従業員に「作業」GitHubアカウントの作成を依頼することをお勧めしますか？

会社のすべてのGitリポジトリをGitHubに移動しました。次に、プロジェクトに従業員を追加します。ほとんどの従業員はすでに個人的なGitHubアカウントを持っているので、仕事用の GitHubアカウントを作成するように依頼する必要があるのか​​と思っています。私がこれを行うことを考えている理由は、コードベースへの不正アクセスの可能性を減らすためです。なぜなら、彼らの個人アカウントはサイトでの個人活動を通じて十分に公表され、標的型攻撃の可能性が高まるからです。さらに、個人アカウントが危険にさらされたとしても、ハイジャック犯が会社コード全体にアクセスできるということにはなりません。これは従業員のために2つのアカウントを維持する負担をもたらすので、それが正しいアプローチであるかどうか、そしてそれが理にかなっているかどうか疑問に思っています。

更新 すべての有用な洞察力をありがとう。質問/回答の主観的な性質のため、またいくつかの異なる回答から最高のポイントを取得したため、回答を受け入れられたものとして設定しません。

この方法で進むことにしました。実際の理由から、仕事関連のGitHub電子メール通知を仕事用電子メールアカウントに送信する必要があることを従業員に思い出させます。したがって、作業用のGitHubアカウントを作成する方が理にかなっています。個人のGitHubアカウントを使用して仕事用の電子メールアカウントに接続する場合は、それで問題ありません。とにかく、従業員は書面でGitHubの使用に関連するいくつかの条件に同意する必要があります。これらはアカウントのセキュリティに関連しています：他のアカウントで使用されていない安全なランダムパスワードジェネレーターを使用して安全なパスワードを選択する、所有または管理されていないコンピューターを介してGitHubにアクセスしない、など。仕事のアカウントが彼らにとってより意味があるかどうかを自分で決めます。

利益があった場合、それは単に苦痛になります。しかし、痛みを伴う無意味なものほど悪いことはありません。単一の個人アカウントを持っているだけです。2つの理由：

• Githubは、組織内で非常に優れたアクセス制御を備えています。従業員が退職した場合、すぐにアクセスを削除できます。彼らが会社のアカウントを持っている場合は、記載されているメリットを得るために何らかの方法でアカウントを取り戻す必要があります。実際には、個人アカウントを持っている場合と同じように、おそらくアカウントアクセスを削除するだけです。

• 複数のアカウントを持つことは苦痛です。アカウント間でログインおよびログアウトするのが痛く、コメントを追加したり、異なるアカウントを使用しているときにすべてのソーシャルなものを追加したりします。

参考資料：GitHub統合を備えたCIサーバーを作成しているため、多くのテストアカウントがあります。また、個別の作業アカウントや個人アカウントなど、あらゆる種類の奇妙な構成を持つ顧客と話しました。常にトラブルにつながります。

会社のコードはパブリックまたはプライベートのリポジトリにありますか？それら（または少なくとも一部）が公開されており、従業員が自分のGitHubアカウントを使用できるようにした場合、適切なコードを記述することはインセンティブになります。彼らの名前は、文字通り、公に付けられます。ただし、すべてのリポジトリはプライベートであると想定します。

全体として、従業員のアカウントがGitHub全体に公開されないようにしたいようです。残念ながら、彼らはGitHub Enterpriseを売ってお金を稼いでいるので、それが組織のプライベートアカウントを作成できない理由の1つだと思います。どちらの場合でも、リポジトリをホストする非常にソーシャルなサイトを選択した後、（本質的に）ロックダウンされた仕事用アカウントを持つことは、本当に直感に反するでしょう。

従業員の仕事用アカウントを設定したと想像してください。それらのアカウントの使用方法に制限を設けますか？作業目的で非作業プロジェクトにコードを提供することを許可しますか？そうだとすれば、彼らのアカウントが公開され、最初の懸念に戻ってしまいます。あなたは彼らに彼らの個人的なアカウントで寄付をすることを許可することができますが、それからあなたは彼らのためにロジスティックの痛みポイントを作成しています。個人的に、私は従業員が他のプロジェクトにコードを自分自身として貢献することを奨励します。これは、彼らに自信を与えてくれるだけでなく、貴重な経験を得て、彼らの信頼を築くことを可能にします。

いずれにせよ、仕事用アカウントを持つことは努力する価値があるとは思いません。GitHubインターフェイスを使用すると、誰が何にアクセスできるかを簡単に制御できるため、アクセスの削除はどちらの方法でも簡単です。また、GitHubインターフェースがすでに行っているよりも、個別のアカウントを持つことで、個人プロジェクトと作業プロジェクトの間に実際に「線を引く」ことはないと思います。

また、会社の成長に合わせてこれにどのように対処するかを念頭に置いてください。設定したポリシーは、管理の観点からスケーラブルになりますか？現在5つのアカウントを管理するのは問題ないかもしれませんが、20または50に成長するとどうなりますか？しかし、そのポイントに到達したら、GitHub Enterpriseが親しみやすいソリューションになるかもしれません。その場合、GitHubアカウントをGitHub Enterpriseインストールに移行できるかどうかを検討することを検討します。もしそうなら、仕事のアカウントを持っている1つの肯定的な理由であることを見ることができます。

問題ではなく、実際にはかなり良いアイデアです。

残念なことに、会社の生活のある時点で従業員が組織を離れる計画を立てる必要があります。その時点で、会社のリポジトリから個人アカウントをどのように解放しますか？

従業員が不適切な条件で退職した場合はどうしますか？理想的な世界では、すべてがプロフェッショナルのままであり、会社と元従業員の間に敵意はありません。理想的ではない状況を計画するのが賢明でしょう。

2つのアカウントを維持するのは大変ですが、従業員はこの機会を歓迎すべきです。それは彼らのものと会社のものとの間の明確な線を提供します。

編集：ここで懸念されるのは、プロジェクトX、Y、Zなどに対する従業員の個人的な貢献と、会社の製品に対する彼らの有料の仕事を明確に分離することです。個別の作業アカウントを使用すると、誰がどの知的財産および関連する著作権を所有しているかを特定するのに必要な描写を提供できます。

たとえば、従業員が個人アカウントを使用して会社とプロジェクトXの両方に貢献している場合、その時点で従業員がどのような役割を果たしているかをどのように特定しますか？あなたの会社に代わってXに貢献したのですか、それとも彼ら自身の裁量によるものですか？従業員または会社は、Xに与えられたその作品の著作権を所有していますか？さらに言えば、会社の仕事への外部からの寄付を許可する場合、従業員が従業員であるか、それが自発的な寄付であるかをどのように区別しますか？

より広い意味で、他のプロジェクトに貢献することで会社を代表して評判を築く従業員がいるとしましょう。その従業員が退職するとき、個人ユーザーアカウントが会社に関連付けられなくなったことをどのように示しますか？深刻なブランドの問題は、特定のアカウントが何であるかを明確に描写しなくても発生する可能性があります。

潜在的なシナリオを考え始めると、所有権、ブランド、著作権に関する懸念のウサギの痕跡を簡単に見つけることができます。個別の作業アカウントを使用すると、このあいまいさの一部を取り除くのに役立ちます。会社は、その名のもとで行われた貢献に対して主張をすることができる必要があります。

ユーザーアカウントを分離することの技術的な側面ではなく、法的な問題です。

あなたの会社の製品がすべて許可されたライセンスの下でオープンソースとしてリリースされている場合、および/または潜在的なブランディングの問題についてまったく心配していない場合、これは重要なポイントになる可能性があることに注意してください。
（この編集をリクエストしてくれたPaul Biggarに感謝します）

雇用主が両方を分離する必要がないことに誰もが同意しているように見えるので、仕事の文脈で行われたプロのプロジェクトとオープンソースの貢献に私の個人アカウントを使用した私の短い経験があります。

コンテキストを完全なものにするために、アカウントについては何も質問されませんでした。実際、GitHubは職場のほとんどの人には知られていません。私は単に、作業中のプロジェクトをオープンソース化するために青信号を取得することができ、最小限の作業で、つまり個人アカウントを使用して行った。

従業員の観点から、私が本当に嫌いなことの1つは、仕事に関する個人の電子メールで通知を受け取ることです。

その観察から、私はそれが専門的/個人的な障壁を露骨に壊していることに気付きました：休み中にプロジェクトに貢献したい場合、私はまだ仕事プロジェクトからすべての更新を取得します...そしてそれは外部の貢献者に混乱をもたらす可能性があります、あなたがそのプロジェクトから離れていることを知らずにあなたに連絡するかもしれません。

それからもちろん、あなたの個人的な評判があなたの仕事の貢献から得ることができるという事実と見つけるバランスがあります。しかし、あなたの名前が貧しいプロジェクトに関連付けられている場合、それは逆になります...

結局、雇用主の観点から質問が行われ、他のすべての答えを考慮して、仕事専用のアカウントを使用して強制することはおそらくあまり意味がないと思います。しかし、あなたはそれを禁じるべきではないので、個人的な障壁を高めることを好む従業員がそうするかもしれないし、おそらくそれらのリスクについてのヒントが…？

サイドノートとして、セキュリティに関しては、他の回答では簡単に解雇されるようです：

もちろん、「仕事用」アカウントは、パスワードに関する「個人用」アカウントほど安全ではありません。ただし、GitHubを使用している場合は、SSHキーでプッシュできます。そして、そのキーは通常、セッションにあります。そのため、個人アカウントは、単純なパソコン盗み（パスワードの知識なし）ですべての作業リポジトリを危険にさらすことができます。より物理的に安全に（できれば）。

「いいえ」に投票します。開発者にとってはかなり面倒であり、あいまいさによってセキュリティを提供します。誰かが開発者を積極的に標的にしている場合、他の誰かがあなたのコードを取得するための攻撃手段がたくさんあります。

さらに、あなたがコードを手に入れる魔法の秘密ソースタイプのアルゴリズムをたくさん持っていない限り、スタートアップとしてはあなたのコードを取得する人は恥ずかしく、ひどく、不愉快になりますが、大きな競争上の優位性をもたらすべきではありませんコード？）またはあなたを廃業させる。

開発者の生産性に対する注文確率の低さは？開発者の生産性を考えますが、それが私の計算です。:)

私はそれが従業員に残された選択であるべきだと思います。私が言いたいことの一つは、彼らがしたくない場合は、個人のgithubアカウントを使用することを強制しないでください。私はGitHubを使用している会社にいて、それは必須ではありませんでしたが、個人的に別のアカウントを作成したかったのです。主な理由は、個人プロジェクトを保護することでした。私の会社のプロジェクトの1つは、会社のプロジェクトに使用されたのと同じgithubアカウントの下にあったので、会社に言わせたくありませんでした（それが法廷で持ちこたえるかどうかはわかりませんが、あまり信仰はありません）このようなことになると法制度で）。きれいに分けておくのはいいことだと思います。

私たちは会社でそれをやっています。「誰がルートアクセス権を持っているか、バックアップが機能しているかどうかわからない、テーブルの下のgithubまたはサーバーの方が安全かどうか」などの議論を始めたくありません。私たちのアプローチは：

• すべての開発者は、個人のgithubアカウントとは関係のない新しいアカウントを作成する必要があります
• 会社のメールを使用する必要があります。
• セキュリティルール（ログイン名とパスワードの要件）に準拠している必要があります。
• 彼らは公共の活動を見せたり持ったりすることはできません。
• それは会社の財産です。彼/彼女のアカウントではありません。
• すべてのアカウントは、ランダムな名前の会社にも接続されています。公的な活動もありません。

このQ＆Aは数年前のものであるため、以前は利用できなかったかもしれませんが、ユーザーアカウントと組織アカウントの違いには次のように明記されています。

個人用やビジネス用など、複数のユーザーアカウントを持つのは魅力的かもしれませんが、必要なアカウントは1つだけです。

GitHubは、リポジトリなどで通知をオン/オフするための優れたツールを構築しているため、個人/作業を組み合わせることが最も理にかなっているようです。

人々はまだクラウドベースのソースサーバーを信頼していません。Githubは多くの新しい時代のWeb企業が彼らと契約していることを誇っていますが、本当の事実は、ほとんどの人がソースコードを維持するための独自のサーバーを持っているということです。私の経験では、それらのほとんどはクリアケースまたはSVNを使用しています。Gitはまだエンタープライズ環境に適応されていません。企業のメールサーバーでさえ、会社の敷地外ではあまり高く評価されていません。