La protección contra el robo de código fuente durante el desarrollo [cerrada]
https://stackoverflow.com/questions/4055513
-
27-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
¿Hay alguna manera de proteger mi código durante el desarrollo de modo que si un desarrollador sale de mi empresa para la que no pueden acceder a los archivos en mi proyecto?
Esto es especialmente importante con TFS donde el proyecto se descarga localmente, en caché, y están disponibles para su uso sin conexión. Lo ideal sería que el código sería ilegible si no tienen un ID de usuario de Active Directory válida.
Aunque esta idea no es posible, me gustaría aprender de cualquier impedimento práctico que se pueda imaginar ...
Solución
Hay que extender algún tipo de confianza para sus desarrolladores. Si no se puede confiar en ellos no tomar el código fuente con ellos, ¿cómo puede no confiar en ellos para puertas traseras de construcción y similares en sus sistemas?
Por otra parte, si van a trabajar en código, que van a acceder necesidad de ello, y si tienen acceso a ella se puede casi seguro que copiarlo. Usted puede tratar de limitarlo, pero es que tratar de pensar más que de antemano un grupo de personas que sólo necesitan encontrar un error que ha hecho. Además, abiertamente desconfiar de sus desarrolladores no va a ayudar a usted de todos modos.
¿Hay secretos comerciales reales construidos en su código? Si es así, es posible que desee volver a pensar eso. Si no es así, cuánto daño va a hacer en posesión de otra persona? No pueden usar legalmente, y los desarrolladores que la licencia a menudo será capaz de escribir algo de todas formas similares.
Para ello, se quiere protección legal, no técnico.
Otros consejos
Si se asume que se puede leer el código y compilarlo mientras están allí, no hay mucho que se puede hacer (a menos que usted prohíbe memorias USB, escritores CR, escanear todo su correo electrónico, etc, e incluso entonces que encontrarían una forma de derrotar eso).
cubierta en el contrato de trabajo, que quede claro que si las vueltas de código arriba habrá una acción legal.
(he tenido que esto ocurra a mí en una vida pasada - un empleado tomó el código con él sabíamos debido a un error que hizo en hacerlo, y se envió una carta de nuestros laywers señalando las consecuencias. de lo que revela el código para cualquier otra persona. parecía trabajo)
Si usted tiene miedo de perder un código en su conjunto (en lugar de la parte de copiar y pegar los empleados de la misma) ...
Con su sistema de gestión de código fuente (usted tiene uno, ¿verdad?), Es probable que pueda tener algunos ganchos de modo que cuando el usuario recibe el código, parte de ella es un archivo binario que se dedica sólo a ese usuario y es necesario para el código para compilar correctamente y funcionar correctamente ... si se le empuja al extremo, eso significa que tiene el sistema de hardware adecuado (TPM, teclas de hardware, etc ...).
Así que después de que se han ocupado con todo el papeleo como Pablo sugiere, por ejemplo, si alguna vez el código de fugas en cualquier lugar, se puede realizar un seguimiento de quién tiene la culpa (y sabiendo que probablemente disuadir a nadie que en realidad incluso intentar)
A fin de cuentas ... no hay (especialmente si el proyecto se almacena localmente como usted ha mencionado). Si un desarrollador tiene acceso al código fuente, que tienen la capacidad de robar el código fuente. IANAL, pero para disuadir este tipo de cosas, se necesita un abogado para redactar un href="http://en.wikipedia.org/wiki/Non-disclosure_agreement" rel="nofollow"> acuerdo de confidencialidad y obtener sus desarrolladores a firmarlo.
De Wikipedia, un NDA es:
un contrato legal entre al menos dos partes que describe el material confidencial, conocimiento o información que las partes desean compartir unos con otros para ciertos propósitos, pero desea restringir el acceso a terceros. Es un contrato mediante el cual las partes acuerdan no divulgar información amparada por el acuerdo.
Esto realmente no es una cuestión de cifrado. Pero hay una respuesta.
1) Se debe limitar a los desarrolladores y sólo darles acceso a la fuente que necesitan para hacer el trabajo. Este principal la seguridad de "acceso mínimo privilegio". Almacenar binarios de las bibliotecas o los executeables de control de la fuente si es necesario.
2) Fuerza de todos los desarrolladores firmar un contrato de confidencialidad. los desarrolladores más altos que se pueden demandar. Para el instante defensa de este contrato en la India es más difícil que defenderla en Indiana.
Hay maneras de proteger el entorno de desarrollo de manera que toda lo que los programadores pueden mantener o tomar recuerdos de lo que están trabajando. Echar un vistazo a www.chaperon-secure.net de posibles soluciones de entorno de desarrollo seguro a repositorios de código fuente abovedados.
Se puede reducir algo el riesgo de robo de código si la aplicación está desarrollada limpiamente en componentes / módulos / plug-ins. El dev sólo se tendría acceso a código de los componentes que trabajan en, y el código compilado para el resto de la aplicación. Soy, de curso, en el supuesto de que es sólo vale la pena robar la aplicación en su conjunto y no sólo un puñado de componentes.
Por otro lado, usted se sorprenderá de que el código en sí no siempre es tan valioso como el que le gustaría pensar. Si no hay IP sensible en el código que puede ser revendido directamente, entonces es su dev va a volver a compilar y simplemente ir de cabeza a cabeza con usted con su propia aplicación?
