Nous sommes actuellement en train d'essayer github.
Par rapport à notre précédent hébergement git (qui se trouvait sur notre propre serveur virtuel linux), je ne suis pas très impressionné par la sécurité.
A savoir :
- Il n'y a aucun contrôle de l'entreprise sur les comptes utilisateurs. Nous contrôlons quels utilisateurs ont accès à notre référentiel, mais il n'y a pas de politique de mot de passe, les utilisateurs choisissent leurs propres adresses e-mail, etc.
- Il n'y a aucun moyen de limiter l'accès par adresse IP.
- Les mots de passe ne peuvent être réinitialisés que par l'utilisateur.
- La compromission du compte de messagerie de l'utilisateur (dont nous ne sommes pas en mesure de voir sur quel compte il l'a configuré) entraîne également la compromission de son compte github, car il utilise un défi de messagerie pour réinitialiser les mots de passe oubliés.
- Il n'y a pas de journaux d'accès (il existe une piste d'audit pour la plupart, voire toutes les modifications, mais aucun journal d'accès).
- L'accès à l'interface web n'est protégé que par un mot de passe, ce qui le rend vulnérable à la réutilisation de mots de passe provenant d'autres sites et, dans une certaine mesure, au forçage brutal (la déclaration de Github sur ce qu'ils font en cas d'échec de connexion n'est pas très claire).
Nous pourrions vivre avec un ou deux de ces éléments, mais leur combinaison rend github totalement inadapté.
Comme le note mt3, vous pouvez exécuter une installation d'entreprise à la place, ce qui améliore vraisemblablement de manière significative la sécurité - mais la différence de coût entre cela et un compte d'entreprise github standard est stupéfiante, et cela signifierait probablement que vous manquez tous les outils tiers qui s'intègrent avec github.
Pour ce qui n'est pas de la sécurité, github ne prend en charge que la facturation mensuelle, ce qui est pénible pour les entreprises car elles doivent traiter 12 paiements (et donc 12 lots de papier) par an au lieu d'un seul.
