Расширение команды разработчиков. Вопрос безопасности)

Question

[lisr25]

Столкнулись с такой ситуацией,
Занимались разработкой уютного проекта, команда небольшая. (2 человека, работаем удаленно)

Проект несколько подрос и встал вопрос о расширении команды разработки.
Сейчас на душе опасения по поводу предоставления доступа к исходному коду (украдут, продадут и тп.))

Вопрос может показаться забавным, но все таки, какие существуют способы обезопаситься? Очень хочется обойти грабли.

*еще раз обрачу внимание, что работаем удаленно (мне кажется при работе не удаленной, уровень доверия несколько повышается)

Answer 1

[xmoonlight]

Структура проекта должна быть масштабируемой и поделена на логические блоки — «кубики». Вот один кубик — даете одному человеку. Связующие кубики — никому! Например: цепочка алгоритма A-B-C. Вы «B»-кубик оставляете у себя а «A» и «C» даете на разработку. Далее — пишите еще сами (или доверенными лицами) кубики: «B0» и «B1», получаете A1-B1-A-B-C-B2-C1 и далее «A1» и «C1» снова отдаете на разработку. Т.е. блоки «B» — это своего рода «клей», который не дает собрать по-кубикам сторонним разработчикам проект воедино.

Comments

[Игорь]

А если всё же что-то нужно передать коллеге — можно это обфусцировать перед передачей. Благо автоматических обфускаторов хватает

Answer 2

[Max B]

Ведите себя порядочно и тщательно отбирайте кандидатов. У меня вот куча «секретного» кода на руках многих больших проектов и никаких мыслей ни продать, ни себе забрать.

Answer 3

[Sergey]

NDA будет достаточно. То, что можно эффективно решить орг.мерами, не стоит усложнять техническими ухищрениями.

Answer 4

[Николай Васильчук]

Вы небось систему управления спутниками глонасс пишете?

Answer 5

[egorinsk]

Есть мнение, что ценность большинства проектов далеко не в коде. Вот вижу я сервис, который мне понравился, например, вконтакте, беру N кодеров, даю им ТЗ, и через некоторое время получаю код.

Если же речь идет о более простом проекте, основанном на перепиленном Друпале/вордпрессе/форуме/whatever (пример: Хабр, рутрекер, Smashing magazine, Audiotuts), переписать его еще дешевле и быстрее.

Если кто-то очень захочет ваш сервис скопировать, он сможет это сделать, не имея доступа к коду.

Comments

[Николай Турнавиотов]

Согласен — если понятна суть нужного процесса, то код — не важен, т.к. написать можно проект на чём угодно — инструментов десятки, если не сотни

Answer 6

[valkiriy]

В мире аутсорса для этого существуют договора. Контролировать биты — действительно невозможно, а с договором хотя бы можно привлечь к ответственности, если доказать её.

Comments

[lisr25]

а что включают в договор? да и расстраивает то, что
доказать можно, только если поймать на факте продажи. еще в случае, сотрудничества, со стороны покупающего.

Answer 7

[Antares19]

Обычно в таких ситуациях у руководства еще часто возникает вопрос VCS vs DVCS. DVCS значительно удобней, но в первом случае VCS разработчиков только некоторые срезы исходников, а в DVCS весь репозиторий со всей историей и ветками.

Непростой выбор :)

Comments

[lisr25]

да, помимо этого присутствует сложность в создании «срезов», честно говоря.

[vsespb]

Например SVN — разные права на разные папки (они же бранчи или тэги).
Плюс возможно можно ограничить глубину на которую можно посмотреть историю.

[Antares19]

Ну SVN — это как-раз не распределенная VCS. :) В DVCS сама идея в том что вся репа есть у всех участников разработки. Там ограничить можно разве-что разбив проект по разным репозиториям.

Answer 8

[vsespb]

Вообще часто оказывает что код в общем то не настолько mission critical штука, как кажется. Кому он нужен и зачем?
Вы нанимаете нормальных разработчиков с опытом и хорошей зарплатой, какие сценарии, что они смогут сделать с этим кодом?

Comments

[Игорь]

Уйти к конкурентам или раскрыть некие ноу хау в интернете (например, здесь, на хабре), лишив фирму конкурентного преимущества над другими.

[vsespb]

Чтобы их раскрыть нужен именно исходник? Неужели сотрудник, имеющий отношение к программированию не может догататься о ключевых моментах технологии без кода?

Обычно ответ на этот вопрос — «нет», если только вы не разрабаывает что-то сверхестественное, наукоёмкое итд (что не так даже для большинства проектов, захвативших большую долю рынка).

Хоть раз здесь на хабре кто-то раскрыл какое-то ноу-хау (и при этом было не очевидно с согласия ли владельца фирмы или нет)?

Вы предаставляете сотрудника получающего достойную зарплату, достойного специалиста, подписавшего NDA выложившего на хабр ради прикола технологию?

ИМХО это исто ментальная проблема (если нет объективных обстоятельств о которых мы не знаем). Свой код всегда хочется защитить. Хотя на самом деле код — наименее ценная часть проекта.

У меня и ещё у кучи фрилансеров были исходники сайтов, которые у всех на слуху ежедневно. Никому нет дела до этих исходников.

[Игорь]

Достойная зарплата — вещь субъективная. Одна и та же з\п для одного достойно, а для другого — нет

[Sergey]

Если опыт/образование/навыки отличаются, то это нормально.