Proteger o código-fonte do roubo durante o desenvolvimento [fechado]
https://stackoverflow.com/questions/4055513
-
27-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Existe alguma maneira de proteger o meu código durante o desenvolvimento, de modo que se um desenvolvedor deixa minha empresa eles são incapazes de acessar arquivos no meu projeto?
Isto é especialmente importante com o TFS, onde o projeto é descarregado localmente em cache, e disponível para utilização offline.Idealmente, o código deve ser ilegível se eles não têm um Active Directory válido ID de usuário.
Mesmo se essa idéia não for possível, eu gostaria de saber de qualquer prática de dissuasão que você possa imaginar...
Solução
Você precisa estender alguma forma de confiança aos seus desenvolvedores. Se você não pode confiar neles para não levar o código -fonte com eles, como você pode confiar neles para não construir portas para trás e similares em seus sistemas?
Além disso, se eles vão trabalhar no código, precisarão acessar e, se conseguirem acesso, quase certamente poderão copiá -lo. Você pode tentar limitá -lo, mas está tentando superar antecipadamente um grupo de pessoas que só precisam encontrar um erro que você cometeu. Além disso, desconfiar abertamente seus desenvolvedores não vai ajudá -lo de qualquer maneira.
Existem segredos comerciais reais incorporados ao seu código? Nesse caso, você pode querer repensar isso. Caso contrário, quanto dano isso causará na posse de outra pessoa? Eles não podem usá -lo legalmente, e os desenvolvedores que saem muitas vezes serão capazes de escrever algo semelhante de qualquer maneira.
Para isso, você quer proteção legal, não técnica.
Outras dicas
Supondo que eles possam ler o código e compilá -lo enquanto estiverem lá, não há muito que você possa fazer (a menos que você proiba paus USB, escritores de CR, digitalize todo o seu e -mail etc. e mesmo assim eles encontrariam uma maneira de derrotar isso) .
Cubra -o no contrato de trabalho, deixe claro que, se o código ocorrer, haverá uma ação legal.
(Eu tive isso aconteceu comigo em uma vida passada - um funcionário levou o código com ele. Sabíamos devido a um erro que ele cometeu ao fazê -lo e enviamos uma carta de nossas letras apontando as consequências dele revelando o código para qualquer outra pessoa. Parecia funcionar)
Se você tem medo de perder um código como um todo (em vez de o funcionário, copiar parte dele) ...
Com o seu sistema de gerenciamento de código -fonte (você tem um, certo?), Você provavelmente pode ter alguns ganchos para que, quando o usuário obtém o código, parte dele seja um arquivo binário dedicado apenas a esse usuário e é necessário para o código Para compilar corretamente e executar corretamente ... se você empurrar ao extremo, isso significará ter o sistema de hardware certo (TPM, chaves de hardware ... etc).
Então, depois de lidar com toda a papelada, como Paulo sugere, por exemplo, se é que o código vazar em qualquer lugar, você pode rastrear quem está culpado (e sabendo que isso provavelmente impediria alguém para realmente tentar)
Todas as coisas consideradas ... não (especialmente se o projeto for armazenado localmente como você mencionou). Se um desenvolvedor tiver acesso ao código -fonte, ele terá a capacidade de roubar código -fonte. Ianal, mas para deter esse tipo de coisa, você precisa de um advogado para redigir um Contrato de não divulgação (NDA) e faça com que seus desenvolvedores assinem.
Da Wikipedia, um NDA é:
Um contrato legal entre pelo menos duas partes que descrevem material confidencial, conhecimento ou informações que as partes desejam compartilhar entre si para determinados fins, mas desejam restringir o acesso por terceiros. É um contrato pelo qual as partes concordam em não divulgar informações cobertas pelo contrato.
Isso realmente não é uma criptografia questão.Mas há uma resposta.
1)deve-se limitar os desenvolvedores e apenas dar-lhes acesso à fonte de que eles precisam para começar o trabalho feito.Este o principal de segurança do "menor privilégio de acesso".Loja binários de bibliotecas ou a executeables no controle de origem, se necessário.
2)Força de todos os desenvolvedores para assinar a Não Divulgação de contrato.Superior desenvolvedores que você pode processar.Para o instante defender este contrato na Índia é mais difícil do que defender, em Indiana.
Existem maneiras de garantir todo o seu ambiente de desenvolvimento para que os programadores possam manter ou tomar lembranças do que estão trabalhando. Dê uma olhada no www.chaperon-secure.net para obter possíveis soluções do ambiente de desenvolvimento seguro a repositórios de código-fonte abobadados.
Você pode reduzir um pouco o risco de roubo de código se o seu aplicativo estiver de maneira limpa em componentes/módulos/plug-ins. O desenvolvedor só receberia acesso ao código aos componentes em que trabalha e compilaria o código para o restante do aplicativo. Eu sou, claro, assumindo que vale a pena roubar o aplicativo como um todo e não apenas um punhado de componentes.
Por outro lado, você ficaria surpreso que o próprio código nem sempre seja tão valioso quanto gostaria de pensar. Se não houver IP sensível no código que possa ser revendido diretamente, seu desenvolvimento vai recompilar e enfrentar você com você com seu próprio aplicativo?
