Se la tua organizzazione utilizza sistemi di controllo versione come GitHub, GitLab e Bitbucket, probabilmente sei consapevole che il codice come proprietà intellettuale è l’asset più prezioso all’interno della tua azienda—tu e il tuo team avete impiegato migliaia di ore (e soldi) per scrivere, supportare e migliorare i progetti. In qualità di CTO, manager IT, proprietario di una software house o capo squadra—probabilmente puoi immaginare quanto potrebbe costarti perdere il codice su cui il tuo team ha lavorato per mesi.
Ma è possibile? Violazioni dei dati, tempi di inattività dei sistemi, modifiche alle politiche e altro ancora—tutti questi fattori possono limitare l’accesso ai tuoi repository su GitHub, GitLab e Bitbucket, e mettere a rischio la tua proprietà intellettuale. Senza una protezione adeguata del tuo IP, la tua attività potrebbe non essere in grado di sfruttare appieno il potenziale del codice creato dai tuoi dipendenti.
Cosa Può Andare Storto con i Tuoi Dati Git?
Ora, cerchiamo alcuni argomenti che ti sosterranno durante le discussioni con i tuoi superiori, membri del team e anche sviluppatori sul fatto che un software professionale di backup dei repository è qualcosa di essenziale per il tuo processo di sviluppo e la sicurezza dell’azienda.
1. Modello di Responsabilità condivisa
Come la maggior parte dei provider SaaS, GitHub, GitLab e Atlassian si affidano a modelli di responsabilità condivisa che definiscono quali compiti di sicurezza sono gestiti dal fornitore di servizi e quali appartengono alla tua organizzazione. In breve, i fornitori di servizi sono generalmente responsabili per l’accessibilità, la sicurezza e la disponibilità dell’intero sistema. Ma quando si tratta di dati, sono solo processori dei dati. Tu sei il proprietario, quindi i tuoi dati sono di tua competenza: devi assicurarti che siano adeguatamente protetti e conformi a tutte le esigenze legali, ad esempio in termini di mantenimento dei dati.
In Atlassian, la società si occupa della sicurezza delle applicazioni stesse, dei sistemi su cui operano e degli ambienti in cui tali sistemi sono ospitati. Garantiscono la conformità a standard come SOC2 o PCI DSS.
Sei responsabile della corretta gestione delle informazioni sul tuo account. Devi controllare gli utenti, l’accesso ai tuoi dati e quali app installi e ritieni affidabili. Infine, sei responsabile del fatto che la tua azienda stia rispettando i requisiti di conformità. Proprio come nell’immagine sotto:
Image: Atlassian Cloud Security Shared Responsibilities (Source: Atlasssian)2. Blackout
Credici o verificalo, ma ci sono stati molti momenti in cui GitHub, Bitbucket o GitLab sono andati offline, lasciando molte aziende senza accesso al loro codice e la possibilità di lavorare. Andando oltre, con molte perdite finanziarie.
Secondo TechCrunch, uno degli scatti più significativi di GitLab si è verificato nel 2017. È stato causato dalla rimozione accidentale dei dati dai server del database primario. Questo incidente ha reso GitLab.com indisponibile per molte ore. Hanno anche perso alcuni dati di produzione che non sono stati in grado di recuperare. In particolare, hanno perso modifiche al database e dati, come progetti, commenti, account degli utenti, problemi e frammenti.
Inoltre, secondo TechMonitor, nel giugno 2020, si è verificato un importante blackout del servizio Github che è durato per ore e ha coinvolto milioni di sviluppatori.
Questo tipo di blackout può influire sulla produttività degli sviluppatori, specialmente se si verificano durante i cruciali periodi di lancio.
Pensa alla tua azienda:
- Quanto tempo sarai in grado di lavorare senza avere accesso ai dati di GitHub?
- Quanto costerà un tale blackout per la tua azienda?
- Sei in grado di permettertelo?
It’s better to prevent such situations and invest in reliable third-party backup software to quickly recover data and get back to code and work. GitHub downtime is only the tip of the iceberg.
3. Errori umani
Uno dei problemi più comuni quando si parla di incidenti di cybersecurity in generale è l’errore umano/sbaglio, sovrascrittura di teste, eliminazione accidentale di rami o addirittura eliminazione intenzionale da parte di un dipendente frustrato (o ex-lavoratore, che ancora ha accesso al repository)—sono alcune delle ragioni più comuni per la perdita di dati. Dobbiamo anche tenere a mente che i developer tendono ad avere un account GitHub che usano sia per scopi personali che professionali, a volte mescolando i repository. Quindi, è cruciale prestare attenzione a questo aspetto.
4. Ransomware
Il ransomware rimane una delle minacce più costose per le aziende di tutti i tempi. Accade ogni undici secondi e si prevede che entro la fine del 2021 genererà perdite globali di 20 miliardi di dollari (rispetto ai 325 milioni nel 2015).
Nel 2019, Bleeping Computer riportò che gli attaccanti miravano agli utenti di GitHub, GitLab e Bitbucket, cancellando il codice e i commit da più repository e lasciando solo una nota di riscatto e molte domande.
Il tempo di inattività aziendale causato da un attacco di ransomware di solito dura per giorni. Successivamente, un’azienda necessita di settimane per ripristinare tutti i sistemi e, senza software di backup affidabile, tali tentativi falliscono solitamente. Non puoi credere che pagare un riscatto ti garantisca al 100% il recupero dei tuoi dati. Quando si tratta del sistema di controllo delle versioni, perdere l’accesso ai dati che rimangono criptati può causare anche tempi di inattività. A meno che tu non abbia il backup di Git e tu possa recuperare i dati ovunque, da qualsiasi punto nel tempo, e tornare subito al lavoro. E soprattutto, non perdere mai i tuoi dati.
5. Errori Hardware e Software
Non solo gli errori umani o gli attacchi hacker possono portare a perdere l’accesso ai tuoi dati, ma possono essere influenzati anche da molti tipi di guasti hardware e software. Questo è particolarmente pericoloso quando i tuoi sviluppatori stanno lavorando su un repository git locale.
Aggiungendo problemi di sincronizzazione, salvataggio dei repository e download di questi, puoi vedere un’ampia gamma di problemi che possono rallentare, posticipare o disabilitare il processo di sviluppo e espongono la tua azienda a perdite finanziarie.
6. Conformità alla Sicurezza
Solo alcune parole: SOC2 e ISO 27001. Perché questi standard sono così desiderabili? Perché una volta che l’azienda completa il suo audit SOC2 o ISO 27K, si posiziona come un servizio sicuro, affidabile e fidato che può garantire sicurezza, disponibilità, riservatezza, privacy e integrità del processo di elaborazione. Questi standard di sicurezza rendono l’azienda distinguibile dai concorrenti? Sicuramente!
Però, uno dei requisiti per superare l’audit e ottenere lo status di servizio sicuro è il backup. Si distingue come garanzia che i dati siano recuperabili da qualsiasi momento e non ci sia alcuna minaccia alla continuità aziendale della società.
Conclusione
Come puoi vedere, GitHub, Bitbucket e GitLab, come servizi di hosting, si sono dimostrati soluzioni abbastanza affidabili, ma non sono a prova di proiettile. Ecco perché, ad esempio, GitHub consiglia di avere un software di backup di terze parti aggiuntivo.
Nota: il punto cruciale qui è il tuo codice sorgente, i progetti, la proprietà intellettuale (IP), le ore di lavoro e migliaia di denaro, quindi un software di backup professionale sembra un piccolo investimento per la tranquillità che offre.
Source:
https://dzone.com/articles/why-you-should-backup-github-gitlab-or-bitbucket