V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
yzc27
V2EX  ›  问与答

关于 Github 私有库的安全性问题

  •  
  •   yzc27 · 2019-01-10 10:00:47 +08:00 · 12270 次点击
    这是一个创建于 2144 天前的主题,其中的信息可能已经有所发展或是发生改变。

    最近 Github 开放可以创建免费的私有库,之前一直用 bitbucket 的私有库,不知道 Github 会不会在接到来自某些企业( or 组织)要求,偷偷在后面扫描用户的私有库代码,发现损害该企业( or 组织)的利益,就删掉用户的私有库?

    19 条回复    2019-01-10 14:34:37 +08:00
    xiaottt
        1
    xiaottt  
       2019-01-10 10:06:44 +08:00
    Git 本地就是完整备份,你怕啥
    29EtwXn6t5wgM3fD
        2
    29EtwXn6t5wgM3fD  
       2019-01-10 10:14:54 +08:00
    去看用户协议啊
    wwwjfy
        3
    wwwjfy  
       2019-01-10 10:16:09 +08:00
    bitbucket 不一样吗
    yzc27
        4
    yzc27  
    OP
       2019-01-10 10:19:37 +08:00
    @wwwjfy 毕竟 github 活跃很多,成为很多企业和组织重点关注对象
    abbenyyy
        5
    abbenyyy  
       2019-01-10 10:25:02 +08:00   ❤️ 1
    公共库是会收到组织要求,然后就会删掉用户的库。不过 Github 会公开,参考 https://github.com/github/gov-takedowns,点名了 cn 和 Russia
    otakustay
        6
    otakustay  
       2019-01-10 10:54:29 +08:00
    会,是否损害企业利益由 Github 判断,大部分情况下你不违反协议,纯粹只是对企业的商业利益有损的话,Github 不会删库的
    yzc27
        7
    yzc27  
    OP
       2019-01-10 10:58:29 +08:00
    @otakustay 连不公开的私有库也会吗?理论上来说,私有库,只有我自己能看到,github 还会根据某些企业( or 组织)提供的关键词去遍历扫描所有私有库吗?
    coderluan
        8
    coderluan  
       2019-01-10 11:34:44 +08:00
    我感觉你要不打算公开,就用 bitbucket 呗,对于小型非开源项目,Mercurial 比 Git 好用太多了吧,尤其是 GUI。
    n2ex2
        9
    n2ex2  
       2019-01-10 11:38:29 +08:00 via Android   ❤️ 1
    不会的,如果 GitHub 想做这种事早做了,不会因为之前用户付了$7 就豁免。
    apeshit
        10
    apeshit  
       2019-01-10 11:42:40 +08:00
    github 确实是对私人仓库代码做扫描和分析的, 我之前 python 项目里面的 requirements.txt 还有 java 项目里面的 pom.xml 都被分析过然后每周会发邮件说你的 dependency 有安全隐患, 需要更新版本
    boris1993
        11
    boris1993  
       2019-01-10 12:04:19 +08:00 via Android
    @abbenyyy #5 其实并不是删除,只是屏蔽来自特定地区的访问
    boris1993
        12
    boris1993  
       2019-01-10 12:06:03 +08:00 via Android
    @apeshit #10 风险扫描可以关掉
    boris1993
        13
    boris1993  
       2019-01-10 12:07:30 +08:00 via Android
    偷偷删库这种事,出过一次他就臭了,所以为什么要这么做?
    otakustay
        14
    otakustay  
       2019-01-10 12:23:12 +08:00
    @yzc27 仓库只有你能看,但成品你可以到处发布啊
    yzc27
        15
    yzc27  
    OP
       2019-01-10 12:27:39 +08:00 via iPhone
    @boris1993 打個比方,如果在我的私有庫裡,我寫的代碼裡有公司敏感信息,比如某些 key,然後公司可能會有某些服務來掃描整個 github 看看是否有人洩漏公司敏感信息(或者直接讓 github 幫他做這件事),我私有庫裡的東西會不會被掃描出來呢?
    tomoya92
        16
    tomoya92  
       2019-01-10 12:44:44 +08:00 via iPhone
    @yzc27 你说的这问题在国内的代码拖管平台我信,但 github 我有点不信,倒不是崇洋媚外,只是国内的企业信用已经没几个人相信了
    ryanlid
        17
    ryanlid  
       2019-01-10 14:17:59 +08:00
    你那点资料,并不值得云服务厂商,冒失去大量客户的风险去做
    mhtt
        18
    mhtt  
       2019-01-10 14:31:41 +08:00
    @abbenyyy github 已经卖给了微软
    bestie
        19
    bestie  
       2019-01-10 14:34:37 +08:00
    @yzc27 你这么说的话那就只能自建了,而且还不能使用公有云
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1876 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 16:23 · PVG 00:23 · LAX 08:23 · JFK 11:23
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.