company_banner

GitLab проводит изменения для пользователей облачных и коммерческих продуктов

Автор оригинала: GitLab Team
  • Перевод


Сегодня утром пришло письмо от GitLab, об изменениях соглашения по обслуживанию. Перевод этого письма будет под катом.

Перевод:

Важные обновления нашего Соглашения по Обслуживанию и Телеметрических Услуг

Уважаемый пользователь GitLab!

Мы обновили наше Соглашение по Обслуживанию касательно использования нами телеметрических услуг.

Существующие клиенты, использующие наши проприетарные продукты (сервис Gitlab.com и Enterprise Edition на своем оборудовании), могут, начиная с версии 12.4, увидеть дополнительные вставки в скрипты js, взаимодействующие с GitLab и\или сторонним сервисом телеметрии (например Pendo).

Для пользователей Gitlab.com: после обновления вам следует принять наше новое Соглашение по Обслуживанию. Доступ к web-интерфейсу и API будет заблокирован до принятия новых условий.
Это может привести к паузе в обслуживании через наш API для тех клиентов, которые используют интеграцию с нашим API, до тех пор, пока не будут приняты условия после входа через web-интерфейс.

Для пользователей со своим оборудованием: GitLab Core остается бесплатным ПО. GitLab Community Edition (CE) остается отличным вариантом, если вы хотите установить себе GitLab без использования проприетарного ПО. Он выпускается под лицензией MIT, и не будет содержать проприетарного програмного обеспечения. Многие проекты с открытым исходным кодом используют GitLab CE для своих нужд SCM и CI. Повторимся, изменений в GitLab CE не будет.

Ключевые изменения:

Gitlab.com (SaaS версия GitLab) и проприетарные пакеты для самостоятельной установки (Starter, Premium и Ultimate) теперь будут включать дополнительные вставки в скриптах JavaScript (как с открытым исходным кодом, так и проприетарные) для взаимодействия как с GitLab, так и, возможно, со сторонними сервисами телеметрии (мы будем использовать SaaS Pendo).

Мы будем раскрывать все варианты такого использование в нашей политике конфиденциальности, включая цели применения собранных данных. Мы также позаботимся о том, чтобы любая используемая нами сторонняя телеметрическая служба имела стандарты защиты данных, как минимум, не хуже тех, что уже используются в GitLab, и мы будем стремиться к соблюдению SOC2. Pendo соответствует SOC2.

Если у вас есть какие-либо вопросы, пожалуйста, свяжитесь с нами по support@gitlab.com

Спасибо,

GitLab Team
Что вы думаете по этому поводу?

P.S.: Новость на OpenNet

UPD.: GitLab отложила внедрение телеметрии в свои продукты: Enterprise Edition — не будет добавляться (пока?), но в SaaS сервисе Gitlab.com — надо будет явно от нее отказаться (устанавливая Do-Not-Track в браузере для этого сервиса). Дополнительно к Pendo будет использоваться Snowplow.
  • +18
  • 4,7k
  • 7
Southbridge
564,94
Обеспечиваем стабильную работу highload-проектов
Поделиться публикацией

Комментарии 7

    +2
    И чо?
      +2
      Если перейти по ссылке на новость в opennet, а после на оригинальную, то можно заметить такую незначительную строчку:

      В том числе явно допускается размещение проприетарного JavaScript-кода для сбора телеметрии, полученного от сторонних поставщиков


      То есть, платные версии gitlab могут получить js код, который может слить содержимое репозиториев для «аналитики». Так как фиг знает что за код могут дать сторонние поставщики.
      +1
      Pendo соответствует стандарту SOC2.

      Исправьте, пожалуйста: SOC2 это не «стандарт». Это такой бэйдж, который можно получить, заплатив за «аудит». Что для этого нужно — полностью на усмотрение аудитора, SOC только описывает, как бумажки оформить. Там, в частности, есть такие вот «небольшие» требования:
      The entity protects personal information during system design, development, testing, implementation, and change processes to meet the entity's objectives related to privacy.

      Вы думаете, там дальше подробно расписано, что делать? Нет, это вы сами с вашим «аудитором» придумаете и сами себе оценку выставите по вами же придуманному критерию. «За всё хорошее, против всего плохого!»
        0

        спасибо!

        +1

        Как минимум это нас остановило от обновления, т.к. очень странным видится данное нововведение,
        Да и не проходит оно наши проверки иб в таком виде.

          0
          а как проходят ваше иб не исправления уязвимостей и багов которые вы не пофиксили не обновившись?
            +1
            Взвешиванием всех «за» и «против».
            Ввиду того, что компания связана с ВПК, любые механизмы с неконтролируемым сбором данных прибавляют +100500 к весу чаши «против».
            В данном случае, не смотря на то, что сервера абсолютно изолированы от глобальной сети, js-ка выполнялась бы на клиентской машине, в числе которых есть расположенные вне «колпака» (через туннели подключаемые к сети).
            Да и вообще не ясно, зачем такой механзим нужно в hosted версию добавлять.
            Благо, они услышали голоса заказчиков и пересмотрели свои планы, но все равно знатно подмочили свою репутацию, кмк.

        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

        Самое читаемое