La protection du code source du vol au cours du développement [fermé]
https://stackoverflow.com/questions/4055513
-
27-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Y at-il moyen de protéger mon code au cours du développement de sorte que si un développeur quitte mon entreprise, ils sont incapables d'accès aux fichiers dans mon projet?
Ceci est particulièrement important avec TFS où le projet est chargé localement, mises en cache, et disponible pour une utilisation hors ligne. Idéalement, le code serait illisible si elles ne disposaient pas d'un ID utilisateur Active Directory valide.
Même si cette idée est pas possible, je voudrais apprendre de tout moyen de dissuasion pratique que vous pouvez penser ...
La solution
Vous devez étendre une certaine forme de confiance à vos développeurs. Si vous ne pouvez pas leur faire confiance de ne pas prendre le code source avec eux, comment pouvez-vous leur faire confiance aux portes arrière de construction et autres dans vos systèmes?
De plus, s'ils vont travailler sur le code, ils vont à l'accès à ce besoin, et si elles ont accès à ce qu'ils peuvent copier presque certainement. Vous pouvez essayer de le limiter, mais il est que vous essayez de outthink à l'avance un groupe de personnes qui ont seulement besoin de trouver une erreur que vous avez fait. En outre, vos développeurs ouvertement méfiant ne va pas vous aider de toute façon.
Y at-il des secrets commerciaux réels construits dans votre code? Si oui, vous voudrez peut-être repenser. Sinon, comment beaucoup de mal va le faire en la possession de quelqu'un d'autre? Ils ne peuvent pas utiliser légalement, et les développeurs que le congé souvent capable d'écrire quelque chose de similaire en tout cas.
Pour cela, vous voulez une protection juridique, et non technique.
Autres conseils
En supposant qu'ils peuvent lire le code et le compiler pendant qu'ils sont là, il n'y a pas beaucoup que vous pouvez faire (à moins que vous interdisez les clés USB, des écrivains CR, analyser tous leurs e-mails, etc., et même alors, ils trouveraient un moyen de vaincre que).
couverture dans le contrat de travail, qu'il soit clair que si les tours de code vers le haut, il y aura une action en justice.
(j'ai eu cela me arriver dans une vie passée - un employé ne prend le code avec lui, nous savions en raison d'une erreur qu'il a fait à le faire, et nous avons envoyé une lettre de nos laywers indiquant les conséquences. de lui révéler le code à quelqu'un d'autre. Il semblait au travail)
Si vous avez peur de perdre un code dans son ensemble (plutôt que la partie employé copier-coller de celui-ci) ...
Avec votre système de gestion de code source (vous en avez un, non?), Vous pouvez probablement quelques crochets de sorte que lorsque l'utilisateur obtient le code, une partie est un fichier binaire qui est dédié uniquement à cet utilisateur et est nécessaire pour que le code à compiler et exécuter correctement ... si vous pousser à l'extrême, cela signifie avoir le système de matériel adéquat (TPM, clés matérielles ... etc).
Alors, après avoir traité tous les documents que Paul suggère par exemple, si jamais les fuites de code partout, vous pouvez savoir qui est en faute (et sachant que serait probablement dissuader quiconque de réellement essayer de même)
Tout bien considéré ... pas (surtout si vous avez mentionné que le projet est stocké localement). Si un développeur a accès au code source, ils ont la capacité de voler le code source. IANAL, mais pour dissuader ce genre de chose, vous avez besoin d'un avocat pour rédiger un accord de non-divulgation ( NDA) et obtenir vos développeurs de le signer.
Un article de Wikipédia, un NDA est:
un contrat légal entre au moins deux parties qui donne un aperçu des documents confidentiels, les connaissances ou les informations que les parties souhaitent partager entre eux à certaines fins, mais qui souhaitent restreindre l'accès à des tiers. Il est un contrat par lequel les parties conviennent de ne pas divulguer des informations couvertes par l'accord.
Ceci est vraiment pas une question Crypto. Mais il y a une réponse.
1) Vous devez limiter les développeurs et ne donner que leur accès à la source dont ils ont besoin pour faire le travail. Ce principal de sécurité de « moins accès privilégié ». Stocker les binaires des bibliothèques ou les executeables dans le contrôle de la source en cas de besoin.
2) Force tous les développeurs de signer un contrat de non-divulgation. Les développeurs plus élevés que vous pouvez poursuivre en justice. Pour défendre instant ce contrat en Inde est plus difficile que la défense dans l'Indiana.
Il existe des moyens pour sécuriser votre environnement de développement ensemble afin que les programmeurs peuvent donc garder ou prendre des souvenirs de ce qu'ils travaillent. Jetez un oeil à www.chaperon-secure.net des solutions possibles de l'environnement de développement sécurisé aux référentiels de code source voûtés.
Vous pouvez réduire quelque peu le risque de vol de code si votre application est proprement intégrée dans les composants / modules / plug-ins. Le dev ne serait donné accès au code aux composants qu'ils travaillent sur, et le code compilé pour le reste de l'application. Je suis, de plats, en supposant qu'il est seulement utile de voler l'application dans son ensemble et non pas seulement une poignée de composants.
D'autre part, vous seriez surpris de constater que le code lui-même est pas toujours aussi précieux que vous voulez penser. S'il n'y a pas d'adresse IP sensible dans le code qui peuvent être directement revendus, puis est votre dev va recompiler et aller en tête à tête avec vous avec leur propre application?
