Protezione del codice sorgente dal furto durante lo sviluppo [chiuso]
https://stackoverflow.com/questions/4055513
-
27-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Esiste un modo per proteggere il mio codice durante lo sviluppo in modo che se uno sviluppatore lascia la mia azienda non possa accedere ai file nel mio progetto?
Ciò è particolarmente importante con TFS in cui il progetto viene scaricato localmente, memorizzato nella cache e disponibile per l'utilizzo offline.Idealmente il codice sarebbe illeggibile se non disponessero di un ID utente Active Directory valido.
Anche se questa idea non è possibile, mi piacerebbe conoscere qualsiasi deterrente pratico ti venga in mente...
Soluzione
Devi estendere una qualche forma di fiducia ai tuoi sviluppatori.Se non puoi fidarti che non portino con sé il codice sorgente, come puoi fidarti che non creino backdoor e simili nei tuoi sistemi?
Inoltre, se lavoreranno sul codice, avranno bisogno di accedervi e, se riescono ad accedervi, quasi sicuramente potranno copiarlo.Puoi provare a limitarlo, ma stai cercando di pensare in anticipo a un gruppo di persone che hanno solo bisogno di trovare un errore che hai commesso.Inoltre, diffidare apertamente dei tuoi sviluppatori non ti aiuterà comunque.
Ci sono veri e propri segreti commerciali integrati nel tuo codice?Se è così, potresti voler ripensarci.In caso contrario, quanto danno farà se fosse in possesso di qualcun altro?Non possono usarlo legalmente e gli sviluppatori che se ne vanno spesso saranno comunque in grado di scrivere qualcosa di simile.
Per questo serve tutela legale, non tecnica.
Altri suggerimenti
Supponendo di poter leggere il codice e compilarlo mentre sono lì, non c'è molto che si può fare (a meno che non bannate chiavette USB, scrittori CR, eseguire la scansione di tutte le loro e-mail, ecc, e anche allora avrebbero trovato un modo di sconfiggendo quello).
di copertura nel contratto di lavoro, mettere in chiaro che se il codice salta fuori ci saranno azioni legali.
(Ho avuto questo accada a me in una vita passata - un dipendente ha preso il codice con lui Sapevamo causa di un errore ha fatto a farlo, e abbiamo inviato una lettera dai nostri laywers sottolineando le conseguenze. di lui rivelando il codice per chiunque altro. sembrava di lavoro)
Se hai paura di perdere un codice nel suo insieme (piuttosto che la parte dipendente copia-incolla di esso) ...
Con la vostra gestione del codice sistema di origine (ne avete uno, giusto?), Probabilmente si può avere alcuni ganci in modo che quando l'utente ottiene il codice, parte di essa è un file binario che è dedicato solo a quell'utente ed è necessaria per il codice per compilare correttamente e funzionare correttamente ... se si spinge alle estreme conseguenze, che significherà avere il sistema giusto hardware (TPM, tasti hardware, ecc ...).
Quindi, dopo aver affrontato tutte le pratiche burocratiche come suggerisce Paolo, ad esempio, se mai il codice perdite ovunque, è possibile tenere traccia chi è la colpa (e sapendo che probabilmente scoraggiare chiunque di realtà anche provare)
Tutto sommato ... no (soprattutto se il progetto viene memorizzato localmente come lei ha ricordato). Se uno sviluppatore ha accesso al codice sorgente, hanno la capacità di rubare il codice sorgente. IANAL, ma per scoraggiare questo genere di cose, è necessario un avvocato di redigere un accordo di non divulgazione ( NDA) e ottenere gli sviluppatori di firmarlo.
Da Wikipedia, l'NDA è:
un contratto legale tra almeno due partiti che delinea riservate materiale, le conoscenze o le informazioni che le parti desiderano condividere uno con l'altro per determinati scopi, ma desiderio di limitare l'accesso a terzi. Si tratta di un contratto attraverso il quale le parti non sono d'accordo a divulgare informazioni coperte dal contratto.
Questo non è davvero una questione di crittografia. Ma c'è una risposta.
1) Si dovrebbe limitare gli sviluppatori e solo dare loro l'accesso a fonti che hanno bisogno di ottenere il lavoro fatto. Questo principio della sicurezza di "almeno privilegio di accesso". Conservare i binari delle biblioteche o le di eseguibili nel controllo del codice sorgente in caso di necessità.
2) Forza tutti gli sviluppatori di firmare un contratto di non divulgazione. Gli sviluppatori più elevate che si può citare in giudizio. Per l'istante difendere il presente contratto in India è più difficile che difenderlo in Indiana.
Ci sono modi per proteggere l'intero ambiente di sviluppo in modo che così i programmatori possono mantenere o prendere souvenir di ciò su cui stanno lavorando. Date un'occhiata a www.chaperon-secure.net per le possibili soluzioni da ambiente di sviluppo sicuro per i repository di codice sorgente a volta.
E 'possibile in qualche modo ridurre il rischio di furto di codice, se l'applicazione è in modo pulito costruito in componenti / moduli / plug-ins. Il dev verrebbe dato solo di codice per i componenti che lavorano su, e il codice compilato per il resto dell'applicazione. Sono, di partecipazione al corso, partendo dal presupposto che vale la pena se non per rubare l'applicazione nel suo complesso e non solo una manciata di componenti.
D'altra parte, si sarebbe sorpreso che il codice in sé non è sempre così prezioso come si vorrebbe pensare. Se non c'è IP sensibile nel codice che può essere rivenduto direttamente, quindi è la vostra dev intenzione di appena ricompilazione e andare testa a testa con voi con la propria applicazione?
