Repositorios de código en la nube

Actualmente en las empresas de consultoría, muchos proyectos necesitan usar repositorios de código, pero éstos no son una buena opción si son públicos y están en la nube. Algunos repositorios de este tipo son GitHub o Bitbucket.

Toda la información que se sube a estos repositorios pasa a ser almacenada fuera de las infraestructuras de las empresas o del cliente. Y según la configuración, la información se vuelve pública y por lo tanto accesible a todo el mundo.

Siempre se deben usar herramientas corporativas, que normalmente son sin coste a los proyectos y con una instancia gitlab corporativa.

Las herramientas corporativas son revisadas desde el departamento de seguridad y privacidad de las compañías, y lo más importante, cumplen con los estándares y legislación vigente.

El código fuente publicado puede utilizarse para:

Divulgación de contenido:

Al ser público, cualquier personas que acceda puede divulgar el contenido en cualquier medio de comunicación, siendo un contenido confidencia de la compañía o de cliente.

Robo de credenciales:

Si existen credenciales dentro del código  subido al repositorio público.

Ataque a la infraestructura: 

Si existen datos sobre las infraestructuras en el código subido al repositorio público, pueden se usados para realizar un ataque.

Robo de propiedad intelectual:

La copia del código puede permitir a otras empresas desarrollar rápidamente aplicaciones derivadas, ahorrando años o incluso décadas de tiempo de desarrollo y aprovechando los secretos comerciales sin pagar derechos de licencia. Además, si se trata del código del proyecto de los clientes, se puede incurrir en incumplimiento de contrato, lo que puede causar una ruptura de contrato y el pago de multas.

Ingeniería social:

Los datos del repositorio público se pueden usar para obtener otro tipo de información a través de ingeniería social