Ist es gefährlich, Code in Gitlab und GitHub zu halten?Ist es gefährlich, den Code in Gitlab und GitHub zu halten?
Ich habe gehört, es ist ziemlich sicher, unseren Code zu Gitlab und Github zu verpflichten.
Der Grund ist, dass jeder Code hashed und es ist fast unmöglich für jeden, den Code zu ändern, ohne git-Tool zu verwenden.
Ist das wahr?
Wie ich in "Why does Git use a cryptographic hash function?" erwähnt, ist es "sicher" in der Bezeichnung der Datenintegrität (Linus Torvalds, 2007):
Wir Prüfsummen überprüfen, die kryptographisch sicher angesehen wird. Niemand war in der Lage, SHA-1 zu brechen, aber der Punkt ist, dass SHA-1, soweit es Git betrifft, nicht einmal ein Sicherheitsmerkmal ist. Es ist eine reine Konsistenzprüfung. Die Sicherheitsteile sind woanders.
Eine Menge Leute nehmen an, dass seit Git SHA-1 und SHA-1 für kryptografisch sichere Sachen verwendet wird, sie denken, dass es ein riesiges Sicherheitsmerkmal ist. Es hat nichts mit Sicherheit zu tun, es ist nur das beste Hash, das man bekommen kann.eine gute Hash zu haben, ist gut für die Lage, Ihre Daten
Das hat nichts zu vertrauen, mit dem zu tun:
Die OP add:
, was ich meine, ist der Eigentümer von Gitlab oder Github können unseren Code stehlen
Dies ist eine Frage des Vertrauens ist: Ist die Git Hosting-Server haben Zugriff auf Ihren Code, wenn es in einem privaten Repo ist? Technisch ja.
Werden sie auf Ihren privaten Code zugreifen? Wie in "Can third party hosts be trusted for closed-source/private source code management?" erwähnt, nichts hindert sie daran.
Noch many startups have their private code on, for instance, GitHub.
Wenn Sie echte Vertraulichkeitsinteressen haben, dann ist es wichtig, dass Sie den Besitz der gesamten Codebasis behalten, einschließlich des Servers, auf dem sie gespeichert ist (dh Ihren eigenen Git Repo Hosting-Server haben).
Zum Schutz vor Manipulationen können Sie sich bei Commits abmelden. – Thilo
Und natürlich, wenn ein böswilliger Benutzer es schafft, Ihr Git Repo auf Ihrem Hosting-System zu ändern und Sie einen frischen "Git Clone" machen, werden Sie die bösartige Änderung nicht bemerken. Sie können Ihre Datenintegrität nur überprüfen, wenn Sie eine sichere Kopie der SHA-1-Summe an anderer Stelle haben. –
@MatitieuMoy: Oder unterschriebene Commits. Diese können nicht gefälscht werden (es sei denn, der Angreifer stiehlt auch die privaten Signaturschlüssel). – Thilo
Es ist wichtig, dass auch daran zu erinnern, wenn git das sicherste Version Control Tool aufgrund seiner Hash-Überprüfung bei jedem Befehl Sie gemacht, eine wichtige Praxis zu sichern ist das Repository von Zeit zu Zeit ...
Einmal für Hardware- oder Softwarefehler, aber zu anderen Zeiten, um Datenverluste aufgrund menschlicher Fehler zu vermeiden.
Und persönliche Klon sind nicht immer ausreichend.
Was meinst du mit * Hashed *. Meinst du eine "Pggp" -Signatur? –
Es ist absolut nicht gefährlich!) Es ist sicher, zuverlässig und bequem. –
Bitte klären Sie, was Sie meinen. Meinst du gefährlich, weil jemand deinen Code stehlen könnte? Ja es ist möglich. Alles könnte gebrochen werden und danach geht es in die Meinungen. –