Vertrauen in SW bei Github

pillow

Well-Known Member
Hallo
Wie vertrauenswürdig ist Github? Mich beschleicht immer ein ungutes Gefühl wenn ich Github als Quelle sehe, mir kommt immer der Gedanke Klickmich.exe wie zu Windows Zeiten als User irgendwelche Software aus irgendwelchen Quellen aus dem Netz einfach installiert haben.

Wie steht ihr zu Github?
Habt ihr bedenken bezüglich der Platform - der Sicherheit?


ciao
 
Gehts dir um OS generell oder Github im speziellen? Also für mich macht es keinen Unterschied ob eine OS Software von Github, Sourceforge oder vom selbstgehostetem gitea kommt. Wie vertrauenwürdig das ist? Naja muss man gucken wer macht das, wer commitet, wird Energie in Dinge wie reproducable Builds gesteckt und Co. Glaub da kann man keine pauschale Aussage treffen. Das 1 Mann/Frau Projekt was seit Jahren verwaist scheint ist etwas anderes als das Projekt wo 20 Leute regelmäßig kommiten, eventuell auch noch welche von großen Unternehmen.
 
Gehts dir um OS generell oder Github im speziellen? Also für mich macht es keinen Unterschied ob eine OS Software von Github, Sourceforge oder vom selbstgehostetem gitea kommt. Wie vertrauenwürdig das ist? Naja muss man gucken wer macht das, wer commitet, wird Energie in Dinge wie reproducable Builds gesteckt und Co. Glaub da kann man keine pauschale Aussage treffen. Das 1 Mann/Frau Projekt was seit Jahren verwaist scheint ist etwas anderes als das Projekt wo 20 Leute regelmäßig kommiten, eventuell auch noch welche von großen Unternehmen.

Das ist die perfekte Zusammenfassung würde ich sagen.
 
Wie steht ihr zu Github?
Habt ihr bedenken bezüglich der Platform - der Sicherheit?
für mich, als unbedarfter Nutzer, ist das ungefähr die Frage, ob ich den Daten von einer externen Platte eher vertraue oder von einer DVD oder von irgendwo im Netz. Github ist für mich ein Platz, wo ich Daten finden kann und das ist sehr bequem und bietet oft auch sehr viel Information, die wirklich direkt die SW betrifft und nicht so ein Geschwafel, wie man es häufig bei Suchen im weiten Netz findet.
Hätte ich die gleiche Information auf der externen Platte, würde ich diese natürlich mit der gleichen Vorsicht nutzen, denn Github kontrolliert für mich ja nicht die Inhalte, es bietet mir (als Endnutzer) lediglich Mechanismen zum einfachen Zugang.
Den Entwicklern von SW bietet es viel mehr Möglichkeiten, als externe Platten, die dann per Post oder so hin und her geschickt werden müssten, um den Dateibaum aktuell zu halten.

Was mich nachdenklich macht, ist die eventuelle Abhängigkeit von einem Betreiber, der vielleicht auch mal die Lust daran verliert, der Menschheit etwas Gutes zu tun.

Den Einfluss auf die SW durch böse Menschen müssen mehr oder weniger alle OpenSource Projekte seit Jahrzehnten fürchten und tun das auch. Dabei ist aber egal, wie und wo sie die Quellen an die unterschiedlichen Entwickler verteilen.
 
Wenn deine Frage in Richtung "Alternativen" geht... Ich habe mittlerweile ein mercurial-Repo auf einem Server bei OpenBSD.Amsterdam.
Fuer meine privaten Projekte reicht das. https://www.mercurial-scm.org/quickstart

Auf der Arbeit haben wir andere Prozesse und Anforderungen (Branches/Features etc...). Da wuerde es nicht passen. Dort arbeiten wir mit einer lokalen Installation von Gitlab.
 
Wie vertrauenswürdig ist Github?

Vorletzte Zeile ;)
Code:
mr44er@ws01:~ $ dmesg
---<<BOOT>>---
Copyright (c) 1992-2023 The FreeBSD Project.
Copyright (c) 1979, 1980, 1983, 1986, 1988, 1989, 1991, 1992, 1993, 1994
    The Regents of the University of California. All rights reserved.
FreeBSD is a registered trademark of The FreeBSD Foundation.
FreeBSD 14.1-RELEASE releng/14.1-n267679-10e31f0946d8 GENERIC amd64
FreeBSD clang version 18.1.5 (https://github.com/llvm/llvm-project.git llvmorg-18.1.5-0-g617a15a9eac9)
VT(efifb): resolution 1280x800

Mich beschleicht immer ein ungutes Gefühl wenn ich Github als Quelle sehe
Woher kommt das? Github selbst ist sauber. Es mag Einzelpersonen geben, die dort mit "Schadcode" hantieren, aber wenn du bei einem Projekt mehrere Committer siehst, die wiederum in gänzlich anderen Projekten auch mithelfen, ist das zu 99% sauber oder würde sich rumsprechen.
Gegenbeispiel: Du hast ja auch nicht bei Email™ immer ein ungutes Gefühl, obwohl gerade dort die Wahrscheinlichkeit für klickmich.exe viel höher ist. Da kann aber keine Email was für, es sind die Einzelpersonen.

wie zu Windows Zeiten
Windows gibt es noch. :p
 
Wenn deine Frage in Richtung "Alternativen" geht... Ich habe mittlerweile ein mercurial-Repo auf einem Server bei OpenBSD.Amsterdam.
Fuer meine privaten Projekte reicht das. https://www.mercurial-scm.org/quickstart

Auf der Arbeit haben wir andere Prozesse und Anforderungen (Branches/Features etc...). Da wuerde es nicht passen. Dort arbeiten wir mit einer lokalen Installation von Gitlab.

Mercurial kann doch alles, was auch git kann? Auch die "light branches" von git, die heißen da halt irgendwie anders, glaube bookmarks. Das ganze zusätzliche Zeug von mercurial braucht halt keiner, darum nimmt man lieber das "leichtere" git ;)
 
halten.

Was mich nachdenklich macht, ist die eventuelle Abhängigkeit von einem Betreiber, der vielleicht auch mal die Lust daran verliert, der Menschheit etwas Gutes zu tun.
Und wenn er die Lust verliert, na und? Lässt das Programm sich dann nicht weiter nutzen? Muss ja nicht immer alles aktuell bleiben. Manchmal sind alte Versionen besser als neue.
 
Und wenn er die Lust verliert, na und? Lässt das Programm sich dann nicht weiter nutzen? Muss ja nicht immer alles aktuell bleiben. Manchmal sind alte Versionen besser als neue.

Zumal ja auch irgendjemand ne Kopie des GIT haben wird, das muss er dann ja nur auf eine x-beliebige neue Plattform Pushen.

Man kann git auch komplett ohne irgend nen öffentlichen Server nutzen.

Ich mach das mit einigen privaten Notizen z.B. so. Einfach nur per SSH.
 
Wenn man die Frage des Vertrauens in github.com stellt, dann muss man sich ja erst mal gewahr werden, was denn die möglichen potentiellen Gefahren sind.
  • Der Betreiber stellt den Dienst ein: Gibt ja durchaus Alternativen. Und einen lokale Kopie seiner Daten die man da hostet hat man ja (hoffentlich) sowieso (bei git ist ja sowieso die Idee das der Dev seine eigene Kopie des Repositories hat)
    das größere Problem sind da vielleicht noch sonstige Daten wie Bugtracker oder Wiki
    und natürlich eine etwaige Bekanntheit der URL
  • Der Betreiber manipuliert an meinen Sachen auf github herum: Das ist ein generelles Problem von Cloud-Services. Entweder vertraut man oder nicht. Wobei man davon ausgehen kann, das bei einer bekannten Plattform wie github es sich schnell herum sprechen würde, wenn da irgendwie shady Dinge laufen.
  • Der Betreiber sieht meine Daten: Auch das ist ein Problem, das man beim Cloud-Provider generell hat (wenn man ihn nicht nur als Drive mit Krypto-Layer nutzt)
    Was Open-Source-Software angeht ist das ja i.d.R. unproblematisch, wenn die der Betreiber sieht. Sachen die er nicht sehen soll, sollte man da auch nicht unencrypted drauf speichern
  • Sicherheit: Der Dienst als solches ist unsicher (ständig werden Accounts gehackt oder stehen Sachen online die eigentlich nicht zu sehen sein sollten etc). Auch sowas sollte sich bei einer Plattform wie github schnell herum sprechen
Ich selbst sehe jetzt da keine wirklichen Probleme, wenn man dort lediglich sein public Repository hosten will. Als Password-Safe würde ich es aber nicht nutzen. :)
 
Als Nutzer von GitHub achte ich sowieso auf die Projekte, die ich nutze. One man shows ignoriere ich sowieso, weil die neben der Sicherheit auch das Problem haben, doch recht schnell einzuschlafen. Darauf habe ich keinen Bock. Wenn ich was auswähle, schaue ich erst, was es für meinen Anwendungsfall gibt, wie ist die Doku, wird das Teil aktuell gepflegt, wer nutzt es wofür, werde ich damit warm und wie ist die Reputation? Bei one man shows mache ich es manchmal sogar selber. Nicht das es unbedingt besser ist, sollte aber mal ein Fehler auftauchen oder ein benötigtes Feature fehlen, blicke ich besser durch meinen Code durch und kann den Fehler eher fixen bzw. das Feature implementieren, zumindest habe ich die Hoffnung ;) Und wenn man in einem Gebiet unterwegs ist, ist oft so, dass einem die gleichen Leute über den Weg laufen und man einschätzen kann, ob das brauchbar ist oder eher weniger, was sie liefern.
 
Das ist wie immer auch eine Frage des persoenlichen Geschmacks. Wenn man Microsoft oder sonstige gewerbliche Anbieter nicht mag, so stehen genug Alternativen zur Verfuegung. Meiner Meinung nach sollte man seinen wichtigen Code immer an mehreren Orten sichern. Github bietet schon viele Vorteile. Alleine sowas wie Github Actions sind schon ganz interessant. Da wird der Code nach eigenen Vorgaben direkt beim Upload gebaut und getestet und erst dann, wenn alle Tests positiv bestanden sind, wird der Code committed. Ich persoelich nutze OpenBSDs Game of Trees. Das reicht fuer meine eigenen bescheidenen Zwecke mehr als aus.
 
Zurück
Oben