hab ich doch gesagt

Ich auch

mit der Einschränkung, dass bei meinem "und co" kein SVN (mehr) enthalten ist.

"German Angst"?

Und Du glaubst wirklich, dass ein von Dir selbst betriebener Server es sicherheitstechnisch auch nur annähernd mit einem darauf spezialisierten Unternehmen, das genau davon lebt aufnehmen kann?

Aber natürlich sind Deine weltverändernden, bahnbrechenden Geheimalgorithmen auf einem virtuellen deutschen Massenhoster-Server sicherer.

http://programmers.stackexchange.com...ub-or-bitbucke

Klar, das Fehlen einer Domain für einen Server macht den Server selbst sicherer.

VORSICHT! SourceTree ist von den Machern von BitBucket. Wie kannst Du sicher sein, dass die nicht ganz klammheimlich Deinen Quellcode mitlesen? Sind doch ein Unternehmen aus "Amerika und Co."(Australien zähle ich jetzt mal zu Co.).

Begründete Angst, und nicht nur in Germany:

• Ehemaliger NSA-Technikchef bestätigt amerikanische Industriespionage
• Industriespionage mit NSA-Daten möglich
• Vorsprung durch Spionage
• USA betreiben ohne Zweifel Wirtschaftsspionage
• Edward Snowden wirft NSA Industriespionage vor
• Studie Industriespionage 2014 (96 Seiten)
• USA saugen bei deutschen Unternehmen Know-How ab
• Ja, meine Freunde, wir spionieren euch aus

Google liefert ungefähr 22.700 Ergebnisse für nsa+industriespionage – alles "Verschwörungstheorie"?

Nö. Bitte nochmal lesen. Ich rede nicht von (begründeter oder unbegründeter) Angst vor Industriespionage. Ich rede von der Angst vor dem Mitlesen des ach so wahnsinnig geheimen Quellcodes, der für sich gesehen so gut wie keinen Wert hat: http://articles.marco.org/260

Das ist übrigens auch ein Grund, warum manche Unternehmen ihren Kunden vollständigen Zugriff auf den Quellcode ihrer Produkte gewähren. Atlassian z.B. ist ein Beispiel dafür.

Wieso glauben viele - vor allem deutsche? - Unternehmen eigentlich, dass das Vermögen im Quellcode liegt? Der Mitarbeiter, der sein Wissen gegen Cash viel effektiver an den Mitbewerber weitergeben könnte, der wird nicht so umhegt und gepflegt.

vor dem Mitlesen hätte ich jetzt auch keine so große Angst (beim Quellcode), allerdings schon eher, dass sich jemand die Sourcen besorgt und damit zu meinem Auftraggeber marschiert und der mich in Grund und Boden verklagt... Und dann kannst Du lange und breit erklären, dass der Quellcode für sich keinen großen Wert hat - wird niemanden interessieren...

Klar kann man jedes Horrorszenario herbeidiskutieren. Ich bleibe aber dabei: ich halte ein Git-Hosting bei darauf spezialisierten (und vor allem davon lebenden) Anbietern nicht per se für unsicherer als auf einem virtuellen Server eines Massenhosters.

Ich kann mich an einen Fall bei einem unserer (früheren) Provider erinnern, wo auf Grund einer Fehlkonfiguration alle Ressourcen (also auch Festplatten) für alle Guests eines Hosts sichtbar waren. Der Fehler wurde erst nach Monaten bemerkt.

Oder wie viele VPN- oder SSH.Credentials mittels - natürlich unverschlüsselter - Email versendet werden.

Oder wie viele Festplatten in Firmen-Notebooks unverschlüsselt sind.

In unserer Firma kommen im Jahr ca. 5 Notebooks mit sensiblen Daten verlustig. Wenn die Daten darauf nicht hinreichend verschlüsselt wären, dann würde ich nervös werden. Aber doch nicht, weil ich meine Quellcodes auf BitBucket hoste.

Nehmen wir mal an, du entwickelst in jahrelanger Kleinarbeit eine Anwendung bis zur Marktreife und hoffst nun, Käufer zu finden, um davon leben zu können, verfügst aber nicht über ausreichende Mittel, um im großen Stil dafür zu werben. Inzwischen hat eine darauf spezialisierte Firma die Marktreife deines Produkts erkannt, sich die Sourcen via illegalem NSA-Kontakt* besorgt, das Ding kompiliert und via aufwendiger Produktreklame zigtausendfach verkauft, und zwar zu einem geringeren Preis, als du es auf deiner Firmenhomepage anbietest. Du kannst jetzt nicht einmal mehr beweisen, daß es sich um deine Sourcen handelt.

* Es ist bekannt, daß die NSA regelmäßig amerikanische Firmen dazu zwingt, Daten oder Keys an die NSA herauszugeben, und im Prinzp keine amerikanische Firma davor geschützt ist. Es wird auch vermutet, daß zahlreiche amerikanische Softwareprodukte über "Hintertüren" verfügen, um amerikanische Industriespionage zu ermöglichen.

Wenn man einen Anbieter zum hosten nimmt, dann ist immer besser, einen darauf spezialisierten Anbieter zu nehmen. Aus den von dir genannten Gründen. Aber: sobald du etwas bei einem Anbieter hostest, hast du im Bezug zu geschütztem Zugriff lediglich die Sicherheit, dass min. eine staatliche Institution Zugriff darauf hat. Woauchimmer der Server steht, das Land hat mit höchster Wahrscheinlichkeit die Möglichkeit, an die Daten dort zu kommen. Das beschränkt sich nicht nur auf die USA. Ich würde sensible Daten weder dort, noch in Russland, China, Korea oder Deutschland horten.
Ob sich der Aufwand für einen privaten Server bei Quellcode lohnt, hängt davon ab, was die Anwendung machen soll, bzw. wie hoch das Risiko für Angriffe ist. Kurz gesagt muss der Aufwand für einen erfolgreichen Angriff größer sein als der Nutzen davon.

Edit:
Es wird auch gemunkelt, dass im Bezug auf Zugriff von Daten bei Hostern die Deutschen nicht besser sind... Wenn du auf dem Level von Vorsicht bist, ist ein Online-Hoster raus aus der Diskussion.