Централизованное и распределенное управление версиями безопасность
По мере того, как моя компания начинает дальнейшее изучение перехода от централизованных инструментов контроля версий (CVS, SVN, Perforce и множество других), чтобы предложить группам инструменты управления распределенными версиями (в нашем случае - ртутный). Я столкнулся с проблемой:
Проблема
Менеджер высказал опасения, что распределенный контроль версий может быть не таким безопасным, как наши варианты CVCS, потому что история репо хранится локально на машине разработчика.
Трудно определить его точную озабоченность по поводу безопасности, но я понял, что она основана на том факте, что злоумышленник может украсть не только новейшие интеллектуальные разработки, но и всю нашу историю изменений, просто скопировав одну папку.
Вопрос (ы)
- Действительно ли распределенная система контроля версий вводит новые проблемы безопасности для проектов?
- Легче ли злонамеренно украсть код?
- Представляет ли полная история дополнительную угрозу, чем последняя версия кода нет?
Мои мысли
Я считаю, что это может быть ошибочное мнение о том, что централизованная модель более безопасна, потому что история кажется более безопасной, поскольку она отключена на своем собственная коробка. Учитывая, что пользователи, имеющие даже доступ для чтения к централизованному репо, могут выборочно извлекать моментальные снимки проекта в любой ключевой версии, я не уверен, что модель DVCS упрощает все это. Кроме того, большинство инструментов CVCS позволяют извлечь всю историю репо с помощью одной команды, чтобы вы могли импортировать их в другие инструменты.
Я думаю, что другая проблема заключается в том, насколько важна история по сравнению с последней версией. Допустим, кто-то мог проверить совершенно секретный файл, а затем удалить его, и история довольно быстро станет важной. Но даже в этом сценарии пользователь CVCS может проверить эту совершенно секретную версию с помощью одной команды.
Я уверен, что могу что-то упустить или недооценить риски, так как я очень хочу, чтобы DVCS стал полностью поддерживаемым вариантом инструмента. Пожалуйста, поделитесь своими идеями по поводу безопасности.