Каким образом решить проблему воровства кода при коллективной разработке?

Question

[Litiy]

Сейчас популярны гибкие методологии разработки, которые включают коллективное владение кодом, коллективную ответственность и коллективную разработку. Но даже если каждый человек отвечает за свою конкретную часть, то очень часто бывает, что каждый все равно может получить доступ ко всему разрабатываемому ПО.
Для прикладного ПО можно это обойти — каждый разрабатывает свою dll, а затем это всё сшивается воедино. Но как поступать, например, с веб-сервисами, для которых обычно весь код открыт?

В общем, вопрос звучит так:
Каким образом владельцу ПО/работодателю обезопасить себя от воровства исходников при работе с наемными сотрудниками?

Интересует не только законодательная часть, но психологическая и техническая. К сожалению закон в России не всегда является барьером для воровства в сфере ИТ.

Как первый вариант – если несколько программистов, то можно определить долю каждого в бизнесе, чтобы каждый был заинтересован в коллективном успехе. Недостаток: как быть когда бизнес вырастет и нужно будет принимать наемных работников?
Второй – у каждого свой модуль и нет доступа ко всей системе. TDD здесь поможет, однако это исключает многие пункты agile, что может замедлить разработку.

Answer 1

[s0rr0w]

1. Дайте каждому опцион. И тогда воровать они будут у себя.

2. Забейте. Любая, даже самая уникальная идея, имеет свое время жизни и свою область применения. Например, я знаю как организован проект, но это применимо только к данному проекту и данным разработчикам, в других условиях методика, алгоритм, фича будут неэффективны. Я могу выйти на улицу и каждому рассказывать про замечательные идеи и уникальные алгоритмы. Но кому они нужны кроме меня?
Даже работая над общим кодом мало кто будет представлять себе всю картину в целом. Чем больше будет проект, тем слабее будет понимание каждым из работников, почему это было сделано так а не иначе.

3. Патентуйте алгоритмы, если они того действительно стоят

Comments

[Litiy]

2) действительно, есть такое…
3) ну опять таки у нас это мало что значит
Спасибо, полезно.

Answer 2

[zed91]

Вороватых людей не надо нанимать

Comments

[Litiy]

Сегодня он не вороватый и отличный сотрудник, а завтра ты ему недоплатил за дело и он уже продаёт твоё ПО конкурентам.

[zed91]

Тогда вам надо платить зп на 20% выше той, которую он смог бы зарабатывать в другой конторе. Я считаю, что если захочет нагадить, — нагадит. От этого не избавишься. Сам я не доверяю какую-либо ответственную работу человека, который не проверен временем.

[VioletTape]

Наказание рублем только озлабливает людей. Такое нельзя практиковать. Пусть лучше чай/кофе носит команде. Или там компы помоет.

Answer 3

[Wott]

Если честно не вижу проблемы. Код сам по себе в отдельный момент времени не многого стоит — он меняется и работает в комплексе. Даже если стырят все, то есть команда, которая его знает, улучшает и развивает. Конечно могут увести целиком и код и команду, но это уже проблемы более общие.

Comments

[rtzra]

Добавлю от себя — если кто-то поставит перед собой задачу упереть код — он его упрет. 100% и никак вы не сможете этому помешать. Плюс потратите кучу времени, денег и пожертвуете удобством работы что скажется на работе. Добавьте в каждый модуль, картинку и прочие объекты ваши копирайты, имена автором и все такое — в дальнейшем если будут судилища-ристалища вам легче будет доказывать свои права.
Ну и Wott абсолютно прав, продукт это постоянно развивающаяся штука, он живет и изменяется.

Answer 4

[VioletTape]

«Управление грибами». (Почему грибами? Потому, что грибы держат в темноте и кормят навозом.) Удержание работников в неинформированном и постоянно занятом состоянии. Замыкание всех внешних и внутренних потоков информации на себя. Фильтрация и искажение информации в личных интересах. Зависимость исполнителей от более информированного начальника. Строгое разграничение прав доступа к проектной документации и исходным кодам. Ограничение доступа в Интернет («а вдруг узнают среднюю зарплату на рынке?»), запрет ICQ, препятствование общению с коллегами из других компаний. Загрузить работой так, чтобы времени на обдумывание чего-либо не оставалось. Постоянно находить какие-нибудь «важные и неотложные» дела.

вот так не будет цельной картины у разработчиков и они настолько устанут от проекта, что забудут его с великой радостью ;)

Comments

[Litiy]

Я не думаю что в таком коллективе люди будут счастливы) Но совет полезный)

[VioletTape]

Ну как сказать. Я был до недавнего времени примерно в такой ситуации. Сотрудники относились бы с иронией к такому положению вещей, если бы были разрешены социализирующие компоненты. Но у нас для пущей уверенности были сильные действия направленные против формирования команды как единого целого.
Но и после этого надолго люди не останутся и разбегутся как только их отпустит профессиональная гордость.

Answer 5

[lesha_penguin]

Да, есть всякие NDA и прочие вещи. Но, давайте на это посмотрим с другой стороны.
Существует естественный процесс обмена и накопления опыта. Любой человек, а не только программист, использует какой-то опыт и наработки из предыдущих проектов и использует опыт и наработки текущего проекта в будущих. Это совершенно естественный процесс.

Спросите себя, в какую сторону идет большее движение? В проект или из проекта? Стимулируете ли вы сотрудников к применению всей массы имеющегося накопленного опыта и умений или же вы вызываете у своих сотрудников только одно желание (см. коммент выше про «управление грибами»): побыстрее слинять от вас, забыв как страшный сон и «в качестве моральной компенсации» уходя, прихватить хоть что-то, хоть что-нибудь например кусок кода?

Скажите честно, вашим сотрудникам с вами интерестно работать? Если сотрудникам с вами работать интерестно, то почему вы должны бояться? Серьезные причины есть, когда сотрудник не может реализовать свои знания и опыт в вашем проекте и поэтому уходит в другой.

Это все равно что спрашивать «почему ваша жена ушла к другому, прихватив квартиру, машину и все сбережения на банковском счету в качестве трофея?». Так понятнее? Мотивация примерно одинаковая. Потому что вы сами сделали все для того, чтобы в другом месте человек чувствовал лучше чем с вами.

Это я говорю о именно Разработчиках с большой буквы (которые могут что-то реализовать), а не о «быдлокодерах» (которым даже если и получат в руки код, они все равно ничего с ним сделать не смогут, даже отладить до приемлемого уровня, не то что выйти с ним на рынок). Да и вообще, что у вас там такого секретного в коде, чего нет в других приложениях?

Короче мой ответ из трех пунтков: Грамотная

Comments

[lesha_penguin]

Короче, мой ответ из трех пунктов: Грамотная кадровая политика, Работа с мотивацией сотрудников, и для «юридической успокоенности» NDA.

[Litiy]

Метафора хороша

Answer 6

[Сергей]

ПУсть каждый пишет только свой модуль, а доверенное лицо, которому Вы можете доверять, например, Вы сами, соберет все потом в одно целое.

Но это не так уж и легко.
Иными словами — никак.

Answer 7

[int03e]

Ну вроде как стандартное решение — NDA?

Comments

[s0rr0w]

У НДА есть один недостаток. Действие договора заканчивается после вашего увольнения.

Answer 8

[SJDeveloper]

а разве запретили уже использовать программы Р Админов и т, д. Сниферы ввода с клавиатуры и сливание всё на сервер в офисе?

Ну а как же банальные спички в USB? Это же прекрасно смотрится просто видел в одной конторе «Администратор» придумал.

Comments

[s0rr0w]

У работников много всего в голове еще хранится. А это уже на сервер не сольешь. Это вам не DollHouse

[AlexP11223]

Программисты без доступа в Интернет?

Как вариант, если код очень кому-то нужен, можно сделать снимки экрана на телефон/смартфон. Или на бумажку. Или по памяти дома переписывать по частям.

[SJDeveloper]

код то какой должен быть если такие вещи делать что бы увести его я такого не встречал если честно.

[int03e]

Сорцы stuxnet? :-)

Answer 9

[holyorb2]

пусть работают в офисе и поставьте камеры наблюдения
и дать договор где четко будет написано что и как за воровство вы делаете

Comments

[Litiy]

В какой-то мере это решает проблему, но, по-прежнему, желающие могут увести код/идеи. Мне интересно как сделать так чтобы это было либо невозможно при сохранении преимуществ методологий разработки либо ненужно (как замотивировать людей так чтобы у них не было такого желания).

[ixSci]

К камерам наблюдения еще стоит добавить надсмотрщиков с кнутами. Это еще больше замотивирует работников!

Answer 10

[Дмитрий]

Программирование по контракту разве не подойдет? Разные группы договариваются о контрактах, все видят только файл MyCompany.Common.dll, или сорцы к нему, неважно. Никто и никогда не видит код других, билд-сервер не настроен выдавать бинарники, если кто-то из комманды должен получить скомпиленный продукт — он получает заобфусцированную копию, из которой ничего не вытянуть.

Comments

[Litiy]

Да, это вариант №2. И я сказал его недостаток – например невозможность использования XP для увеличения скорости разработки.

[int03e]

«он получает заобфусцированную копию, из которой ничего не вытянуть» Это очень спорно, во всяком случае для целевой аудитории wasm.ru и им подобных.

Answer 11

[Alexander]

Организационные, программные и технические меры защиты информации.
1. NDA, положения, журналы учета съемных носителей.
2. «Белый список» съемных носителей, ведение логов, антиинсайдерское ПО, запрет личной почты в офисе, доступ к кодам только из офиса.
3. Блокирование всех ненужных портов (эпоксидка вам в помощь), опечатывание компа…

Отдельный интерес представляет антиинсайдерское ПО: ставит на все файлы именные метки, отслеживает подозрительную переписку по ключевым словам, контролирует целостность файлов, можно поставить запрет на команду копирования файла, может отслеживать копирования кусков защищаемого документа в другой документ и т.д.

Пара статей в тему
www.iso27000.ru/chitalnyi-zai/zaschita-ot-insaiderov/kak-zaschischatsya-ot-insaidera
www.securitylab.ru/contest/289337.php

Comments

[int03e]

Какой ужас, не хотел бы я работать в стиле 1984.

[Alexander]

Это еще мелочи. Вот что в некоторых банках и интеловских заводах творится… Как вам авторизация по экспресс-анализу крови? Полная анонимность вкладчика, банк ничего не знает о его личности, в базе только номер счета и эталон крови. На хабре как-то появлялся разработчик ПО для такого странного банка.

[AusTiN]

Ужас, каждый раз когда хочешь взять или положить деньги — надо прокалывать палец. Брр.

[Alexander]

Думаю люди, которые пользуются услугами такого банка, не так уж часто что-то снимают.

Answer 12

[Solver]

А почему все рассматривают кражу исходников только в контексте уникальных алгоритмов, технологий и т.п.
Исходники это тупо много человекочасов… если я утащу банальнейший проект какой нибудь ну пусть даже flash игрушки (пример просто из смежной области), то просто с экономлю кучу времени себе и своим программистам на разработку костяка игры. Тут нет уникальных технологий, нет секретов и тайн… да дофига людей пишут flash игрушки.
Но вместо того, чтобы уйдя из противной мне конторы пустым и просто сделать свою студию разработки, я утащу исходники и тупо сэкономлю кучу времени…
В исходниках что называется «с нуля» разбираться не надо по логике я с ними и так работал.
Даже можно в этом же сеттинге выпустить игру поменяв только графику, тем самым посадив в лужу контору из которой уволился… судиться можно долго, доказывая, что это не ты код писал… можно ведь и обфускацию сделать и т.д.

Это же применимо и ко многому финансовому ПО… да в принципе ко многому ПО…
Так что ноу-хау не единственна проблема кражи исходников…

Comments

[Litiy]

Все верно, но ответа нет.

[lesha_penguin]

solver, слишком много факторов вы еще не описали. Если бы было все настолько просто, то такое было бы направо и налево. Но реально, как мы видим, такие случаи единичны. Есть еще, например, такие вещи как баги, отладка, маркетинг, коммандообразование, управление проектом… куча всего.
Эффективно «подообный манерв» способны выполнить лишь единицы. Да и то, сработает это лишь в самом простом случае, вроде упомянутой вами flash игрушки.

А исходники чего-нибудь хоть немного посерьезней чем интернет-магазин или flash-игрушки — это все равно что чертеж атомной бомбы: все это супер круто, супер-секретно, но только чтобы собрать это по чертежам и довести до ума (я имею ввиду комерческой применение) нужно столько сил и средств, что это посилам лишь совсем единицам.

Хорошо, Давайте предположим гипотетический случай. Завтра к вам в кури чудесным образом попадают рабочие исходники какой-нибудь ERP-системы (например, непонятно какая ревизия из svnа, обнаруженная где-нибудь на ноутбуке на скамеечке в парке). Что вы будете делать?

Неужеле вы серьезно думаете, что уже на следующей неделе вы будете радостно подсчитывать миллионные обороты, став крупным игроком на рынке ERP, просто скомпилив это все в состоянии «как есть», только изменив одну строчку copyright?
В более-менее серьезном проекте один баглист толщиной с тетрадку, причем многие баги открыты уже по полгода. Ну, а про то, что для только самой попытки доведения до ума большого проекта (не говоря уже о последующей его поддержке) чужой программы размером более сотни тысяч строк, нужны тоже тысячи человеко-часов (а они у вас есть?) и нормальная квалифицированная комманда разработчиков (они конечно тоже ходят табунами рядом с вами, ожидая мановения вашей руки?), наверное тоже не секрет. Но, даже если худо-бедно вы все-таки (потратив вагон времени и вагон денег) с этим всем попытаетесь выйти на рынок, то вас там тоже не ждут с распростертыми обьятиями, там уже будет конкуренция в первую очередь со стороны исходного программного продукта который тоже не стоял на месте (а развивался побыстрее вашего, desu). И вам будет стоить еще трех вагонов денег убедить потенциального заказчика что ваше г*&но не менее г*&нистое чем г*&но конкурента.

А теперь, давайте прикинем, у какого процента работающих рядом с вами программистов хватит навыков, времени сил, организаторского и руководительского таланта (и самое главное лишнего мешка денег в запасе :) не забываем, что на все нужны ресурсы :) ) чтобы вот так прямо завтра взять и открыть свою успешную софтверную фирму с организованной коммандой разработчиков и отлаженными бизнес-процессами? Может быть на тысячу пара-тройка таковых и найдется. Вот только, обычно этой паре-тройке хорошо сидиться на должности ведущего программиста или технического директора и они вовсе не собираются покидать родную контору.

[lesha_penguin]

Это я к чему говорю. Что паранойя вещь хорошая, но только когда она направлена в правильное русло, когда она служит вам. Не стоит боятся того, что каждый быдлокодер который увидел две строки из ваших исходников уже сольет их и превратиться в вашего главного конкурента (у быдлокодера таких навыков просто не хватит).
А вот налаживать правильные и хорошие деловые отношения с ключевыми разработчиками, как раз надо и это правильно и очень полезно.

[Solver]

Все верно, только учтите, что мы не «находим исходники на скамейке», а целенаправленно крадем… при чем нужную и известную ревизию из SVN.

А вообще такое наиболее опасно для небольших контор… там где проекты не на много миллионов строк кода, а вполне подъемны для пары программеров. Украв исходники винды вы не нанесете существенного урона майкрософту. А вот украв ERP у небольшой конторы это совсем другое дело… это с экономит много времени ибо в нормальной ERP разобраться не так сложно (сам написал их не одну и не две), а не нормальную красть нет смысла…
Получив исходники в которых вы ориентируетесь, вы почти сразу можете предлагать ее заказчикам. Причем можете демпинговать, вы же не вкладывались в разработку…
А со всеми багами разбираться это уже в рабочем порядке, после продажи, подписания договора, получения аванса и т.д.
И мешок денег для этого тоже не нужен…
Поверьте мне, я первые несколько внедрений своей системы делал на голом энтузиазьме… при чем конторы были немаленькие.

Answer 13

[Максим Лапшин]

Да никак и практически никогда это не нужно.
За исключением кода с большим количеством математики, сам код ценности не представляет. Ценность не в программистах с их кодом, а в продавцах с их договорами.

Деньги в фирму приносят не программисты. Так что если хотите себя обезопасить, идите вперед на рынке, рекламируйтесь, создавайте себе имидж и тогда даже если все ваши исходники выложат куда-нибудь, вы не особо это и заметите.

Comments

[AusTiN]

Ваши слова бы да Microsoft или Adobe в уши… ;)