¿Cómo usar cuentas personales como Github en las computadoras del trabajo? [cerrado]

Soy ingeniero de software y uso Github para todas mis cosas personales/de código abierto y relacionadas con el trabajo. En mi nuevo trabajo, el departamento de TI insiste en darnos computadoras portátiles sin acceso completo de administrador y sospecho que también podrían tener instalado algún snooper/keylogger.

Dado que necesitaré tener algunas de mis cosas personales de Github instaladas en mi máquina de trabajo (por ejemplo, archivos de puntos, scripts de Ansible para configurar mi entorno de desarrollo local, etc.), ¿cómo lo hago con cuidado para poder proteger mi contenido? de ser espiado? También tendré que ingresar mi contraseña (si no en Github, entonces en 1Password) y no estoy seguro de cómo hacerlo...

Parece más una pregunta sobre seguridad de la información que una pregunta sobre el lugar de trabajo. Necesita respuestas de expertos en seguridad de la información, no expertos en etiqueta y relaciones en el lugar de trabajo, desarrollo profesional y asuntos similares. (Pero por favor no cruces la publicación )
Creo que tiene más que ver con el lugar de trabajo. Al menos se puede responder desde el punto de vista del lugar de trabajo.
Presente un ticket de soporte para esto. Y todo lo demás, constantemente. SO pregunta sobre el acceso de administrador .
En cuanto a las contraseñas, si le preocupa el registro de teclas: no acceda a 1Password desde la computadora del trabajo. Consigue un teléfono inteligente y úsalo. Sí, esto significa que tiene que escribir contraseñas de forma regular, pero mantiene su frase de contraseña principal fuera de la máquina que cree que está comprometida.
Descargue un buen cliente de github en su teléfono, luego envíe por correo electrónico los archivos específicos que desea a su dirección de correo electrónico de trabajo (o use la transferencia de archivos por bluetooth si su computadora portátil de trabajo lo admite).
No escriba las letras en la contraseña, copie y pegue las letras/números con el mouse uno a la vez. Y fuera de servicio :)

Respuestas (5)

Necesitaré tener algunas de mis cosas personales de Github instaladas en mi máquina de trabajo

Primera regla de las computadoras del trabajo, no pongas archivos personales en ellas, NUNCA.

¿Cómo lo hago con cuidado para poder proteger mi contenido de ser espiado?

Estás en su computadora, si quieren "espiar" (monitorear lo que sucede en eso), en la mayoría de los países pueden (y en algunos otros donde lo han establecido en tu contrato). Si le preocupan las cosas que pueden ver que usted hace (aunque solo sea porque es personal y no vergonzoso), entonces NO LO HAGA EN SU COMPUTADORA.

Esto se aplica a todo, desde el correo electrónico personal hasta la banca y sus propios proyectos de desarrollo. Podría encontrarse en una demanda de su empleador por los derechos de su código, por lo que es mejor que nunca se acerque a su computadora.

Si realmente necesita scripts, etc. de Github, cree un nuevo repositorio para su empresa con una nueva cuenta de trabajo (suponiendo que aún no tengan una propia) e importe lo que necesita allí. Evita que puedan acceder potencialmente a su propia cuenta, y tiene algo que dejarles en caso de que se vaya.

La parte sobre el espionaje no es universalmente cierta. Hay países donde eso no está permitido, por ejemplo, Alemania, donde debe ser explícitamente parte del contrato de trabajo que se les permite mirar, y debe estar de acuerdo con eso. No sabemos en qué país está el OP.
Ya sea que puedan o no, no se colocan archivos personales en una computadora de trabajo. Podría ser despedido injustamente, y el administrador de la empresa puede hurgar en sus carpetas personales, etc., simplemente diga que no hay niños.
Eh, esto es ridículo. Dije específicamente algunas de mis cosas personales y di ejemplos: archivos de puntos y scripts de Ansible para configurar mi entorno de desarrollo local, no cosas bancarias ni proyectos personales. ¿De verdad quieres decir que no debería usar mi vimrc curado de 15 años y pasar el tiempo reescribiéndolo desde cero? Incluso si no son sensibles, no tengo intención de hacerlos públicos y no creo que sea la única forma de hacerlo.
@jqp - 'No tengo intención de hacerlos públicos' sí, eso es exactamente lo que quiero decir, mantener las cosas personales y laborales separadas y mantener las cosas personales fuera de las computadoras del trabajo, he visto a demasiadas personas meterse en problemas debido a cosas 'inocentes'. Si necesita los scripts, haga lo anterior o reescríbalos.
@jqp, le convendría seguir su consejo. Una vez que coloca archivos personales en una computadora de trabajo, pasan a ser propiedad de la empresa. No tienes idea del mundo de dolor que te estás abriendo si lo ignoras.

Si no utiliza un repositorio Github privado pagado para ese código, es de acceso público sin iniciar sesión con su cuenta. Si lo licencia en consecuencia desde su cuenta personal, no tiene ningún problema. Simplemente puede descargar o clonar el repositorio en su computadora de trabajo y usar las herramientas o configuraciones, ya que son de código abierto. No necesita iniciar sesión en Github para descargar cosas solo para usarlas, por lo que no se pueden robar las credenciales.

Se produce un problema si desea cambiar uno de esos repositorios y retroceder. Puede haber el problema de que su contrato de trabajo diga que todo el código que escribe en el trabajo pertenece a la empresa . En ese caso, debe hablar con su jefe. Simplemente preguntar no duele.

Hola jefe, estamos usando muchas cosas de código abierto. Si detecto un error en uno de ellos, ¿puedo corregirlo y hacer una solicitud de extracción para ese proyecto de código abierto durante el trabajo?

Si su jefe es consciente de lo que significa el código abierto y de que ofrece material gratuito a la empresa, es probable que no le importe.

No, un repositorio público no coloca el contenido de ese repositorio en el dominio público; en el mejor de los casos, no tiene licencia y deberá discutir una licencia con el propietario del repositorio para poder usarlo. Comentarios como el suyo solo invitan a problemas de derechos de autor más adelante con respecto al uso de código con derechos de autor pero con licencia ambigua. Si no tiene una licencia obvia, NO LO USE. ¡Definitivamente no deberías asumir que es de dominio público! ¡Aclara esto en tu respuesta! ¡El repositorio público de git necesita una licencia permisiva contenida dentro de él!
@Moo Ya digo que si el OP posee el código, pueden licenciarlo de la forma que quieran. Luego pueden usarlo ellos mismos mientras actúan como la empresa. La parte sobre el repositorio no privado estaba mal redactada, estoy de acuerdo. He editado esa parte para que quede más claro.
Incluso si el contenido está en un repositorio público, las credenciales del OP pueden capturarse en la computadora portátil de trabajo (no es su preocupación por los registradores de teclas) y esas no son públicas.
@alroc eso es cierto, pero eso no es algo a lo que me refiero en esta respuesta. Mi punto es que no hay necesidad de usar credenciales de la computadora portátil de trabajo. Estamos hablando de repositorios que posee el OP que almacenaron en github. Eso implica que tienen otro dispositivo que usaron para crearlos y también pueden agregar una licencia adecuada al repositorio desde ese dispositivo. Otra señal de que tienen otro dispositivo que consideran seguro es el hecho de que escribieron esta pregunta. Dado lo cuidadoso de la pregunta, tampoco lo harían desde la caja de trabajo.
@simbabque No tuve ningún problema con que el propietario pudiera licenciarlo como mejor le pareciera, solo el aspecto de "dominio público" :) Gracias por editar, aclara el problema que tenía: si un repositorio de GH no lo hace tenga una licencia, no use el código, puede presentar problemas más adelante si sale a la luz.

Configure una nueva cuenta de Github, transfiera exactamente el código que necesitará e inicie sesión con esto desde la computadora del trabajo; si la cuenta es secuestrada o revisada, no habrá nada visible que no esté ya en la máquina.

O cargue el código necesario desde una unidad externa; esto evita la necesidad de iniciar sesión.

O lleve consigo un dispositivo Unix-on-a-thumbdrive seguro y arranque con él para su propio trabajo. O simplemente mantenga las cosas personales fuera de las máquinas de trabajo, que es la solución más limpia; usted puede permitirse el suyo propio.
Con respecto al secuestro de la cuenta de GitHub: tenga en cuenta que ahora ofrecen autenticación de 2 factores . Se recomienda usar algo como esto, siempre que esté disponible.

"En mi computadora (de la empresa), que yo (la empresa) te he proporcionado, solo quiero que hagas mi trabajo, con mis cosas, y que lo hagas a mi manera, como parte de mi equipo".   Durante ocho horas más o menos, quiero que trabajes sólo para... "nosotros".   A cambio de esto, te pagaré dinero. ¿Me parece bien? ...

No ponga nada de "sus cosas personales" ahí. No incorpore ningún material externo al producto de trabajo que está desarrollando. Como declaración general, hagan todo lo que hagan por consenso, en equipo. No se encargue de "tomar una decisión".

Del mismo modo, no se preocupe por no tener acceso administrativo. No se preocupe si "lo están vigilando". Las empresas de hoy tienen preocupaciones serias y legítimas sobre la seguridad, la responsabilidad y la responsabilidad corporativa. No tome nada de esto "personalmente". Por así decirlo, "no se trata de ti".

Expresaron una gran confianza en usted al contratarlo. Todos los días, esfuércese por mostrarles la excelente decisión que tomaron. Ser: "el profesional consumado".

"No pongas nada de 'tus cosas personales' ahí". — Entonces, ¿debería pedirle a mi jefe durante dos semanas que reescriba todos mis archivos dot-rc y shell script que he curado durante 15 años desde cero? Esta publicación es solo una BS de gestión de 6-sigma. No responde la pregunta.
@jqp Responde totalmente a la pregunta. Simplemente no está de acuerdo con lo que esperabas que fuera la respuesta. Te pagan por hacer un trabajo, si tu empleador no quiere que seas eficiente (con tus guiones y demás), que así sea. Puede ser tan eficiente como quiera en su tiempo personal en sus proyectos personales.

Como contratista, he trabajado en muchas empresas diferentes, y 3 que recuerdo tenían algún tipo de derechos de administrador no local en las máquinas de los desarrolladores. (Lo cual en mi humilde opinión simplemente disminuye la productividad de los desarrolladores). Las soluciones que utilicé en estas empresas fueron:

  1. Le expliqué al gerente que a veces necesito privilegios de administrador local, presenté mi caso y logré cambiar la política para (ciertos) desarrolladores.
  2. Conseguí que TI agregara un usuario administrador local a mi máquina, que nunca usaría, excepto en los momentos en que necesitaba privilegios de administrador local.
  3. Obtuve permiso para llevar mi computadora portátil personal y transferir archivos de código entre mi computadora portátil personal y del trabajo cada vez que necesitaba hacer algo que solo podía hacer en una máquina con privilegios de administrador.

En cuanto a su caso particular, me pregunto por qué usted:

Sospecho que podrían tener algún snooper/keylogger instalado

Esa es una declaración bastante fuerte para hacer. Creo que es normal que las empresas rastreen el uso del sitio web, e incluso rastreen el uso del mouse/teclado, específicamente para los empleados que trabajan desde casa, pero usar un registrador de teclas me parece una exageración a menos que trabaje para una organización de espionaje. Dicho esto, ciertamente es posible , y su solución más rápida, al menos para GitHub, parece ser bastante simple, ya que GitHub ofrece 2FA .

Como en la otra respuesta, decir que es normal rastrear [cosas] no es una verdad universal. En la mayoría de los países europeos, eso es altamente ilegal.
@simbabque: ¿puede proporcionar una referencia para esa declaración? Este enlace parece decir lo contrario: worktime.com/…
Tu enlace ya lo dice, con su conformidad . Eso está ausente de su respuesta, y es un punto muy válido. Hay una diferencia entre pensar que lo hacen y saber que lo hacen. En este último caso, usted estuvo de acuerdo. Su enlace también explica muy bien cuándo se permite la supervisión del teclado. Tan pronto como haya un sindicato o un comité de trabajo involucrado, se volverá muy divertido para la empresa. Y si se hace público que una empresa hace eso, pueden perder un poco la cara, como sucedió, por ejemplo, con ALDI con vigilancia por video (enlace alemán) . Pero creo que esto se está saliendo del tema.
¿Cómo usar cuentas personales como Github en las computadoras del trabajo? [cerrado]
RespuestasAquíPolítica de privacidad1y, 0v