Защита исходного кода из кражи во время разработки [закрыто
https://stackoverflow.com/questions/4055513
-
27-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Есть ли способ защитить свой код во время разработки, так что если разработчик покидает мою компанию, они не могут получить доступ к файлам в моем проекте?
Это особенно важно с TFS, где проект загружается локально, кэшировано и доступно для автономного использования. В идеале код будет нечитаемым, если у них не было действительного идентификатора пользователя Active Directory.
Даже если эта идея невозможна, я бы хотел узнать о каком-либо практическом сдерживом, который вы можете подумать ...
Решение
Вы должны продлить некоторую форму доверия к своим разработчикам. Если вы не можете доверять им не принимать с ними исходный код, как вы можете доверять им не создавать задние двери и тому подобное в ваших системах?
Более того, если они собираются работать над кодом, им понадобится доступ к нему доступа, и если они получат доступ к нему, они могут почти наверняка скопировать его. Вы можете попытаться ограничить его, но это вы пытаетесь заранее вытеснить группу людей, которым нужно только найти одну ошибку. Кроме того, явно не доверяю свои разработчики, не поможет вам в любом случае.
Есть ли фактические коммерческие секреты, встроенные в ваш код? Если это так, вы можете переосмыслить это. Если нет, сколько вреда это будет делать в чужом владении? Они не могут юридически использовать его, а разработчики, которые упускают, часто смогут написать что-то похожее в любом случае.
Для этого вам нужна правовая защита, а не техническая.
Другие советы
Предполагая, что они могут прочитать код и составить его, пока они там, нет много, что вы можете сделать (если вы не запретите USB-палочки, писатели CR, сканируете всю свою почту и т. Д., И даже тогда они нашли способ победить это Отказ
Обложка его в трудоустройстве договора, понять, что если бы код появился, будет законное действие.
(Я бы это случилось со мной в прошлой жизни - работник сделал с ним Код. Мы знали, что из-за ошибки, который он сделал в этом, и мы отправили письмо от наших меллянов, указывающих на последствия его раскрытия код кому-либо еще. Казалось, работал)
Если вы боитесь потерять код в целом (вместо того, чтобы сотрудник копировать часть ее части) ...
С вашей системой управления исходным кодом (у вас есть один, верно?), Вы, вероятно, можете иметь несколько крючков, чтобы, когда пользователь получает код, частью это двоичный файл, который предназначен только для этого пользователя и необходимо для кода Чтобы правильно компилировать и запустить правильно ... Если вы нажимаете в экстремальный, это будет означать имеющие правильную систему аппаратного обеспечения (TPM, аппаратные клавиши ... и т. Д.).
Поэтому после того, как вы имеете дело со всеми документами, как Paul предлагает, например, если когда-либо в любом месте кода где угодно, вы можете отследить, кто находится в вине (и знание, что, вероятно, удержет кого-нибудь, чтобы даже попробовать)
Все рассматриваемые вещи ... нет (особенно если проект хранится локально, как вы упомянули). Если разработчик имеет доступ к исходному коду, у них есть возможность украсть исходный код. ИААНАЛЬ, но удержать такого рода вещи, вам нужен адвокат для составления Соглашение о неразглашении (NDA) И заставить своих разработчиков подписать это.
Из Википедии, НДА:
Юридический договор между по крайней мере двумя сторонами, которые описывают конфиденциальные материалы, знания или информацию о том, что стороны пожелают делиться друг с другом в определенные цели, но желают ограничить доступ третьим лицам. Это договор, через который стороны соглашаются не раскрывать информацию, охваченную Соглашением.
Это действительно не вопрос крипто. Но есть ответ.
1) Вы должны ограничить разработчикам и дать им доступ к источнику, который им нужно, чтобы выполнить работу. Это руководитель безопасности от «наименьших привилегий доступа». Храните двоичные файлы библиотек или эксплуатации в контроле источника, если это необходимо.
2) заставить всех разработчиков подписать контракт без раскрытия информации. Высшие разработчики, которые вы можете подать в суд. Для мгновенного защиты этого договора в Индии сложнее, чем защищать его в Индиане.
Существуют способы обеспечения всей вашей среды разработки, чтобы поэтому программисты могли хранить или принимать сувениры того, на которые они работают. Посмотрите на сайт www.chaperon-secure.net для возможных решений от безопасной среды разработки для хранилищихся репозиториев исходного кода.
Вы можете несколько снизить риск кражи кода, если ваше приложение чисто встроено в компоненты / модули / плагины. Dev будет дан только код доступа к компонентам, которые они работают, и скомпилированы код для остальной части приложения. Я из курса, предполагая, что только стоит украсть приложение в целом, а не просто горсть компонентов.
С другой стороны, вы будете удивлены, что сам код не всегда такой ценный, как вы хотели бы подумать. Если в коде нет чувствительного IP-адреса, который может быть непосредственно RESOLD, то ваш Dev будет просто перекомпилировать и отправиться на голову с вами со своим собственным приложением?
