托管网站（如Sourceforge，github或bitbucket）用于封闭源项目的安全性和可信赖性如何？[关闭]

我正在考虑使用sourceforge，bitbucket或github管理我的业务的源代码控制。我有开放项目，并且参与过gcc等开放项目。但是我也有一家公司，我为自己的生活开发开源软件。

Sourceforge，github或bitbucket在保持软件安全以防窥视方面值得信赖吗？在防止数据丢失方面，主机的稳定性如何？有没有人以这样的服装来建立他们的业务逻辑？有没有人调查过几种托管解决方案？

没有评估这种提供者安全性的好的标准方法。您可以看到某种程度上的稳定性，但是几乎不可能从外部评估安全性。

我实际上会与您正在考虑的提供者讨论他们的安全保证，并查看他们的合同-如果他们不提供任何保证，或者如果他们的合同中充满“我们不能承担责任”条款，那么那告诉您他们对安全性的重视程度，以及如果出现问题，您可以期望获得多少帮助。

另外，不要凭空评估-考虑一下运行OWN服务器所需的时间，所需的工作量和开销，以及拧紧它的可能性（留下巨大的安全漏洞） ）。

我们以这种方式托管了一个开源项目。

窃取源代码不会使任何人望而却步（在这里不错的文章），这已被广泛接受。bitbucket和github以封闭源代码为生，因此自然而然地需要使事情保持尽可能的安全（并最大程度地减少不良新闻）。

需要注意的是，每隔一段时间，该服务就会中断一段时间-可能是由开源流量引起的（IMO）。

但是总的来说，我们权衡了利弊，并感到很高兴。

ps：如果我没记错的话，github为企业客户提供了一个“私有云”实例。

SourceForge不再被认为是可信赖的。它一直在劫持帐户，并用广告软件安装程序（GIMP，nmap等）替换Windows软件包。SourceForge也一直积极地过滤掉来自特定国家/地区的用户。实际上，没有什么可以阻止其他托管服务干扰软件安装程序的，因为我们尚未看到SF被合法起诉。买者自负。

编辑：https : //helb.github.io/goodbye-sourceforge/是托管比较的好资源（我不隶属于他们）。

在Stack Overflow上有一个类似的问题（我写了一个答案）：
在github，bitbucket等存储库站点上托管敏感数据有多安全？

TL; DR：

• 与云中的所有内容一样，我们无法100％保证某些黑客不会访问您的数据
  （另一方面，当您自己托管自己的东西时也会发生这种情况）
• 云提供商可能会随时停止服务。提到的大型源代码托管者不太可能发生这种情况，但是您永远不知道
  ->定期备份您的内容是您的责任！

即使提供者是值得信赖的，您也永远不会知道饼干的目标，并且只要存在开放意愿，任何开放站点都是可破解的。

在我的公司中，我们购买了GitHub Enterprise，这是我们内部网上自己的github。如果您喜欢GitHub并认真地将工作保密，那么这可能是最安全的。

一些已经涵盖了您所关注的技术方面的好答案-我不再重申。最终，如果发生“安全漏洞”，您需要考虑您拥有的法律追索权。许可的条款是什么，它们在多大程度上对因服务故障等导致的损失承担责任？对于您的特定情况，可以现金形式赔偿损失。您还需要考虑备用服务器的安全性。内部服务器（大概可以连接到互联网）是否比Github受到威胁的可能性更小？您是否足够熟练并且可以确定需要的资源到您的安装中？

我正在与一家致力于将数据存储到云中的组织合作-但是，那里的数据尽管商业价值有限，但在法律上是敏感的。任何金额的现金损失都不能解决安全漏洞。结果，他们的安全措施“比运行内部系统更安全”。其次是法律管辖权-提供者必须回答相同的法律制度-在我们的案例中，是同一国家/地区，因为它们将在数据安全，隐私权等方面受相同法律的约束，因此违法行为很可能应由刑事责任追究，而非只是民事法庭。应当不惜一切代价避免发生跨境法律争端，也要避免跨境刑事投诉。

git的好处之一是它是点对点的，因此尽管许多公司（包括我自己的公司）确实使用github作为主存储库，但实际上并不需要主VCS。

您可以将访问权限分配给个人（只读或读/写），也可以将个人定义为管理员，因此您具有相当程度的访问控制。

Github偶尔会“打h”（生气的独角兽），但总体上还是很稳定的，而且我们从未遇到数据丢失的任何问题。但是您也有备份选项

为什么不考虑将源代码放在您维护和备份的本地机器上？可以很容易地通过subversion / Tortoise-SVN来实现，除非您确实需要，否则将不需要使用分布式存储库。