各位 V 友前辈好,我 2023 年毕业后,在一家 90 多人规模(技术人员大概 20 名)的初创公司做桌面运维。公司的项目托管在 GitHub 上。有新员工入职时,我会给他们一个类似于 [email protected] 的电子邮件,并用该邮件注册一个类似于 zhangsan-mycompany 的 GitHub 用户名,并要求他们自己修改密码。
自从本周五临下班,有两位同事表示无法登录账户,起初我以为和几天前 GitHub 配置错误阻止国内 IP 有关。但后来发现并不是,几乎所有账户都被封禁了,直接访问 github.com/zhangsan-mycompany 报 404 错误。用电子邮件登录时提示账户被暂停……导致研发人员的工作中断,一些最新的代码和项目无法本地获取……
目前,共有 17 位同事的账户被封锁,统计和分析可能的原因:

公司邮件问题? 但有一位后端开发一位安卓开发的账号还能正常使用(至少目前看起来都正常)

公司仓库问题? 公司业务是普通的衣帽类电商,没啥政策或法规风险。代码也是普通业务代码,而且有一个测试同事,从来没在上面上传过代码,完全是空号,也被封禁。

出口 IP 问题? 公司出口基本固定,IP 不太会变,IP 纯净度也较高。 (但受限于网络,研发同事基本都有自己的魔法工具)

第一次遇到,因为严重影响到研发部门的正常工作,需要说明情况和处理方案,但根据以上 3 点,感觉讲不通具体是什么原因。希望各位前辈可以给些建议:

怎么说原因,以及今后如何规避。
能否申诉找回? 大概的时间和成功概率。

先申诉问封禁原因吧,GitHub 回工单速度很慢,早问早开始解决问题
账号要回来后还是迁移到别的平台比较好

公司直接自建 gitlab 啊

信息不足。

如果你为员工建立了 Personal Account (定义见 docs.github.com/en/site-policy/github-terms/github-terms-of-service ),并且这些账户是免费的,并且你的员工自己有(别的、免费的) Personal Account ,并且两个 Personal Accounts 都是人类使用而非机器使用,则违反了“一个人最多一个免费 Personal Account (除了额外的一个机器账户)”的规定。

另外就是如果这些账户都是同一台电脑建立的,可能 GitHub 记得这件事,所以一个封了,其他的也就都一起被发现了。

如果是上面的情况,规避方法:不要帮别人创建 GitHub Personal Account ,除了上面的问题之外,还有一点比较重要的是你的员工可能没有被提示看 GitHub 使用条款,这会导致注册流程从合同角度不成立。让员工入职之后自己建立,或者使用自己本来就在用的账户,并且把公司邮件加入他的账户邮件里。

申诉找回:可以访问 support dot github dot com slash contact slash cannot_sign_in 申诉。如果是因为上面的原因,可以解释清楚状况并告知自己已经了解了规则,至少应该是可以取回数据的。

公司如果不自建,我觉得应该多仓备份。
如果你公司项目不做开源,也没必要放到 GitHub 吧?

补充说明: 还有可能是 action 被用的太猛导致的(笔记已经正常使用快 2 年了都没封号)。

年后有个新项目领导强调单测覆盖率要 70%以上,以及每次提交都要跑 CI 。 有位研发同事可能配置不对,导致 action 额度每个月前几天都用尽。 此情况已经持续 2 个月(刚刚知情)。

但在推上问了下,似乎很难申请找回...

老板好像说 gitlab(极狐) 出过什么舆情

一个人最多一个免费 Personal Account ....刚知道这规则.......

官网是开源的,但也没啥 star 。 主要还是想白嫖 issue/action 这几个功能

笔记 ---> 毕竟

这个我之前也没注意到, 我有一个公司邮箱的账户和一个个人邮箱的账户, 这么看以后还有风险.
我之前有考虑过合并, 但是因为两个账户分别都加入了组织, 导致合并不了, 现在有点尴尬.

公司财产怎么可以放到境外 Github 上, 必然是自己搭建一套存到公司里.

你们花钱了么,公司用还是花点钱吧

另外国内访问 Github 网络不好很麻烦啊,服务器上还要配置翻墙多恶心

gitlab 国内运营版叫极狐,确实出了一些舆情,知乎能搜到,但可以自建。或者试试阿里云效

搞了半天 lz 的公司使用公司邮箱注册的是个人账号,这明显不对呀,business 使用应该注册 team 账号的。

涉及到代码仓库这种重要资产,付费还能找到售后解决问题,免费的就只能撞大运了。

我记得 Github 使用同一个 IP 和浏览器长期登录多个账号,可能会被认为违反楼上说的那条规则从而被封号。

公司用 github,白嫖免费的也是离谱

等个后续,看能不能找回。
另外你这公司的规模也不算太小,却连个自建的镜像都没有,也是心大。GitHub action 记得刚出那会滥用的情况还不少,甚至有人用来做梯子的,之后就有了被封的消息。

公司用 GitHub 并没有什么不妥, 甚至免费用也可以. 但是账号策略有问题, zhangsan-mycompany 这样的用户明显是有问题的, 而 zhangsan 这样的用户看上去则正常.

  1. 个人用户就用个人账号.
  2. 代码应该归属于组织账号 (公司账号).
  3. 个人加入组织, 以获取组织内的代码权限.

从正文描述来看, 现在也没有出现代码丢失的问题, 只是一些访问这些代码的账号被 ban.

90 多人这规模,居然不自己搭建一个 git ,几个人的公司都自己搭建了。

500 强直接用 github 的也不少,这根本不是问题。OP 最大的问题是不用企业账户

国内,考虑阿里云效或者腾讯 coding 。单纯仓库就自建 gitlab ,腾讯云的工蜂也可以。

技术人员 20 个左右,其中 15 个都是最近一年入职的...

但是 zhangsan 一般都被注册了,加上-company 后缀基本是唯一的

不是,所有代码都在 CTO 的账号下面,然后 CTO 给需要权限的开发开读/写权限。 现在 CTO 的账号也被禁用,所以最新的代码目前获取不到。 但大多数代码研发本地都有

企业用户是要付费吗? 刚入职时研发才三四个人,直接就用个人版 github 了

出口 IP 是一个,但机器和浏览器都不一样

企业用户一般是 Github Enterprise
github.com/customer-stories/enterprise

企业用肯定是要掏钱的啊,要么掏钱要么本地托管代码仓库

要的 人家就指望這點收入了。想當年我們兩個人都付費

#26
应该付费,员工使用自己的个人账号,入职的时候拉进你们的 org

而且你们在同一个 IP 上 同时段操作 GitHub ,大概率还是同一个 repo ,这个行为本身就很可疑了,说不定被 github 当成 spam bot 封了也有可能。

再次证明 信创多么重要。

先申诉,然后升级付费套餐,保护费还是要交的。

牛马就想着为公司股东省钱😅