Как защитить код?

Question

[Alister O]

Добрый день, есть некая задумка создать продукт, с целью продажи в финансовые организации, логику построил на sql, фронтент скорее всего будет html5, js, css, так как могу что то создать на нем, вопрос такой бекенд на чем необходимо написать чтобы как то защитить проект? Докер в моем случае может помочь ?
Защита от модификации и от копирования и расспротанения.

Answer 1

[Sanes]

Никак не защищать. Никто не пользуется левым софтом, когда дело касается финансов организации.

Comments

[Макс]

у финансовых организаций есть масса процессов, не связанных с управлением финансами. И там используется ОЧЕНЬ разное ПО.

[Sanes]

Макс: В вопросе не уточняется, поэтому делаем вывод, что это работа финансами или корпоративной информацией.

[Alister O]

Макс: Sanes: с помощью этой задумки не зарабатывают деньги, продукт поможет по автоматизаци compliance в фин организациях.

[Sanes]

Alister O: Автоматизация обычно снижает расходы и предполагает работы с корпоративными данными.

[Alister O]

Sanes: да, данные будут конфиденциальными, задумка должна автоматизировать некоторые процессы и облегчить прохождение аудита от ЦБ.

[Макс]

Alister O: заинтриговали. это оценку каких же требований позволяет автоматизироват купленный продукт? я пока не слышал про западные продукты, автоматизирующие аудит требований нашего ЦБ. А, поверьте, в банке не первый год

[Sanes]

Alister O: И какой нормальный человек доверит конфиденциальные данные программе скачанной с трекера?

[Alister O]

Sanes: вы правы, руководство фин организаций заинтересованы чтобы программа была легальная и это мне на руку

[Alister O]

Макс: я читал ваши темы в тостере, вы там интересовались с запросом по пользователям, хотели вытащить первое соединение за день, от части моя задумка тоже затрагивают такие моменты, если поверхностно то охарактеризовать как усконаправленный сием

[Sanes]

Alister O:
> вы правы, руководство фин организаций заинтересованы чтобы программа была легальная и это мне на руку
Потому и не забивайте голову с защитой. Сосредоточьтесь лучше на продукте.

[yupujexi]

Пользуются и левым софтом и финансовые организации.
Вы просто не знаете жизнь.

[Sanes]

yupujexi: Это их трудности.

[yupujexi]

Sanes:
У них нет трудностей.
;)
У них одна экономия.

Мы говорим о вопросе разработчика - и в этом случае они есть.
И финансовые организации не платят, используют по пиратски.

[Sanes]

yupujexi: Не доxpeна ли рисков с такой экономией?

[yupujexi]

Sanes:
Каких таких рисков?
;)
Разработчики частенько переоценивают собственную значимость - синдром бога.
Незаменимых нет.

[Sanes]

yupujexi: Не убудет, если кому-то заняться нечем и он пользуется пиратским софтом.

Answer 2

[Tyranron]

Теоретически, Docker при этом может помочь:

1. Исходный код проекта закрыт и нигде не публикуется, то же касается Dockerfile. Вы распространяете только уже готовые Docker-образы.
   
2. При сборке Docker-образа шифруем файлы самой программы, будь то .jar'ник, бинарник или голые php'шные сорцы.
   
3. Для расшифровки требуется лицензионный ключ, который должен пробрасываться в контейнер при старте через переменные окружения. Ним файлы программы расшифровуются и программа стартует.
   

На практике же, получится то же самое что и с пиратством различного софта сегодня:

• Тот, кто обладает ключем, может выложить его в открытый доступ. Этот момент можно обойти, если придумать какую-либо централизованую верификацию ключа на своих серверах (см. как делают JetBrains). Или под каждый ключ генерить отдельный уникальный Docker-образ. Опять же, тот кто обладает ключем, обладает и соответствующим образом, и ним он тоже может поделиться.
  
• Тот, кто обладает ключем, может спокойно расковырять контейнер через docker exec. И если файлы программы сами по себе отражают хорошо исходный код (например PHP-скрипты, или бинарники Go), то тут утекает уже и исходный код Вашего продукта, что не комильфо. Так что обфускацией кода и другими техниками защиты результатов компиляции пренебрегать не стоит.
  

В общем, палок в колеса вставлять можно "ого-го-го", но полного решения данной проблемы, ИМХО, нету. Потому пиратство и процветает, ибо оно возможно.

Comments

[Alister O]

при использовании докера не упадет производительность? а что если я буду предоставлять продукт в виде образа виртуальной машины, с шифрованием разделов с уникальным клюем, если утечет в сеть то можно выявить нарушителя

[Tyranron]

Alister O: с виртуальной машиной примерно то же самое что и с Docker-образом, да и с любым образом в принципе, хоть с запароленым архивом =)
При использовании Docker'а производительность падать не должна, так как образ бежит напрямую на ядре Linux, просто в своем изолированном пространстве. Если запускать не на Linux, то будет прослойка в виде неявной виртуальной машины (кроме Win10, они вроде нативную поддержку запилили почти).
Уникальный ключ - да, но во-первых, нарушителя надо ещё вычислить, а для этого надо разрабатывать дополнительные механизмы. Во-вторых, нужно ещё достоверно понять, нарушитель ли это, а не "я просто запустил на втором своем компьютере". Это ввязывает Вас в целый класс проблем, с которыми приходится считаться, которые нужно предусматривать, решать, и полного решения, опять же, нету, потому что человеческая природа может быть достаточно гнусной =/

[Alister O]

Tyranron: что вы можете тогда посоветовать? на asp.net реализовать?

[Tyranron]

Alister O: Все что я мог посоветовать - я и описал выше. Причем это не конкретные советы (ибо реального опыта разработки и продвижения подобного продукта у меня нету), а всего лишь размышления на тему, и направление в котором можно копать дальше (обфускация, защита результатов компиляции, лицензирование по ключам, серверная верификация/валидация ключей).
На чем реализовывать?
1) На чем умеете
2) На чем есть годные средства для защиты результатов компиляции

Answer 3

[Макс]

нет, докер однозначно не поможет. Скорее поможет скопировать. =)
как сотрудник финансовой организации могу сказать, что сделайте нормальный продукт, обеспечьте его нормальную поддержку и развитие - и никто и не будет его воровать. Инстумент, которым зарабатывают деньги, проще купить.

Comments

[Макс]

Alister O: Варианты чего? как не дать украсть?

[Alister O]

Я повторил проект (логику на sql + bash) которую купила наша организация, она написана на java, проект честно говоря сырой и функционал скудный, тем не менее купили за 20к $, я боюсь что если создам проект у которой код можно просмотреть то могут распространить ее в интернете и никто не будет покупать ее. Конечно я понимаю что есть ответственные организации которые соблюдают лицензионное соглашение но есть сотрудники которые любят все копировать в distr

[Макс]

Alister O: огорчу Вас, пока самая большая проблема, о которой стоит думать в первую очередь - этот как убедить купить у Вас за 20К рублей, а не "там" за 20К долларов. Купить в 90% случаев - пол беды\расходов. Внедрить и сопровождать - вот челендж. у меня был как-то проект, в котором стоимость ПО, очень не дешевого, составляло только процентов 20-25 от стоимости проекта. еще процентов 50 - внедрение , остальное саппорт. Пока Вы разработчик и продавец и внедренец и сопровожденец - уговорить что-либо купить у Вас Вам будет крайне сложно. Попробуйте начать с собственного конторы - и внедрить там. бесплатно.

[Alister O]

Макс: внедрение не проблема, и сопровождение тоже, а суметь продать действительно задача, по вашему хватит и договора и лицензионного соглашения?

[yupujexi]

Как бывший сотрудник финансовой огранизации, которая весь свой бизнес основала на одной единственной уворованной чужой платежной системе - знаю, вы не правы.
Поддержку воры обеспечивали своими силами (1 админ). Это было и дешевле и быстрее, чем платить владельцам прав.

[Макс]

yupujexi: ну стараниями ЦБ таких "финансовых организаций" становится все меньше. Если не секрет - Ваша еще жива?

[yupujexi]

Макс:
Они не под ЦБ ходят.
Любой может подключиться к другой платежной системе (к нескольким) и тоже стать платежной системой.
Думаю жива.

[Макс]

yupujexi: позвольте усомниться как в первой части высказывания, так и во второй. Банковская сфера и раньше была хорошо зарегулирована, а после выхода закона о НПС стало вообще бодро. Т.е. если Ваши бывшие работодатели возят нал коробками - еще ладно(и то странно, финмониторинг очень любит обращать внимание на хождение налички). Но если они пытаются гонять деньги электронно и при этом "не под ЦБ" - простите, но "не верю!".

[yupujexi]

Макс: для дилеров платежных систем (которые в свою очередь тоже являются платежными системами) не нужна лицензия ЦБ.
они типа "просто принимают платежи от населения".

Answer 4

[Андрей Андреев]

Я думаю если у вас продукт который можно на "коленке" по быстрому собрать, то смысла покупать его нету. Если сложнее, то проще его купить и платить за поддержку чем самим в неё ковыряться/доделывать/переделывать.
Или же всю информацию храните у себя, предоставляйте только API или типа того.

Comments

[Alister O]

Сейчас есть проект функционал скудный и написан на жава(куплен за 20к $у американской компании), но я создал копию этого проекта скриптами и функционал лучше чем платный продукт, делал из за не хватки функционала, хранить у себя не вариант так как там будет конфиденциальная информация

[sim3x]

Alister O: и как ты тестируешь sql?

[Alister O]

sim3x: пока никак, нагрузки маленькие около миллиона записей в день, подскажите как тестировать.

[sim3x]

Alister O:
не знаю.
Потому сам никогда не писал бизнесс-логику на том, что нельзя протестировать