開発中の盗難からソースコードを保護する[閉鎖
https://stackoverflow.com/questions/4055513
-
27-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian質問
開発中に私のコードを保護する方法は、開発者が私の会社を離れた場合、私のプロジェクトでファイルにアクセスできないようにしますか?
これは、プロジェクトがローカルでダウンロードされ、キャッシュされ、オフラインで使用できるTFSで特に重要です。理想的には、有効なActive DirectoryユーザーIDがない場合、コードは読み取れません。
このアイデアが不可能であっても、私はあなたが考えることができる実用的な抑止力を知りたいです...
解決
開発者に何らかの信頼を拡張する必要があります。ソースコードを撮影しないと信頼できない場合、どのようにしてドアなどをシステムに戻さないように信頼できますか?
さらに、彼らがコードで作業する場合、彼らはそれにアクセスする必要があり、彼らがそれにアクセスできる場合、彼らはほぼ確実にそれをコピーすることができます。あなたはそれを制限しようとすることができますが、それはあなたが犯した1つの間違いを見つける必要がある人々のグループを事前に考えようとしています。その上、開発者にはとにかくあなたを助けることはありません。
コードに実際の企業秘密が組み込まれていますか?もしそうなら、あなたはそれを再考したいかもしれません。そうでない場合、それは他の誰かの所有物でどれほどの害を及ぼしますか?彼らは合法的にそれを使用することはできず、去る開発者はとにかく同様の何かを書くことができることがよくあります。
このためには、技術的ではなく、法的保護が必要です。
他のヒント
彼らがコードを読んでそこにいる間にそれをコンパイルできると仮定すると、あなたができることはたくさんありません(あなたがUSBスティック、CR作家を禁止し、すべての電子メールなどをスキャンしない限り、それでも彼らはそれを打ち負かす方法を見つけます) 。
雇用契約でそれをカバーし、コードがそこに現れた場合、法的措置があることを明確にしてください。
(私はこれを過去の人生で私に起こりました - 従業員が彼と一緒にコードを受け取りました。私たちは彼がそれをして犯した誤りのために知っていました、そして私たちは私たちのレイワーズから彼が明らかにする結果を指摘する手紙を送りました他の人へのコード。それは機能しているようでした)
コード全体を失うことを恐れている場合(従業員のコピーパステ部分ではなく)...
ソースコード管理システムを使用すると(1つがありますか?)、ユーザーがコードを取得したときに、その一部がそのユーザーのみに専念し、コードに必要なバイナリファイルであるように、いくつかのフックを持つことができます。正しくコンパイルして正しく実行するには...極端にプッシュする場合、それは適切なハードウェアシステム(TPM、ハードウェアキーなど)を持つことを意味します。
したがって、ポールが示唆するように、すべての書類を処理した後、コードがどこにでも漏れている場合、誰が過失になっているかを追跡できます(そして、それがおそらく実際に試してさえ誰もが阻止することを知っているでしょう)
すべてのことを考慮してください...いいえ(特にプロジェクトがあなたが言及したようにローカルに保存されている場合)。開発者がソースコードにアクセスできる場合、ソースコードを盗む機能があります。 ianal、しかし、この種のことを阻止するには、ドラフトするために弁護士が必要です 非開示契約(NDA) 開発者に署名してもらいます。
ウィキペディアから、NDAは次のとおりです。
当事者が特定の目的で互いに共有したいが、第三者によるアクセスを制限したいという機密資料、知識、または情報を概説する少なくとも2つの当事者間の法的契約。これは、当事者が契約の対象となる情報を開示しないことに同意する契約です。
これは本当に暗号の質問ではありません。しかし、答えがあります。
1)開発者を制限し、仕事を成し遂げるために必要なソースへのアクセスのみを提供する必要があります。これは、「最小特権アクセス」のセキュリティプリンシパルです。必要に応じて、ソースコントロールにライブラリまたはexeceableのバイナリを保存します。
2)すべての開発者に非開示契約に署名するように強制します。あなたが訴えることができるより高い開発者。インドでのこの契約を即座に擁護することは、インディアナでそれを守るよりも困難です。
プログラマーが取り組んでいるもののお土産を維持または服用できるように、開発環境全体を確保する方法があります。安全な開発環境からアーチ型のソースコードリポジトリまでの可能なソリューションについては、www.chaperon-secure.netをご覧ください。
アプリケーションがコンポーネント/モジュール/プラグインにきれいに組み込まれている場合、コード盗難のリスクをいくらか減らすことができます。開発者には、作業するコンポーネントへのコードアクセスのみが与えられ、残りのアプリケーションのコードをコンパイルしました。私は、ほんの一握りのコンポーネントではなく、全体としてアプリケーションを盗む価値があると仮定しています。
一方、コード自体があなたが考えたいほど価値があるとは限らないことに驚くでしょう。コードに直接再び販売できる機密IPがない場合、開発者は自分のアプリケーションで再コンパイルを再コンパイルして真っ向から対応しますか?
