Github Copilot in der Arbeit?
 

Servus,

wollte mal die beruflichen Programmierer fragen ob ihr es Datenschutz-technisch bedenklich seht, mit Github Copilot zu coden?

Muss öfters was in der Arbeit mit internen, "sensiblen" Daten programmieren und bin mir da bisschen unsicher wie "leak-anfällig" diese coding assistants eigentlich sind.

Habe das Häkchen mit "Do not use my code to train" weggemacht, aber reicht das?

Naja ein interner Server im Intranet des Unternehmens bzw. Zuhause wäre da sinnvoller. Github gehört prinzipiell zu Microsoft und damit fließen die Daten wahrscheinlich gen USA. Kommt halt drauf an wie Sensibel die Daten sind. Stichwort Industriespionage und Diebstahl geistigen Eigentums.
Das ist auch prinzipiell das große Problem was ich mit der Cloud habe, gerade mit nicht Europäischen....gibt ja auch keine Europäischen :D. Alles fließt irgendwo hin und am Ende nutzt jemand deinen Code und macht Geld damit.
Da wäre halt Gitlab die bessere Alternative da du da deinen eigenen lokalen Server aufsetzen kannst.

Das ist eher eine Frage die du mit deinem Unternehmen abklären solltest.

Du kannst Github ruhig nehmen. Mitschauen kann sein, dass das Jemand macht, zumal Github mittlerweile Microsoft gehört. Ich kann Dir aber versichern ,das tausende von Firmen auf Github ihren SourceCode ablegen. Datenschutztechnisch ist das so zu sehen. Wenn Du keine Firmeninternen Daten, oder Kundendaten dort ablegst, ist das in der Regel kein Problem. Sollte eher das Gegenteil der Fall sein, dann rate ich Dir, eine OnPremise Lösung mit GitLab oder Azure DevOpsServer (Ja den kann man auch OnPremise) installieren, da die GitHub Server nicht unbedingt auf Datenschutzkonformen Servern liegen. Solltest Du von CodeKlau ausgehen, so glaube ich nicht das das passieren wird.

Zwei Aspekte:

Datenschutz:
Github Copilot verarbeitet laut Nutzungsbedingungen unter Umständen personenbezogene Daten.
Da es sich dabei eigentlich nur um E-Mail-Adressen aus der Commit-Historie handeln kann, schätze ich das Risiko aber eher gering ein. Daher kann man in der Privatwirtschaft sich entscheiden, das Risiko einzugehen. Solltest du aber in einem Projekt arbeiten, wo im Code selbst personenbezogene Daten vorkommen (sollte nicht), dann sieht das anders aus.

Informationssicherheit:
Mit kommerziellen Lizenzen sagt MS selbst, dass es dann den Code nicht zum Training benutzt. Außerdem werden aktuelle Sicherheitsrichtlinien (verschlüsselte Übertragung etc.) eingehalten. Insofern ist das für die meisten Anwendungsfälle nur eine Frage, wie sehr du Microsoft vertraust. Bei Firmen die eh Azure nutzen ist das relativ egal, aber der öffentliche Dienst hat da manchmal andere Anforderungen. D.h. für kommerzielle Unternehmen kann das Unternehmen selbst über den Einsatz entscheiden (Frag halt den Projektleiter, der soll das klären) und für Behörden kommts drauf an, wie sicherheitsrelevant der Bereich ist.

/edit sorry für doppelpost, die seite hatte bei mir wiederholt 404er

Wir nutzen Azure also spielts eh keine Rolle - solche Fragen werden bei uns immer von denen geklärt die die Lizenz beantragen bzw. bezahlen müssen. Sobald ich die Lizenz nutzen kann bzw. erhalte, kann ich davon ausgehen das Datenschutztechnisch alles bereits geklärt wurde

Hi,

es gibt mit an Sicherheit grenzender Wahrscheinlichkeit compliance-Regeln für den Einsatz von KI-gestützten Tools in Eurem Unternehmen. Falls nicht, solltest Du das an passender Stelle ansprechen; was sagt denn Dein direkter Linemanager dazu?

Kurze Antwort - es ist in der Regel nicht ausreichend, das Häkchen so zu setzen, es gibt allerdings auch entsprechend lizensierte Produkte, die den Einsatz ermöglichen. Kostenfreie Lizenzen erfüllen diese Bedingungen in der Regel nicht. Aber selbst bekannte Datenabgreifer wie Copilot sind datenschutzrechtlich bedenkenlos einsetzbar, mit entsprechender lizensierung (die übrigens selbst in einer E5 Lizenz nicht enthalten sind, sondern noch "obendrauf" gebucht werden müssen und nicht wirklich günstig sind).

IMHO lohnt sich das Geld. Allerdings weniger fürs coden (zumindest Copilot neigt dazu, Funktionen und Libs einfach zu erfinden; man denkt zuerst "Ach, das ist ja einfach, da hätte ich auch selbst drauf kommen können", bis man dann feststellt, dass der Konstruktor das Argument gar nicht kennt - gerade bei terraform passiert das echt häufig).
Wirklich Sinn macht Copilot im Collaborations-Umfeld - also man kann Copilot bitten, eine lange Mail- oder Teams-diskussion zusammenzufassen, das spart viel Zeit, oder, und das ist IMNSHO der echte Game-Changer, beim Verfassen von Antworten; man kann etwa sagen "verfasse eine antwort an Dieter, dass du seine anpassungen am frontend bis ende dezember fertig hast, bestätige ihm die richtigkeit seiner punkte unter berücksichtigung von christians antwort"; das klappt erstaunlich gut.