Codestream: A integração do Slack requer muitas permissões, e nem a política de privacidade nem o endereço dos termos de serviço explicam como ou por que o CodeStream usa essas permissões ou protege as informações coletadas do Slack

Aprecio totalmente sua preocupação @BernsteinA . O principal a ser observado aqui é que, além de seu nome de usuário, e-mail e alguns campos de perfil, nenhuma informação do seu espaço de trabalho do Slack é acessada ou armazenada em nossos servidores.

Estamos trabalhando ativamente com a equipe de engenharia do Slack para tentar reduzir o número de escopos ao mínimo necessário para permitir a funcionalidade que o CodeStream oferece.

Talvez você possa colocar "além do seu nome de usuário, e-mail e alguns campos de perfil, nenhuma informação do seu espaço de trabalho do Slack é acessada ou armazenada em nossos servidores" em sua política de privacidade?

Excelente sugestão! Nossa política de privacidade atual obviamente foi escrita antes de adicionarmos a integração do Slack.

Acompanhando isso.

As permissões atuais do Slack pedem:

• Receba todos os eventos do MadKudu em tempo real
• Acesse todo o conteúdo no MadKudu

Isso parece melhor do que o que foi originalmente descrito na edição, mas ainda é exagerado. Tendo construído uma integração do Slack, sei como isso pode ser irritante. Mas, no momento, não posso permitir esse nível de permissão sem um acordo legal no Codestream.

Minha equipe adoraria usar seu produto, então sinta-se à vontade para entrar em contato comigo em [email protected]

@pcothenet - Entrarei em contato com você por e-mail.

@planteater algum movimento sobre isso? Você ainda está solicitando acesso total de leitura/gravação a todos os canais do Slack

@BernsteinA - Ainda não há alterações. Deixe-me descrever a situação aqui, pois adoraria saber sua opinião. De um modo geral, temos duas opções.

A primeira opção é a que temos hoje, que por um lado requer amplo acesso, mas por outro permite um modelo em que suas mensagens não passam pelo backend do CodeStream. Seu cliente VS Code se comunica diretamente com o Slack. Embora os escopos que exigimos pareçam onerosos, na verdade é para permitir que você, por meio de seu editor, acesse o Slack, e não os servidores da CodeStream.

A outra opção seria reimplementar a integração do Slack de uma maneira que exigiria escopos mais limitados, mas exigiria que você adicionasse explicitamente um bot do CodeStream a qualquer conversa do Slack com a qual desejasse interagir por meio do CodeStream. É importante ressaltar que isso também significaria que suas mensagens de/para o Slack teriam que passar pelo back-end do CodeSteam.

Quais são seus pensamentos sobre essas duas opções?

Se for o caso de as permissões permitirem que meu cliente VS Code acesse o Slack, você deve dar aos usuários a capacidade de configurar sua própria integração em https://api.slack.com/apps

A outra opção, criar um usuário de bot ou uma integração por canal, seria mais padrão e daria aos usuários finais uma imagem muito mais clara de quais mensagens/dados podem ser vistos pelo CodeStream (ou seja, apenas mensagens enviadas ao bot ou em um canal ao qual o bot foi explicitamente adicionado).

Devo dizer que também fiquei um pouco preocupado quando vi os escopos que o CodeStream estava pedindo ... melhorias neste tópico certamente serão apreciadas 😉

Este é um disjuntor para a minha empresa também! Tudo bem se o CodeStream tiver acesso a conversas sobre o código, mas tudo é impossível para nós...

Mesmo aqui. A ferramenta em si parece incrível, mas não vai com as políticas da empresa para muitas pessoas, eu acho.
Acho que usar bots em canais escolhidos é a maneira (padrão) de implementar isso, sem ter que

Adoraria saber de quaisquer atualizações sobre este problema!

As integrações personalizadas do slack também parecem boas, mas a solução de bot proposta parece mais conveniente.

Apoiando isso. Este foi um grande obstáculo, e se minha empresa detectar que eu posso estar em apuros.

@BernsteinA - Ainda não há alterações. Deixe-me descrever a situação aqui, pois adoraria saber sua opinião. De um modo geral, temos duas opções.

A primeira opção é a que temos hoje, que por um lado requer amplo acesso, mas por outro permite um modelo em que suas mensagens não passam pelo backend do CodeStream. Seu cliente VS Code se comunica diretamente com o Slack. Embora os escopos que exigimos pareçam onerosos, na verdade é para permitir que você, por meio de seu editor, acesse o Slack, e não os servidores da CodeStream.

A outra opção seria reimplementar a integração do Slack de uma maneira que exigiria escopos mais limitados, mas exigiria que você adicionasse explicitamente um bot do CodeStream a qualquer conversa do Slack com a qual desejasse interagir por meio do CodeStream. É importante ressaltar que isso também significaria que suas mensagens de/para o Slack teriam que passar pelo back-end do CodeSteam.

Quais são seus pensamentos sobre essas duas opções?

Para meu próprio slack ou um slack baseado em equipe, o primeiro seria aceitável; no entanto, para minha empresa, isso é um grande impedimento.

Eu prefiro ter bots se isso for viável.

Quero obter algumas opiniões sobre possíveis mudanças aqui. Se o aplicativo Slack do CodeStream…

• Estava no diretório de aplicativos do Slack
• Não é mais necessário o escopo “Receber todos os eventos do $workspace em tempo real”
• Acesso necessário apenas a “todo o conteúdo” em seus canais públicos (talvez com uma opção para permitir o acesso a canais/DMs privados também se você quiser compartilhar marcas de código em canais/DMs privados)
• Ouviu apenas as respostas às marcas de código nesses canais e não em outras postagens.

Isso lhe daria a tranquilidade necessária para usar a integração do Slack?

@planteater isso parece razoável. Existe uma maneira de adicionar apenas o ouvinte a determinados canais?

Além disso, suponho que você atualizará os TOS e a política de privacidade? Não há nada lá, até onde eu saiba, que cubra os dados coletados via Slack, os comentários do codestream ou o próprio código-fonte.

@planteater isso soa melhor, mas tenho os mesmos comentários que @BernsteinA

@planteater Algum movimento sobre isso? Minha empresa não pode/não usará codestream até que esse problema seja resolvido. Imagino que seja o mesmo para muitos outros. É uma pena porque o codestream parece incrível, mas essas permissões simplesmente não são adequadas para quase nenhuma empresa.

@AndrewMorsillo - No momento, você pode ter uma equipe que aproveita as mensagens do Slack ou uma que usa as próprias mensagens do CodeStream. Simplesmente não há como fazer a integração atual do Slack sem essas amplas permissões, pois é a única maneira de fazer com que as respostas postadas do Slack apareçam no CodeStream.

Dito isso, nosso plano é adicionar um tipo diferente de integração do Slack às equipes que usam as mensagens do CodeStream. Basicamente, uma maneira de compartilhar qualquer marca de código para o Slack como meio de notificação. Essa integração do Slack terá as permissões básicas com as quais você provavelmente está acostumado, portanto, resolverá esse problema, mas, como resultado, você não poderá responder diretamente do Slack. No entanto, você seria capaz de clicar no Slack para uma página da Web onde poderia responder ou fazer um link direto diretamente para seu IDE, onde poderia responder via CodeStream. E, claro, haverá notificações por e-mail que você também pode responder.

Se você quiser começar a chutar os pneus no CodeStream agora, sugiro se inscrever sem a opção Slack e, em seguida, você poderá aproveitar esses novos recursos de compartilhamento quando estiverem prontos no próximo mês.

@planteater obrigado! Vamos tentar sem a integração do slack por enquanto. Eu acho que seria perfeitamente bom para o CodeStream usar uma integração de folga mais "normal", onde o aplicativo CodeStream só tem acesso aos canais que podemos controlar. Pelo menos para minha equipe, isso seria tão útil quanto o modelo atual e não haveria problemas de permissão.

Para responder ao seu outro comentário https://github.com/TeamCodeStream/CodeStream/issues/14#issuecomment -493461174 Não acho que nenhum tipo de integração em que o CodeStream solicite "todo o conteúdo" funcionará para muitas pessoas. Não funcionaria para a minha equipe. Isso representa um risco de segurança muito grande, pois não há como saber quem / deseja que esteja acessando "todo o conteúdo". Mesmo se você der à comunidade garantia (nós acreditamos em você!) que é apenas o cliente slack no editor ou que ele só ouve certas mensagens, sempre parecerá muito arriscado - e se o seu serviço for pwned e agora um ator nefasto controla um aplicativo slack que tem acesso total a toneladas de instâncias slack das pessoas?

A nova integração do Slack não exige mais permissões extensas para seu workspace. Especificamente, não precisamos mais acessar seus históricos de canal/DM.