Если ваша организация использует системы контроля версий, такие как GitHub, GitLab и Bitbucket, вы, вероятно, понимаете, что код как интеллектуальная собственность является наиболее ценным активом в вашей компании — вы и ваша команда потратили тысячи часов (и денег) на написание, поддержку и улучшение проектов. Как технический директор, менеджер по ИТ, владелец программной компании или руководитель команды — вы, вероятно, можете представить, сколько это будет стоить, если потерять код, над которым ваша команда работала месяцами.
Но возможно ли это? Утечки данных, простои систем, изменения политики и многое другое — все эти факторы могут ограничить доступ к вашим репозиториям на GitHub, GitLab и Bitbucket, и подвергнуть риску вашу интеллектуальную собственность. Без надлежащей защиты вашего ИП, ваша бизнес-модель может не смочь использовать полный потенциал кода, созданного вашими сотрудниками.
Что может пойти не так с вашими данными Git?
Теперь давайте рассмотрим несколько аргументов, которые поддержат вас во время обсуждений с вашими руководителями, членами команды и даже разработчиками о том, что профессиональное программное обеспечение для резервного копирования репозитория является необходимостью для вашего процесса разработки и безопасности компании.
1. Модель совместной ответственности
Как и большинство поставщиков SaaS, GitHub, GitLab и Atlassian полагаются на модели совместной ответственности, которые определяют, какие обязанности по безопасности выполняются поставщиком услуг, а какие принадлежат вашей организации. В двух словах, поставщики услуг, как правило, отвечают за доступность, безопасность и доступность всей системы. Но когда речь заходит о данных, они являются только процессорами данных. Вы являетесь владельцем, поэтому ваши данные являются вашей заботой — вам необходимо обеспечить их надлежащую защиту и соответствие всем правовым требованиям — например, в отношении хранения данных.
В Atlassian компания занимается безопасностью самих приложений, систем, на которых они работают, и окружения, в котором размещены эти системы. Они обеспечивают соответствие стандартам, таким как SOC2 или PCI DSS.
Вы несете ответственность за надлежащее управление информацией в вашем аккаунте. Вы должны контролировать пользователей, доступ к вашим данным и какие приложения вы устанавливаете и доверяете. Наконец, вы несете ответственность за то, чтобы ваша компания соответствовала требованиям регулирования. Так же, как на изображении ниже:
Image: Atlassian Cloud Security Shared Responsibilities (Source: Atlasssian)2. Отказы в обслуживании
Поверьте нам или проверьте сами, но было много случаев, когда GitHub, Bitbucket или GitLab выходили из строя, оставляя многие компании без доступа к своему коду и возможности работать. Далее, с большими финансовыми потерями.
По данным TechCrunch, один из крупнейших сбоев в работе GitLab произошёл в 2017 году. Он был вызван случайным удалением данных с основных серверов баз данных. Этот инцидент привёл к тому, что GitLab.com был недоступен на протяжении многих часов. Также были потеряны некоторые данные производственной среды, которые не удалось восстановить. В частности, были утрачены изменения в базе данных и данные, такие как проекты, комментарии, учетные записи пользователей, проблемы и фрагменты кода.
Также, согласно TechMonitor, в июне 2020 года произошёл серьёзный сбой в работе сервиса Github, который длился несколько часов и повлиял на миллионы разработчиков.
Такие сбои могут повлиять на продуктивность разработчиков, особенно если они происходят во время критически важных периодов запуска.
Подумайте о своей компании:
- Как долго вы сможете работать без доступа к данным GitHub?
- Сколько такой сбой может стоить вашей компании?
- Сможете ли вы позволить себе такие потери?
It’s better to prevent such situations and invest in reliable third-party backup software to quickly recover data and get back to code and work. GitHub downtime is only the tip of the iceberg.
3. Человеческие ошибки
Одна из наиболее распространенных проблем при возникновении инцидентов в области кибербезопасности обычно связана с человеческим фактором/ошибками, перезаписью данных, случайной удалением ветвей или даже намеренным удалением со стороны разочарованного сотрудника (или бывшего работника, который до сих пор имеет доступ к репозиторию) — это некоторые из наиболее частых причин потери данных. Также важно помнить, что разработчики часто используют один аккаунт GitHub как для личных, так и для профессиональных целей, иногда смешивая репозитории. Поэтому крайне важно следить за этим.
4. Рansomware
Рansomware остается одним из самых дорогостоящих угроз для бизнеса за всю историю. Это происходит каждые одиннадцать секунд, и прогнозируется, что к концу 2021 года это приведет к глобальным потерям в 20 миллиардов долларов (по сравнению с 325 миллионами в 2015 году).
В 2019 году,Bleeping Computer сообщалось, что атакующие нацеливались на пользователей GitHub, GitLab и Bitbucket, стирая код и коммиты из нескольких репозиториев и оставляя только записку с вымогательством и множество вопросов.
Простой бизнеса из-за атаки рассматриваемого вредоносного ПО обычно длится несколько дней. После этого компании требуется неделями восстанавливать все системы, и без надежного программного обеспечения для резервного копирования эти попытки обычно терпят неудачу. Невозможно поверить, что выплачивая выкуп, вы получите 100% гарантию восстановления ваших данных. Когда речь заходит о системе управления версиями, потеря доступа к зашифрованным данным также может вызвать простой. Если у вас есть резервная копия Git и вы можете восстановить данные в любом месте, в любой момент времени и сразу вернуться к работе. И самое главное, не теряйте свои данные вообще.
5. Ошибки аппаратного и программного обеспечения
Не только человеческие ошибки или атаки хакеров могут привести к потере доступа к вашим данным, но и многие виды сбоев аппаратного и программного обеспечения могут повлиять на это. Это особенно опасно, когда ваши разработчики работают с локальным репозиторием git.
Добавляя проблемы с синхронизацией, сохранением репозиториев и их загрузкой, вы можете увидеть полный спектр проблем, которые могут замедлить, отложить или приостановить процесс разработки и подвергнуть вашу компанию финансовым потерям.
6. Соответствие требованиям безопасности
Вот всего лишь несколько слов: SOC2 и ISO 27001. Почему эти стандарты так желанны? Потому что, как только компания проходит аудит по SOC2 или ISO 27K, она позиционирует себя как безопасный, надежный и доверенный сервис, который может гарантировать безопасность, доступность, конфиденциальность, конфиденциальность и целостность обработки. Достигают ли эти стандарты безопасности того, что компания выделяется среди конкурентов? Определенно!
Хотя одним из требований для прохождения аудита и получения статуса безопасного сервиса является резервное копирование. Оно выделяется как гарантия того, что данные могут быть восстановлены из любой точки времени и нет угрозы непрерывности бизнеса компании.
Заключение
Как видите, GitHub, Bitbucket и GitLab, как хостинг-сервисы, доказали свою довольно надежную надежность, но они не являются неуязвимыми. Вот почему, например, GitHub рекомендует использовать дополнительное программное обеспечение для резервного копирования сторонних разработчиков.
Примечание: здесь под угрозой находится ваш исходный код, проекты, интеллектуальная собственность (IP), часы работы и тысячи денег, поэтому профессиональное программное обеспечение для резервного копирования кажется небольшим вложением для душевного спокойствия, которое оно обеспечивает.
Source:
https://dzone.com/articles/why-you-should-backup-github-gitlab-or-bitbucket