アカウント名:
パスワード:
こないだのGitHub経由での流出事件 [security.srad.jp]では、セキュリティリスクだ怪しからんGitHub使用禁止みたいな話も結構合ったが(最終的にどうなったのか知らんけど)、そういう会社はこういう自分達でGitサーバーを運用することのリスクまで考えていたのでしょうかね?ちゃんと穴を塞いで定期的にセキュリティパッチ当ててバックアップ取って…ということが出来てるとこがどれだけあるのか疑問。
全世界に対して公衆gitサーバを運用することと、自社社員またはそれに準ずる信用できるユーザー相手にプライベートgitサーバを運用することの、セキュリティリスクは単純比較できないでしょ。
スケールもドメインも違う事象でもって我が意を得たりとばかりに一事万事で騒ぐ輩はここで騒ぐのが目的なだけだから言っても詮無いでしょ
その意味のオンプレのGitサーバーって普通プライベートネットワークに置くものじゃない?だとすればパブリックに置くものとはセキュリティレベルの思想が違うと思うけど。
つってもプライベートに置くもんだってセキュリティパッチにバックアップくらいの手間はかけないとなぁその程度すらしてないとこも多いし、現実には滅多に問題にもならないだろうが、杜撰な運用してると言わざるをえない
まともなディストリ使っていたら、脳死で定期更新をするだけでセキュリティパッチなんて意識する必要もないだろ。そしてバックアップもgitに限らず当たり前の運用過ぎて、いったいどんな環境を想定しているのかと。
話をすり替えたうえに妄想統計で論点先取匿名にもかかわらず退くことがそこまで恥なのか
内側と外側って分けるのは時代遅れ。今は、攻撃者に内側に侵入されている前提で、内側だろうが外側だろうが同等のセキュリティレベルを担保するっていう考え方がトレンド。ゼロトラストって聞かない?
#4004417 のようなレスが欲しいものだな。
基本方針はそれでいいが、実際の侵入リスクは内側と外側では雲泥の差だよね。セキュリティはコストとのトレードオフなので、何でもフラットに扱おうとするのはバランスが悪い。
自分しかアクセスできない開発端末内の仮想ゲストも公開サーバー並にガチガチに固めるの?そんなことは誰もやってないでしょ。侵入前提で考えるのは良い考え方だけど、そのリスクの程度の見積りを放棄するのは愚作。
ゼロトラストなんて、ベンダーの営業か学生さんぐらいしか言わんだろ。
俺の知ってるゼロトラストなシステムは構築中のせいか同じ認証が複数回必要でシステムが俺じゃなく己自身を信用してないんじゃないかって思える
今こそVSSの復権を!
自社でgitサーバ運用する場合、オープンアクセスの一般gitサーバじゃなくて、クローズドなgitサーバで可能じゃんgitサーバ自体にアクセスできる人を限定することで、セキュリティリスクを大きく減らせる
社外からはVPN経由でしかアクセスできないとか、ネットワーク的な防護措置をとればいい
社内開発とサーバーを一般公開せざるを得ない(バザールモデル)OSSとでは話が変わってくるのでは
何かあっても外にバレずに内側で無かった事にする為に選ぶんでは?
こういう風にいつコード改竄と紛失するか判らないのに、Github使ってる会社なんてバカだろhttps://opensource.srad.jp/story/20/10/29/194238/ [opensource.srad.jp]
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア
ここ最近GitHubを捨てオンプレにした会社はこの手のリスクを考えているのか? (スコア:0)
こないだのGitHub経由での流出事件 [security.srad.jp]では、セキュリティリスクだ怪しからんGitHub使用禁止みたいな話も結構合ったが(最終的にどうなったのか知らんけど)、そういう会社はこういう自分達でGitサーバーを運用することのリスクまで考えていたのでしょうかね?
ちゃんと穴を塞いで定期的にセキュリティパッチ当ててバックアップ取って…ということが出来てるとこがどれだけあるのか疑問。
Re:ここ最近GitHubを捨てオンプレにした会社はこの手のリスクを考えているのか? (スコア:1)
全世界に対して公衆gitサーバを運用することと、
自社社員またはそれに準ずる信用できるユーザー相手にプライベートgitサーバを運用することの、
セキュリティリスクは単純比較できないでしょ。
Re: (スコア:0)
スケールもドメインも違う事象でもって
我が意を得たりとばかりに一事万事で騒ぐ輩は
ここで騒ぐのが目的なだけだから言っても詮無いでしょ
Re: (スコア:0)
その意味のオンプレのGitサーバーって普通プライベートネットワークに置くものじゃない?
だとすればパブリックに置くものとはセキュリティレベルの思想が違うと思うけど。
Re: (スコア:0)
つってもプライベートに置くもんだって
セキュリティパッチにバックアップくらいの手間はかけないとなぁ
その程度すらしてないとこも多いし、現実には滅多に問題にもならないだろうが、
杜撰な運用してると言わざるをえない
Re: (スコア:0)
まともなディストリ使っていたら、脳死で定期更新をするだけでセキュリティパッチなんて意識する必要もないだろ。
そしてバックアップもgitに限らず当たり前の運用過ぎて、いったいどんな環境を想定しているのかと。
Re: (スコア:0)
話をすり替えたうえに妄想統計で論点先取
匿名にもかかわらず退くことがそこまで恥なのか
Re: (スコア:0)
内側と外側って分けるのは時代遅れ。
今は、攻撃者に内側に侵入されている前提で、
内側だろうが外側だろうが同等のセキュリティレベルを担保するっていう考え方がトレンド。
ゼロトラストって聞かない?
Re: (スコア:0)
#4004417 のようなレスが欲しいものだな。
Re: (スコア:0)
基本方針はそれでいいが、実際の侵入リスクは内側と外側では雲泥の差だよね。
セキュリティはコストとのトレードオフなので、何でもフラットに扱おうとするのはバランスが悪い。
Re: (スコア:0)
自分しかアクセスできない開発端末内の仮想ゲストも公開サーバー並にガチガチに固めるの?
そんなことは誰もやってないでしょ。
侵入前提で考えるのは良い考え方だけど、そのリスクの程度の見積りを放棄するのは愚作。
Re: (スコア:0)
ゼロトラストなんて、ベンダーの営業か学生さんぐらいしか言わんだろ。
Re: (スコア:0)
俺の知ってるゼロトラストなシステムは構築中のせいか同じ認証が複数回必要で
システムが俺じゃなく己自身を信用してないんじゃないかって思える
Re: (スコア:0)
今こそVSSの復権を!
Re: (スコア:0)
自社でgitサーバ運用する場合、オープンアクセスの一般gitサーバじゃなくて、クローズドなgitサーバで可能じゃん
gitサーバ自体にアクセスできる人を限定することで、セキュリティリスクを大きく減らせる
社外からはVPN経由でしかアクセスできないとか、ネットワーク的な防護措置をとればいい
Re: (スコア:0)
社内開発とサーバーを一般公開せざるを得ない(バザールモデル)OSSとでは話が変わってくるのでは
Re: (スコア:0)
何かあっても外にバレずに内側で無かった事にする為に選ぶんでは?
Re: (スコア:0)
こういう風にいつコード改竄と紛失するか判らないのに、Github使ってる会社なんてバカだろ
https://opensource.srad.jp/story/20/10/29/194238/ [opensource.srad.jp]