这是一个创建于 2925 天前的主题,其中的信息可能已经有所发展或是发生改变。
有个特殊项目需要做代码保护,开发环境是 linux ,如何让开发者远程到服务器上做开发,但不能通过其他技术手段 copy 代码到本地?中间可以加代理服务器,比如 windows 的 VDI,有没有简单的方法?主要是防君子,小人没法防,有经验的老司机请给些方案或建议,谢谢!
 |
1
binux 2016-04-27 20:41:10 +08:00
请定义什么是拷贝?
|
 |
2
ccc008 2016-04-27 20:44:23 +08:00
没有说什么开发语言, c 、 c++的话,把核心功能做成库,如果是 java 、 php 什么的把核心做成 webservice 。但是说起来防开发者真没有必要,就像去看医生却害怕被看到隐私部位一样,医生怎么能施展的开呢。
|
 |
3
clino 2016-04-27 20:45:58 +08:00
只让用户用远程桌面 然后把远程桌面能传文件的方法都关了之类的?
|
 |
4
murmur 2016-04-27 20:56:23 +08:00
想多了,想泄密的抄下来或者截图都能给你泄密,如果技术有用就没有间谍被枪毙了
|
 |
5
Z1076 2016-04-27 20:57:05 +08:00
这个难搞吧,你都说明是开发者了,写过一次的 code 再写出来一点都不麻烦吧...可以自己搭个 git 服务器,然后让他提交开发分支,自己接收合并不允许 clone 。或者像 2 楼说的,核心功能编译打包使用。
|
 |
6
UnisandK 2016-04-27 20:57:13 +08:00
VPS 管理那种 Web VNC 行,但是这种事不是一般是靠保密协议去防的么
|
 |
9
wjfz 2016-04-27 21:21:16 +08:00
用人不疑,疑人不用。
|
 |
12
pkking 2016-04-27 21:31:29 +08:00
selinux
|
 |
13
Tink 2016-04-27 21:37:44 +08:00 via iPhone
没办法,能限制拍照嘛
|
 |
14
likuku 2016-04-27 21:38:33 +08:00
把代码背诵下来,你又能怎样?封闭开发?开发完成,杀掉所有开发者?
|
|
15
likuku 2016-04-27 21:39:43 +08:00
代码 /软件申请著作权保护,签保密协议,若违约要赔付高额违约金。
|
|
16
likuku 2016-04-27 21:41:40 +08:00
况且,不少产品 /软件,竞争力核心可能甚至只有几行代码 /一个公式 /一个参数。防不胜防。
|
|
17
Tink 2016-04-27 21:42:16 +08:00 via iPhone
没办法,能限制拍照嘛 o
|
 |
18
xuboying 2016-04-27 21:42:43 +08:00 via Android
听说有公司封 USB 外网摄像头
|
 |
19
ayaseangle 2016-04-27 21:48:57 +08:00
drm 也无法组织录屏软件。。。。开发人员想拷贝的话手抄你如何防呢?
|
 |
20
weiweiwitch 2016-04-27 21:57:57 +08:00
|
 |
21
owt5008137 2016-04-27 22:19:47 +08:00 via Android
无解啊,只要你看得到代码,再不济截屏复制图片到 onenote 然后点一下识别图中文本。就全出来了哇。
或者其他的图片识别的工具也行哇。 关键在于代码太容易识别了哇 |
|
22
xuboying 2016-04-27 22:33:33 +08:00 via Android
硬的封网封 USB 封手机(某 500 强),软的 NDA 协议
|
 |
23
hpeng 2016-04-27 22:41:32 +08:00 via iPhone
断网,小黑屋。项目结束,放人。
|
 |
24
cxbig 2016-04-27 23:31:59 +08:00
看到“主要是防君子,小人没法防”我就笑了,真是君子提一句就够了,还折腾这些干什么。。。
|
 |
25
oglop 2016-04-27 23:35:40 +08:00 via Android
我公司是类似这样的,用的是 nomachine
|
 |
26
Tetsuchou 2016-04-28 00:49:11 +08:00
阉割一下 git
|
 |
27
nivan 2016-04-28 01:01:02 +08:00
😳远程拖拽式编程。
|
 |
28
Phariel 2016-04-28 01:04:29 +08:00 via iPhone
本厂靠强保密协议 一大波儿法务正在袭来。。。
|
 |
29
typcn 2016-04-28 01:06:25 +08:00
@kukuwhu 代码都是英文,相当好识别,下载 tesseract ,用默认自带的训练数据,一键就能识别, 5 分钟写个脚本自动翻页自动截图自动 OCR ,很容易就翻下来了。
你要是防君子的话,“这个代码比较重要,不要保存在你本地”。 用 VNC 关剪贴板是一种非常恶心人的方式,没法复制文件,没法粘贴字符串,传点测试数据都得先传网盘,传 code snippets 还得用 gist ,你要是没法访问外网还得开按键精灵粘贴数据,写个代码跟打 CTF 比赛一样,估计写一会就得恶心的砸电脑了。 总之,这些 gp 方法只会让写代码的难度提升几十倍,复制代码的难度只增加了一丁点。 |
 |
30
dapang1221 2016-04-28 01:26:37 +08:00 via Android
说实话,第一,我不觉得一群被公司当做贼一样盯着的开发人员会为这个公司写出什么高效率高价值的代码。第二,我不觉得开发人员在这种情况下会发挥 100%甚至 120%的水平。当然,大公司耗得起。
|
 |
31
realpg 2016-04-28 02:29:36 +08:00  1
本来挺好的事儿
楼主要是这么干我觉得肯定有非得跟你较劲的直接把你代码发 github 上去…… |
 |
32
qw7692336 2016-04-28 03:28:07 +08:00
把代码转成一个个的二维码流,手机拿摄像头慢慢还原代码。好像彩色那种二维码,每张图能存更多数据。
|
|
33
qw7692336 2016-04-28 03:37:57 +08:00 1
就算你远程桌面+虚拟机,我也可以用类似二维码流+摄像头的方式获取文件。而这个“二维码生成器”可以自己在虚拟机里面实现。我相信只要这个虚拟机里面能写代码,就能写出这种生成器,哪怕是只有命令终端,没有图形界面。通过终端打印二维码也是可行的,我可以每隔一段时间换一张,只要设好规则,就能把这些松散的二维码连起来。
|
 |
34
loading 2016-04-28 08:01:33 +08:00 via Android
将代码细分到无数人完成
|
 |
35
WildCat 2016-04-28 08:21:17 +08:00 via iPhone
截图 OCR
|
 |
38
Midnight 2016-04-28 08:44:19 +08:00
我曾经也考虑过合格问题,后来不了了之了
|
 |
39
Neveroldmilk 2016-04-28 08:49:08 +08:00
杀人灭口。
|
 |
40
darasion 2016-04-28 08:52:10 +08:00
电影里看到的办法:
拆,拆到开发者都不知道自己在做啥、拿到别处完全用不上的程度,分别找相互不认识的人开发。最后自己合并成整体。 |
 |
41
sphawkcn 2016-04-28 08:59:45 +08:00 1
其实我很理解楼主的需求,确实有些关键性代码需要做这种防护,不要说什么拍照啊,二维码之类的,有心偷代码的是防不住的,银行都有人动过,还有什么是不可能的,但是你能说银行就没必要防护了吗?防护也还是必要的,至少不能让人轻轻松松随便敲几下 git clone ,或者 cp 就能把完整代码加注释加文档连窝端。
|
 |
42
des 2016-04-28 09:27:23 +08:00 via Android
我就想问背景调查,保密协议这些事干嘛的
|
 |
43
Felldeadbird 2016-04-28 09:46:18 +08:00
远程的任何防止手段其实都不靠谱。真的要提防应该 是 包酒店,让相关的开发人员 封闭式开发。
如果担心对方出来后人肉拷贝。可以在项目开发完毕后,延长封闭时间。开发无相关的功能(正常人记忆力是由限的,而且在高压赶进度下开发,很快会把之前做得大部分都忘记掉)。 当然,其实都不靠谱。还是做背景调查,再考虑是否招这些人进行开发。 |
 |
44
techme 2016-04-28 09:48:28 +08:00
每人发一支笔一个小本子,每天写好代码后上交,再雇一个不懂开发的录入到系统里
出错了再打印出来调试 |
 |
45
Moker 2016-04-28 09:49:37 +08:00
突然想起了一部电影 记忆裂痕 只要想搞总有办法
|
|
46
des 2016-04-28 09:50:47 +08:00 via Android
既然你们担心代码被拷走,那么为什么不只让“可信任”的人才能看到??
这样只能恶心到人而已。 据我所知除了那些大型企业,也就外包公司喜欢这样做,大家都散了吧 |
 |
47
wizardoz 2016-04-28 09:53:49 +08:00
防君子不防小人,君子会不会觉得很委屈
|
 |
48
exer 2016-04-28 09:58:32 +08:00
君子用的这么大的动静去防么??
可以把功能细化。分工出去 |
 |
49
yzimhao 2016-04-28 11:12:37 +08:00
这年头值钱不是代码,是模式,思想。
|
 |
50
wgwang 2016-04-28 11:24:21 +08:00
给足够的钱比如 1 亿美刀,包养他一辈子,不管是君子还是小人应该都不会泄露了
其他方法,没戏。真要抄,每天下班前背一段,回到家写出来,任何方法都无法隔绝。 |
 |
51
mengjue 2016-04-28 11:43:27 +08:00
开 WIN 虚拟机+禁止黏贴板,所有开发只能通过虚拟机进行,然后签订严厉的保密协议。上网只开 80 端口,禁掉所有网盘外部邮箱。这里的很多人好像都是学生,没有开发过大型项目,想当然的认为可以靠记忆把代码带走。采取这些措施不一定能够彻底杜绝代码偷窃,但是可以防止大部分人直接带走所有代码出去自己开公司。
|
 |
53
inahesun8712 2016-04-28 13:05:25 +08:00
向华为学习吗?
|
 |
54
tinyproxy 2016-04-28 13:18:17 +08:00 via iPhone
上 SVN 吧,代码给不同的人写,功能 checkin 了直接踢了,除了管理人员谁也不能编译整个程序
|
 |
55
bk201 2016-04-28 14:50:49 +08:00
将关键程序包编译,签订好保密协议以及背景调查,其它代码 copy 吧。
|
 |
57
SlipStupig 2016-04-28 16:44:50 +08:00 1
没特别好的办法,说一些个人经历
1.软件配置部分 1.1 基本上就是在机器上装磁盘透明过滤驱动(只要文件一创建就被加密了,你拖出去根本没用), 1.2 软件安装白名单,只有白名单的软件能运行 2.硬件配置 2.1.封掉 USB/音频接口(以前有通过音频接口偷数据出去的) 2.2 然后开发网络是局域网,查资料是单独的机器每个人分配不同的 Token,每个 token 的权限是不一样的,你在该机器所有操作都会被记录(稍微大一点的公司都这么干) 2.3 出口网络流量特征审计,干掉一切未知流量和黑名单 IP 2.4 开发环境 24 小时监控 3.人员部分 3.1 人员背景调查有不良背景的直接 pass 3.2 关于人员方面尽可能让模块分散,每个人只负责一个模块,每个组的人不见面不接触最好是根本不知道有别人一起在做,在各地分散封闭开发。每个周五由管理人员代码 push 总服务器上,周一分发测试结果,项目完成后延期进行开发,人员进行分批解散 3.3 开发期间严禁带任何电子产品,每次上工地都进行安检(据说华为的核心机房是法拉第笼,没去过) 3.4 严格保密协议,开发解散后会发一定的保密费(视情况而定),出现泄密直接坐牢 某部队开发就是这么做的,仍然出现过泄密事件,说明制定只能减少不能杜绝 |
 |
58
huobazi 2016-04-28 17:31:42 +08:00
多给钱
裸替封闭开发 项目结束后都杀了,或者打成脑残 |
|
59
huobazi 2016-04-28 17:33:01 +08:00
更正一下,刚才第二条是 ”裸体”
|
 |
61
int64ago 2016-04-28 19:31:13 +08:00
没有开发者喜欢这种环境干活的
话说现在项目基本都是业务代码,毫无用处,或者说基本都是那么回事 如果你的项目真的很多掉渣天的算法,代码就更不重要了,因为代码只是实现了数学逻辑和公式 |
 |
63
akira 2016-04-28 20:04:59 +08:00
封闭式开发,每个位置后面放个监控。签署保密协议。
这样的公司谁爱去谁去,反正我不去。。 |
 |
64
paranoiagu 2016-04-29 08:18:44 +08:00 via Android
esxi , 客户端 用 VMware 上来,不能复制的。
|
 |
66
blackfire 2016-04-29 11:07:41 +08:00
防君子就直接给一笔钱做保密费用,明确告诉他我们很重视保密这一点,也希望他能提出一些可行的保密措施-------我就是这样少了一段工作经历的,人生突然就被挖去了一块
|
 |
67
zjddp 2016-04-29 14:21:06 +08:00
我公司现在有专用保密室做开发用,隔绝外网,屏蔽信号,专用 CD 做数据转移,禁用 U 盘,进保密室之前交出所有有存储、通信功能的设备。全公司网络有上网行为管理。
|
Select Language