למה לגבש את GitHub, GitLab או Bitbucket – הסיכון של אובדן נתונים

מדריכים
GitLab

אם הארגון שלך משתמש במערכות של שליטה על גרסאות כמו GitHub, GitLab ו-Bitbucket, כנראה שאתה מודע לכך שקוד כנכס רוחני הוא הנכס הכי חשוב בחברה שלך – אתה והצוות שלך ביליתם אלפי שעות (וכספים) כדי לכתוב, לתמוך ולשפר פרויקטים. כמנהל טכנולוגיה, מנהל IT, בעל חברת תוכנה או מנהיג צוות – כנראה שאתה יכול לתאר לעצמך כמה זה יעלה לך אם תאבד את הקוד שהצוות שלך עובד עליו כבר חודשים.

אבל האם זה בכלל אפשרי? הפרת נתונים, ריחוק מערכות, שינויי מדיניות ועוד – כל אלה יכולים להגביל את הגישה להפריטים שלך ב-GitHub, GitLab ו-Bitbucket, ולשלוח את הנכס הרוחני שלך לסכנה. ללא הגנה מתאימה על הרף שלך, עשוי שהעסק שלך לא יוכל לרתום את הפוטנציאל המלא של הקוד שנוצר על ידי העובדים שלך.

מה יכול להשתבש עם הנתונים של Git שלך?

עכשיו, בואו נמצא כמה טיעונים שיתמכו בך בדיונים עם המנהלים העיליים שלך, חברי הצוות ואף מפתחים שתוכנת גיבוי מאוחסן מקצועית היא דבר חיוני עבור תהליך הפיתוח שלך וביטחון החברה.

1. מודל האחריות המשותפת

כמו רוב ספקי שירותים בענן (SaaS), GitHub, GitLab ו-Atlassian מסתמכים על מודלי תחום תחומי שאלו מגדירים אילו משימות האבטחה נעשות על ידי ספק השירות ואילו שייכות לארגון שלך. במילים פשוטות, ספקי השירות בדרך כלל אחראים לנגישות, אבטחה וזמינות של המערכת כולה. אך כשזה מגיע לנתונים, הם רק עובדי נתונים. אתה הבעלים, אז הנתונים שלך הם עניינך – אתה צריך לוודא שהם מוגנים כראוי ומקיימים את כל הדרישות המשפטיות – למשל, במונחים של שמירת נתונים. 

ב-Atlassian, החברה שומרת על האבטחה של היישומים עצמם, המערכות שהם פועלים עליהם, והסביבות שבהן מאוחסנות מערכות אלה. הם מבטיחים הסכמת תקין עם סטנדרטים כמו SOC2 או PCI DSS. 

אתה אחראי על הניהול המתאים של המידע בחשבון שלך. אתה צריך לשלוט במשתמשים, גישה לנתונים שלך ובאילו אפליקציות אתה מתקין ומבטיח. לבסוף, אתה אחראי לוודא שהחברה שלך מספקת את הדרישות להסכמת תקין. בדיוק כמו בתמונה שלמטה:

Image: Atlassian Cloud Security Shared Responsibilities (Source: Atlasssian)

2. התרחצים

תאמינו לנו או תבדקו, אך היו פעמים רבות ש-GitHub, Bitbucket או GitLab נכנסו למצב כיבוי, וכך השאירו את רבים מהחברות ללא גישה לקוד שלהם ולאפשרות לעבוד. והלאה, עם הפסדים כספיים רבים.

לפי TechCrunch, אחת ההפסקות הגדולות ביותר של GitLab קרתה בשנת 2017. היא נגרמה על ידי הסרה בטעות של נתונים משרתי הבסיס של מאגרי הנתונים. אירוע זה גרם ל-GitLab.com להיות בלתי זמין במשך מספר שעות. הם גם איבדו חלק מהנתונים הפרודוקטיביים שלהם שלא הצליחו לשחזר. במיוחד, איבדו שינויים במאגרי הנתונים ובנתונים כגון פרויקטים, תגובות, חשבונות משתמשים, בעיות וקטעי קוד.

כמו כן, לפי TechMonitor, ביוני 2020, הייתה הפסקת שירות גדולה ב-Github שנמשכה במשך שעות והשפיעה על מיליוני מפתחים.

סוג כזה של הפסקה יכולה להשפיע על פרודוקטיביות המפתחים, במיוחד אם הם מתרחשים בחלונות ה lunch קריטיים. 

תחשוב על החברה שלך: 

  • כמה זמן תוכל לעבוד ללא גישה לנתוני GitHub שלך? 
  • כמה כזו הפסקה תעלה לחברה שלך? 
  • האם אתה יכול להרשות את זה? 

It’s better to prevent such situations and invest in reliable third-party backup software to quickly recover data and get back to code and work. GitHub downtime is only the tip of the iceberg. 

3. שגיאות אנושיות

אחת הבעיות הנפוצות ביותר כשמדובר באירועים בתחום ביטחון האינטרנט בדרך כלל היא שגיאה אנושית/טעות, כתיבה מעל ראש של נתונים, מחיקה בטעות של ענפים, או אף מחיקה מכוונת שנעשית על ידי עובד מרוסס (או עובד לשעבר, שעדיין יש לו גישה למאגר הקוד) – כאלה הם חלק מהסיבות הנפוצות ביותר לאובדן נתונים. עלינו גם לזכור שמפתחים נוטים להשתמש בחשבון אחד ב-GitHub שמשמש גם למטרות אישיות וגם למטרות מקצועיות, לפעמים מערבבים בין המאגרים. לכן, חשוב מאוד לשים לב לכך. 

4. רנסומור

רנסומור נשאר אחד הסכנות היקרות ביותר לעסקים מכל הזמנים. זה קורה כל אחת ואחת מ-11 שניות ומשערים שעד סוף 2021 זה יצור הפסדים גלובליים של 20 מיליארד דולר (לעומת 325 מיליון ב-2015). 

ב-2019, Bleeping Computer דיווח כי התקפים נוקמו בכיורת משתמשי GitHub, GitLab ו-Bitbucket, מחקו קוד ותמונות קוד ממאגרים מרובים והשאירו רק פתק של רצון כספי והרבה שאלות.

זמן הפסקה עסקית שנגרמת עקב פיגועי רנסומות בדרך כלל נמשך ימים. לאחר מכן, חברה זקוקה לשבועות לשחזור כל המערכות, ובלי תוכנת חזרה מהימנה, הניסיונות האלה בדרך כלל נכשלים. אי אפשר להאמין ששליחות כסף כספתית תיתן לך ביטחון של 100% בשיחזור הנתונים שלך. כשזה מגיע למערכת שליטה בגרסאות, איבוד גישה לנתונים שנשארים מוצפנים יכולים לגרום לזמן מועדף גם כן. אלא אם יש לך חזרת גיט שלך ואתה יכול לשחזר את הנתונים בכל מקום, מכל נקודת זמן, ולחזור לעבודה מיידית. והכי חשוב, אל תאבד את הנתונים שלך כלל.

5. שגיאות בחומרה ותוכנה

לא רק שגיאות אנושיות או פיגועים מחשבים יכולים להוביל לאיבוד גישה לנתונים שלך, אלא שגם כמה סוגים של כשלים בחומרה ותוכנה יכולים להשפיע על כך. זה ממש מסוכן כשהמפתחים שלך עובדים על מאגר גיט מקומי. 

הוספת בעיות בסנכרון, שמירת מאגרים והורדתם, אפשר לראות מגוון מלא של בעיות שיכולות להאט, לדחות או להשליך מפלט בתהליך הפיתוח ולחשוף את החברה שלך להפסדים כספיים. 

6. הסדרת אבטחה

רק מילים מעטות: SOC2 ו-ISO 27001. למה הם כל כך רצויים? כי ברגע שהחברה משלימה את הבדיקה של SOC2 או ISO 27K, היא ממקמת את עצמה כשירת אבטחה, ישירה, אמינה ואמינה שיכולה להבטיח אבטחה, זמינות, סודיות, פרטיות ושלמות עיבוד. האם סטנדרטים אבטחה מהווים את החברה כמו תגיים מובילים מהמתחרים? בהחלט!

אף על פי כן, אחד הדרישות לעבור את הבדיקה ולקבל סטטוס של שירות בטוח הוא חזרה. זה בולט כמבטח שהנתונים ניתנים לשחזור מכל נקודת זמן ואין סכנה להמשך העסקאות של החברה.

מסקנה

כפי שאפשר לראות, GitHub, Bitbucket ו-GitLab כשירותי מארגון הוכיחו עצמם כפתרונות די נאמנים, אך אינם חסין מכדור. לכן, למשל, GitHub ממליץ על יש תוכנת חזרה שלישית נוספת.

הערה: הניצוץ כאן הוא הקוד המקורי שלך, הפרויקטים, הקניין הרוחני (IP), שעות עבודה, ואלפי דולרים, כך שתוכנת חזרה מקצועית נראית כשקלה יותר בהשקעה עבור השלווה שהיא מעניקה.

Source:
https://dzone.com/articles/why-you-should-backup-github-gitlab-or-bitbucket