Защита ИС от кражи зарубежных подрядчиков

Question

Природа нашего бизнеса часто состоит из 2-3 удаленных разработчиков, работающих над одним проектом (в основном, Rails), и каждый из них в настоящее время имеет карт-бланш-доступ к исходному коду, чтобы они могли получать, запускать и разрабатывать локально.

Проблема в том, что любой из них может отправить всю базу через заднюю дверь. Судебные иски за рубежом кажутся бесполезными.

Я предполагаю, что лучшим способом было бы стратегию с разделением обязанностей, когда подрядчик получает только определенные части кода - но как он может запустить и протестировать весь проект?

Я ищу советы, стратегии или даже программные решения для снижения этого риска.

Спасибо за тонну.

Answer 1

Вы действительно должны разрешить только доверенным людям обращаться с драгоценностями вашей семьи. Я не могу представить себе более сильного признака доверия, которое может проявить софтверная компания, чем предоставить кому-то полный доступ к своему источнику.

Как говорится, в голову приходит несколько идей.

• Если они являются консультантами, вам следует выяснить, можете ли вы заключить какое-либо деловое соглашение с организацией в отдаленной стране, которая может позаботиться о местных юридических проблемах для вас. Американские компании с офисами в Индии делают это постоянно.
• Возможно, вы можете дать доступ к неважным частям программного обеспечения ненадежным сторонам и заставить их работать только над этим? Модульное тестирование может быть выполнено ими на кусках, кроме целых. тесты, которые требуют всей системы, должны выполняться вами.
• Для них также может быть возможно использовать «важные» части кода в качестве службы с сервера, который вы предоставляете, а не в качестве локальных модулей. По общему признанию, это требует некоторого реинжиниринга, но это могло бы стоить это.

Суть в том, что сказал Стивен. Недорогие оффшорные подрядчики идут с определенными обязательствами. Если вы не готовы принять это, вам придется изменить свой режим работы.

Answer 2

Что ж, если вы недостаточно доверяете своим разработчикам, чтобы они могли работать с вашим кодом, не нанимайте их.

Я не вижу способа, чтобы вы могли существенно ограничить их доступ к коду, не оказав серьезного влияния на их производительность. Даже если бы вы могли скомпилировать часть кода, очень полезно иметь доступ к полному исходному коду для понимания проблем и ошибок.

В любом случае, вы можете переоценивать угрозу: большинство видов пиратства были бы возможны даже с двоичным кодом, и без инфраструктуры и клиентов, предоставляемых вашей компанией, украденный код, вероятно, не стоит много.

Answer 3

Я не думаю, что вы многое можете с этим поделать. Или рискуйте, или не используйте оффшорных подрядчиков.

Но я бы сбалансировал это с честной оценкой того, насколько ценен ваш код для вас и для предположительно нечестного подрядчика. Если это действительно ценно, то вы должны иметь возможность предпринять юридические меры для его защиты ... даже в сложной правовой среде.