حماية التعليمات البرمجية المصدر من السرقة أثناء التطوير [مغلقة]
https://stackoverflow.com/questions/4055513
-
27-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
هل هناك أي طريقة لحماية قانون بلدي خلال التنمية بحيث إذا مطور أوراق الشركة أنها غير قادرة على الوصول إلى الملفات الموجودة في المشروع ؟
وهذا أمر مهم خاصة مع TFS حيث المشروع يتم تحميلها محليا, مؤقتا, متوفرة للاستخدام دون اتصال.ومن الناحية المثالية سوف يكون رمز غير قابل للقراءة إذا لم يكن لديهم صالح "Active Directory" معرف المستخدم.
حتى إذا كانت هذه الفكرة غير ممكن ، أود أن تعلم من أي عملية الردع يمكنك التفكير...
المحلول
عليك أن تمد شكل من أشكال الثقة لمطوريك. إذا لم تتمكن من الوثوق بهم بعدم أخذ التعليمات البرمجية المصورة معهم ، فكيف يمكنك الوثوق بهم بعدم بناء الأبواب وما شابه ذلك في أنظمتك؟
علاوة على ذلك ، إذا كانوا سيعملون على الكود ، فسوف يحتاجون إلى الوصول إليه ، وإذا تمكنوا من الوصول إليها ، فيمكنهم من المؤكد أن نسخه. يمكنك محاولة الحد من ذلك ، لكنك تحاول أن تفوق مسبقًا على مجموعة من الأشخاص الذين يحتاجون فقط إلى العثور على خطأ واحد قمت به. علاوة على ذلك ، فإن عدم الثقة في مطوريك لن يساعدك على أي حال.
هل هناك أسرار تجارية فعلية مدمجة في الكود الخاص بك؟ إذا كان الأمر كذلك ، فقد ترغب في إعادة التفكير في ذلك. إذا لم يكن الأمر كذلك ، فكم من الضرر الذي سيحدث في حيازة شخص آخر؟ لا يمكنهم استخدامه بشكل قانوني ، وغالبًا ما يكون المطورين الذين يغادرون قادرين على كتابة شيء مشابه على أي حال.
لهذا ، تريد الحماية القانونية ، وليس التقنية.
نصائح أخرى
على افتراض أنه يمكنهم قراءة الكود وتجميعه أثناء وجودهم هناك ، لا يوجد الكثير مما يمكنك القيام به (ما لم تحظر عصي USB ، وكتاب CR ، ومسح جميع بريدهم الإلكتروني وما إلى ذلك ، وحتى بعد ذلك سيجدون طريقة لهزيمة ذلك) .
غطيته في عقد التوظيف ، أوضح أنه في حالة ظهور القانون ، سيكون هناك إجراء قانوني.
(لقد حدث هذا لي في حياة سابقة - لقد أخذ موظف الكود معه. لقد عرفنا بسبب خطأ ارتكبه في القيام بذلك ، وأرسلنا خطابًا من طيورنا يشيرون إلى عواقب الكشف عنه رمز لأي شخص آخر. بدا أنه يعمل)
إذا كنت خائفًا من فقدان رمز ككل (بدلاً من جزء ملصق نسخ الموظف) ...
مع نظام إدارة التعليمات البرمجية المصدر (لديك واحد ، أليس كذلك؟) ، من المحتمل أن يكون لديك بعض السنانير بحيث عندما يحصل المستخدم على الرمز ، فإن جزءًا منه هو ملف ثنائي مخصص لهذا المستخدم فقط وهو ضروري للرمز لتجميع بشكل صحيح وتشغيله بشكل صحيح ... إذا قمت بالضغط إلى أقصى الحدود ، فهذا يعني وجود نظام الأجهزة الصحيح (TPM ، مفاتيح الأجهزة ... إلخ).
لذلك بعد أن تعاملت مع جميع الأوراق كما يقترح بول على سبيل المثال ، إذا كانت الكود تتسرب في أي مكان ، يمكنك تتبع من هو على خطأ (ومعرفة ذلك من المحتمل أن يردع أي شخص حتى المحاولة)
كل الأشياء التي تم النظر فيها ... لا (خاصة إذا تم تخزين المشروع محليًا كما ذكرت). إذا كان لدى المطور إمكانية الوصول إلى التعليمات البرمجية المصدر ، فإن لديهم القدرة على سرقة رمز المصدر. Ianal ، ولكن لردع هذا النوع من الأشياء ، تحتاج إلى محام لصياغة أ اتفاقية عدم الكشف (NDA) واجعل مطوريك يوقعون عليه.
من ويكيبيديا ، NDA هو:
عقد قانوني بين طرفين على الأقل يحددان المواد السرية أو المعرفة أو المعلومات التي يرغب الطرفان في مشاركتها مع بعضها البعض لأغراض معينة ، ولكنها ترغب في تقييد الوصول إلى أطراف ثالثة. إنه عقد يتفق من خلاله الطرفان على عدم الكشف عن المعلومات التي تغطيها الاتفاقية.
هذا حقا ليس التشفير السؤال.ولكن هناك إجابة.
1)يجب عليك الحد من المطورين فقط تعطي لهم الوصول إلى المصدر أنهم بحاجة إلى الحصول على هذه المهمة.هذا أمان من "الأقل امتياز الوصول".متجر الثنائيات من المكتبات أو executeables في مصدر عنصر التحكم عند الحاجة.
2)قوة كل المطورين إلى علامة عدم الكشف عن العقد.أعلى المطورين التي يمكنك سو.لحظة الدفاع عن هذا العقد في الهند هو أكثر صعوبة من يدافع عنه في إنديانا.
هناك طرق لتأمين بيئة التطوير بأكملها بحيث يمكن للمبرمجين الاحتفاظ أو أخذ هدايا تذكارية لما يعملون عليه. ألقِ نظرة على www.chaperon-secure.net للحصول على حلول محتملة من بيئة التطوير الآمنة إلى مستودعات شفرة المصدر المقببة.
يمكنك تقليل مخاطر سرقة التعليمات البرمجية إلى حد ما إذا كان تطبيقك مدمجًا بشكل نظيف في مكونات/وحدات/مكونات إضافية. لن يتم منح DEV سوى الوصول إلى الكود إلى المكونات التي تعمل عليها ، وتجميع الكود لبقية التطبيق. أنا ، من الدورة ، على افتراض أنه من المفيد فقط سرقة التطبيق ككل وليس مجرد حفنة من المكونات.
من ناحية أخرى ، ستندهش من أن الكود نفسه ليس دائمًا ذا قيمة كما ترغب في التفكير. إذا لم يكن هناك IP حساس في الكود الذي يمكن إعادة بيعه مباشرة ، فهل سيقوم Dev الخاص بك فقط بإعادة ترجمة ويذهب وجهاً لوجه معك بتطبيقه الخاص؟
