Можно ли доверять сторонним хостингам управление закрытым исходным кодом?
https://stackoverflow.com/questions/947798
-
09-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Для многих компаний исходный код их проекта очень ценен - кража исходного кода может обойтись очень дорого.Жесткий контроль исходного кода в локальной сети - это один из способов помочь защитить его.
Однако есть преимущества в размещении исходного кода извне, будь то просто сервер subversion или git, размещенный на dreamweaver, или полноценное решение, такое как github или cvsdude.
В большинстве этих случаев существует вероятность того, что сотрудник или другой инсайдер сможет получить доступ к полному исходному коду и истории вашей компании, хотя предположительно этот риск относительно невелик.
Реальны ли эти опасения, или компаниям не следует беспокоиться о них и вместо этого использовать преимущества сторонних хостингов?
Существуют ли какие-либо крупные успешные компании, размещающие в настоящее время свой частный репозиторий на одном из сторонних веб-сайтов по управлению исходным кодом?
Решение
Я думаю, все зависит от того, насколько фирме удобен аутсорсинг.Существует множество распространенных элементов обработки IP-адресов, которые можно передать на аутсорсинг.Вот некоторые из них, а также риски для интеллектуальной собственности:
- Развитие:Программисты-контрактники могут много знать о вашем IP-адресе
- Хостинг:На вашем веб-хостинге есть весь ваш код
- Бухгалтерский учет:Бухгалтеры знают все подробности о ваших финансовых показателях
- Юридическая информация:Адвокаты знают все подробности о приобретениях, предварительно поданных патентах и т.д.
- Производство:Контрактные производители обладают всеми правами интеллектуальной собственности, связанными с производством вашего продукта
- Электронная почта:Переданная на аутсорсинг электронная почта предоставляет вашему хостингу единую базу данных со всеми вашими сообщениями
- Телефония:Ваша телефонная компания может прослушивать ваши линии
По сути, хостинг исходного кода ничем не отличается от аутсорсинга любой другой части стека IP-адресов - за исключением того, что он более новый, поэтому у людей не было времени привыкнуть.У каждой фирмы разный баланс комфорта при аутсорсинге каждой части стека, но реальность такова, что каждая вещь, которую вы передаете на аутсорсинг, - это возможность для кого-то украсть ваш IP.В конечном счете, все сводится к поиску надежного поставщика.Даже известная своей паранойей Apple нашла партнеров-производителей для производства своего оборудования.
ИМНШО, причина передачи хостинга исходного кода на аутсорсинг - это та же причина, по которой фирма отдает что-либо на аутсорсинг:это не их основной бизнес.Передача хостинга ваших репозиториев на аутсорсинг в течение года может стоить столько же, сколько 2-3 часа времени разработчика;если он потратит на обслуживание хранилища больше времени, чем это предусмотрено в течение года, вы, по сути, потеряете деньги.(Это верно, даже если ему платят не по часам, потому что вы можете украсть только очень много его выходных, прежде чем он вернет себе это время, потратив больше рабочего времени на Twitter).
Отказ от ответственности:Я работаю в ProjectLocker, фирме по размещению исходного кода.
Другие советы
Предположительно, если компания нарушает свои условия обслуживания и крадет или раскрывает вашу интеллектуальную собственность, вы можете возбудить против нее судебный иск?
Честно говоря, я не вижу никаких преимуществ в хранении драгоценного кода вашей компании на стороннем сервере, только потенциальные проблемы...Страшных сценариев может быть так много, что я даже не буду пытаться представить их все.
Помимо того, что усилия по установке и обслуживанию, например, сервера SVN, значительно сокращаются, а также стоимость выделенного сервера для этой цели, поэтому я не вижу причин не хранить свой собственный код.
Возможно, вам придется обратиться к третьей стороне, если у вас нет навыков или денег для покупки сервера или чего-то еще, но вы выбираете этот вариант намеренно...для меня это однозначно НЕТ-НЕТ.
Любые деловые отношения требуют определенного уровня доверия.Если вы не хотите делать это самостоятельно, так как это может оказаться дороже, вам придется довериться кому-то, мы делаем это постоянно.
Как уже упоминалось, вы можете хеджировать часть риска, обеспечив наличие жесткого соглашения о конфиденциальности и ответственности, в котором ваши юристы могут быть уверены в возмещении ущерба.Вы никогда не сможете исключить риск при работе с третьими лицами, не находящимися под вашим контролем.Фактически, большинство компаний никогда не согласятся нести ответственность за проблемы.
Если вы не можете справиться с риском или позволить себе риск, вам следует просто сделать это самостоятельно, а не подавать в суд, если что-то произойдет.
Возможно, но доверие не может быть основано ни на чем формальном.Например, Условия обслуживания GitHub (https://help.github.com/articles/github-terms-of-service) не упоминайте слова «частный», «конфиденциально» или «безопасно», кроме
GitHub does not warrant that
(i) the service will meet your specific requirements,
(ii) the service will be uninterrupted, timely, secure, or error-free,
...
