アカウント名:
パスワード:
commitに機密情報や個人情報が含まれてないかの精査ってみなさんの会社ではどうされてます…?機械的にチェックツール通したりチーム内での人間系でのダブルチェックはどこでもやってるんだろうけど、Microsoftぐらいの規模とミスったときの影響度になると監査部門?みたいなところがチェックするワークフローになってたりするんでしょうか。
つかうな
以上
うちの会社ではズバリ使う人任せだったりします。まあ使ってるのは俺一人だけど…
1000人くらいの規模のSIerですが、特にチェックはありません。顧客側がgithubの公開リポジトリを使ってる開発案件を複数受注しているので、もしもチェックがあったりすると手間がとっても増えそう。
業務で公開リポジトリ使うとかどういう案件なんだろう。オープンソースの仕事?公開リポジトリとか、それこそ機密情報をpushしちゃうヤラカシクンが絶対出てくるぞ。個人的なプロジェクトでもテストコード内の認証情報とかをpushしちゃいそうで(pushしないように気を遣い続けるのも疲れるので)、必要なければむやみに公開にせずに、非公開リポジトリとかローカルリポジトリとかで済ませたいのに。GitHubは公開リポジトリしか作れなかった頃は敬遠してたし。AWSの認証情報をGitHubにpushしちゃって勝手に使われて高額請求が来た人とかいるよ。
アップストリームファーストまでは言わないけど、それなりの規模の会社でうちはマトモにやってます感?を出そうとすると業務で公開リポジトリへのプルリクってそれなりに発生するんじゃねぇかな今日日のソフトウェア開発シーン。割合示せ言われると印象論でしかないけど。。patch拵えてMLに投げるだけで済ませたいなぁ
文書の端っこに「社外秘//スラド計画-その3/含個人情報//禁帯出」とか作成者に書かせるくらいしか機密の定義が決まって個々の情報が定義に該当するか判断済みじゃないと機械的に判定はできないと思う
GitHubと言ってもオンプレミスかクラウドかによって話が異なるのでは。
機密情報や個人情報を送信してはいけない対象はリポジトリばかりではないので、GitHubに限ったパトロールをしてもちょっと弱い気がする印象。まあ一度まずいコミットが入ったらリポジトリ削除するしかないかもというリスクは大きいけど。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson
業務でgithubに成果物をpushする際の手順 (スコア:0)
commitに機密情報や個人情報が含まれてないかの精査ってみなさんの会社ではどうされてます…?
機械的にチェックツール通したりチーム内での人間系でのダブルチェックはどこでもやってるんだろうけど、
Microsoftぐらいの規模とミスったときの影響度になると監査部門?みたいなところがチェックするワークフローになってたりするんでしょうか。
Re: (スコア:0)
つかうな
以上
Re: (スコア:0)
うちの会社ではズバリ使う人任せだったりします。
まあ使ってるのは俺一人だけど…
Re: (スコア:0)
1000人くらいの規模のSIerですが、特にチェックはありません。
顧客側がgithubの公開リポジトリを使ってる開発案件を複数受注しているので、
もしもチェックがあったりすると手間がとっても増えそう。
Re: (スコア:0)
業務で公開リポジトリ使うとかどういう案件なんだろう。
オープンソースの仕事?
公開リポジトリとか、それこそ機密情報をpushしちゃうヤラカシクンが絶対出てくるぞ。
個人的なプロジェクトでもテストコード内の認証情報とかをpushしちゃいそうで(pushしないように気を遣い続けるのも疲れるので)、必要なければむやみに公開にせずに、非公開リポジトリとかローカルリポジトリとかで済ませたいのに。
GitHubは公開リポジトリしか作れなかった頃は敬遠してたし。
AWSの認証情報をGitHubにpushしちゃって勝手に使われて高額請求が来た人とかいるよ。
Re: (スコア:0)
アップストリームファーストまでは言わないけど、それなりの規模の会社でうちはマトモにやってます感?を出そうとすると
業務で公開リポジトリへのプルリクってそれなりに発生するんじゃねぇかな今日日のソフトウェア開発シーン。
割合示せ言われると印象論でしかないけど。。
patch拵えてMLに投げるだけで済ませたいなぁ
Re: (スコア:0)
文書の端っこに「社外秘//スラド計画-その3/含個人情報//禁帯出」とか作成者に書かせるくらいしか
機密の定義が決まって個々の情報が定義に該当するか判断済みじゃないと機械的に判定はできないと思う
Re: (スコア:0)
GitHubと言ってもオンプレミスかクラウドかによって話が異なるのでは。
機密情報や個人情報を送信してはいけない対象はリポジトリばかりではないので、
GitHubに限ったパトロールをしてもちょっと弱い気がする印象。
まあ一度まずいコミットが入ったらリポジトリ削除するしかないかもというリスクは大きいけど。