Der Schutz Quellcode vor Diebstahl während der Entwicklung [geschlossen]
https://stackoverflow.com/questions/4055513
-
27-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Gibt es eine Möglichkeit mein Code während der Entwicklung zu schützen, so dass, wenn ein Entwickler mein Unternehmen verlässt sie den Zugriff auf Dateien in meinem Projekt nicht in der Lage sind?
Dies ist besonders wichtig bei TFS, wo das Projekt lokal heruntergeladen wird, zwischengespeichert und für die Offline-Nutzung. Im Idealfall würde der Code nicht lesbar sein, wenn sie keine gültige Active Directory-Benutzer-ID haben.
Auch wenn diese Idee nicht möglich ist, würde Ich mag jede praktische Abschreckung lernen Sie von ...
denken kannLösung
Sie haben irgendeine Form von Vertrauen auf Ihre Entwickler zu erweitern. Wenn Sie ihnen nicht vertrauen können nicht Quellcode mit ihnen zu nehmen, wie kann man sich nicht zu bauen Hintertüren vertrauen und dergleichen in Ihre Systeme?
Außerdem, wenn sie fahren auf Code zu arbeiten, dann werden sie nach Bedarf Zugang zu ihnen, und wenn sie Zugang zu ihm bekommen können sie mit ziemlicher Sicherheit kopieren. Sie können versuchen, es zu begrenzen, aber es sind Sie im Voraus eine Gruppe von Menschen outthink versuchen, die nur einen Fehler zu finden, müssen Sie gemacht. Außerdem offen ist Ihre Entwickler misstrauen Sie nicht sowieso helfen.
Gibt es aktuelle Geschäftsgeheimnisse in den Code eingebaut? Wenn ja, möchten Sie vielleicht, dass zu überdenken. Wenn nicht, wie viel Schaden es tun im Besitz von jemand anderem? Sie können es nicht legal verwenden, und die Entwickler, dass Urlaub werden oft in der Lage sein, zu schreiben etwas ähnliches trotzdem.
Dazu Sie Rechtsschutz wollen, nicht technischer Natur.
Andere Tipps
Unter der Annahme, sie den Code lesen und kompilieren sie, während sie dort sind, gibt es nicht viel Sie tun können (es sei denn, Sie USB-Sticks verbieten, CR Schriftsteller, scannen alle ihre E-Mails usw., und selbst dann würden sie einen Weg finden Sieg über das).
Abdeckung es im Arbeitsvertrag, machen sie es, dass klar, ob der Code auftaucht wird es rechtliche Schritte sein.
(Ich habe dies in einem früheren Leben mit mir geschehen war - Mitarbeiter haben mit ihm den Code nehmen Wir wussten, dass aufgrund eines Fehlers er es zu tun hat, und wir einen Brief von unserem laywers geschickt, um die Konsequenzen hingewiesen. von ihm den Code an andere Personen weiterzugeben. Es schien zu funktionieren)
Wenn Sie Angst haben, einen Code als Ganzes zu verlieren (und nicht die Mitarbeiter copy-paste Teil davon) ...
Mit Ihrem Quellcode-Management-System (Sie eine haben, nicht wahr?), Können Sie wahrscheinlich einige Haken haben, so dass, wenn der Benutzer den Code bekommt, einen Teil davon eine binäre Datei, die diese Benutzer nur gewidmet und ist notwendig, der Code korrekt zu kompilieren und korrekt ausgeführt werden ..., wenn Sie auf die Spitze schieben, bedeutet, dass das richtige Hardwaresystem (TPM, Hardware-Tasten ... etc) mit.
So, nachdem Sie mit dem ganzen Papierkram beschäftigt haben, wie Paul schlägt zum Beispiel, wenn überhaupt überall die Codes Lecks, können Sie verfolgen, wer Schuld ist (und wohl wissend, dass wahrscheinlich jemand tatsächlich sogar versuchen, abschrecken würde)
Alles in allem ... keine (vor allem, wenn das Projekt lokal gespeichert ist, wie Sie erwähnt). Wenn ein Entwickler Zugriff auf den Quellcode hat, haben sie die Möglichkeit, Quellcode zu stehlen. IANAL, aber diese Art der Sache zu verhindern, müssen Sie einen Anwalt eine non-disclosure agreement auszuarbeiten bis ( NDA) und erhalten sie Ihre Entwickler es zu unterzeichnen.
Von Wikipedia, ein NDA ist:
ein rechtsgültiger Vertrag zwischen mindestens zwei Parteien, die vertrauliche Material, Wissen Gliederungen oder Informationen, dass die Parteien teilen möchten eine anderen für bestimmte Zwecke mit einem, sondern Wunsch Zugang zu von Dritten zu beschränken. Es ist ein Vertrag, durch den die Parteien vereinbaren, keine Informationen von der Vereinbarung erfassten offen zu legen.
Das ist wirklich keine Krypto Frage. Aber es gibt eine Antwort.
1) Sie sollten Entwickler beschränken und nur sie Zugang zu Quelle geben, die sie brauchen, die Arbeit zu erledigen. Dies ist die Sicherheitsprinzipal von „Least Privilege access“. Bewahren Sie Binärdateien von Bibliotheken oder die executeables in der Quellcodeverwaltung, wenn es sein muss.
2) Kraft alle Entwickler ein Non-Disclosure Vertrag zu unterzeichnen. Höhere Entwickler, dass Sie verklagen können. Für eine sofortige diesen Vertrag in Indien zu verteidigen ist schwieriger, als es in Indiana zu verteidigen.
Es gibt Möglichkeiten, Ihre gesamte Entwicklungsumgebung zu sichern, so dass so können Programmierer Andenken halten oder nehmen, was sie gerade arbeiten. Werfen Sie einen Blick auf www.chaperon-secure.net für mögliche Lösungen aus sicherer Entwicklungsumgebung gewölbter Quellcode-Repositorys.
Sie können etwas, das Risiko von Code Diebstahl reduzieren, wenn Ihre Anwendung sauber in Komponenten / Module / Plug-In integriert ist. Die Entwickler würden nur Code Zugriff auf die Komponenten gegeben werden, dass sie arbeiten, und Code für den Rest der Anwendung zusammengestellt. Ich bin, der Gang, vorausgesetzt, dass es nur dann sinnvoll ist, die Anwendung als Ganzes und nicht nur eine Handvoll von Komponenten zu stehlen.
Auf der anderen Seite, würden Sie überrascht, dass Code selbst nicht immer so wertvoll wie man denken möchte. Wenn es keine sensiblen IP in dem Code, der direkt weiterverkauft werden kann, dann ist Ihr Entwickler nur recompile gehen und geht Kopf-an-Kopf mit Ihnen mit einem eigenen Anwendung?
