证
    akira
        10
    akira  
       2016-03-02 20:10:48 +08:00
    为什么必须以不加密方式保存?
    xupefei
        11
    xupefei  
       2016-03-02 20:14:01 +08:00
    @publicID002 按照 LZ 的思维递推下去,这也不靠谱:“你怎么知道这句话被执行了?”
    不过这样下去人或者就没意思了,不如自杀省事儿。
    zpvip
        12
    zpvip  
    OP
       2016-03-02 21:00:43 +08:00
    @loading 搞定一台服务器不是一个简单的工作,一个单独的服务器和一个集中了优质资源的服务器哪个更有吸引力?你怎么不和 Lastpass 比去呢? LastPass 服务器都已经被搞定两次了。


    @hging 产品重要的不是代码,但没有代码哪来的产品?照你这么说为什么还有私有仓库呢,大家开源不就好了吗?反正给你代码你也运营不起来?


    @xupefei 一个积极去建立秩序的公司应该被鼓励和接纳。但有点提防心绝对不是错的,建议看看:
    https://movie.douban.com/subject/25932086/
    nicevar
        13
    nicevar  
       2016-03-03 08:01:22 +08:00
    首先你要确定你的代码有价值,要不然 github 茫茫码海中谁去关心你的代码,再次如果你的代码真有价值,像上面人说的选择断网,要不然你自己搭建的服务器你敢保证比 github 更稳固?
    zpvip
        14
    zpvip  
    OP
       2016-03-03 16:19:21 +08:00
    @nicevar 我是 LastPass 的用户,请问一个黑客要黑 LastPass 的服务器,是看中的我的账号吗?这么简单的问题,怎么会有你这种理解?
    nicevar
        15
    nicevar  
       2016-03-03 17:06:50 +08:00
    @zpvip 谁说要看中你账号了,如果 github 被黑,项目那么多,你认为黑客就会特意去找你的代码,这么简单的文字都难理解,算了
    zpvip
        16
    zpvip  
    OP
       2016-03-03 17:35:37 +08:00
    @nicevar 还模仿我. 麻烦你把我的帖子从头到尾看一下,哪里出现了“我的代码”,我只是在质疑这类网站的安全问题是不是做到位了。

    你觉得黑客拿到代码仅仅自己参考一下?这后面产业链多了,你用 ”商业源码” 在 Google 搜索一下?

    如果你不在乎私有 Repository 的安全性,这是你个人的看法,但一个商业公司,如果代码有可能会被公开,在一定程序上可能是致命的。

    夏虫语冰,我也是闲的
    nicevar
        17
    nicevar  
       2016-03-03 19:24:39 +08:00
    @zpvip 客气,我是在质疑 V2EX 能不能回复
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1845 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 16:41 · PVG 00:41 · LAX 08:41 · JFK 11:41
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.