我想开始一个项目,技术上基于另一个项目的代码——一个克隆。例如,论坛或在线商店,等等。我将购买代码库。但是从理论上讲,开发人员/卖方能够远程操作某些东西,例如导出客户数据库或只是更改/删除带有代码的文件并使代码无用,如果他愿意的话,这在理论上是可能的。
在这种情况下,有什么策略(也许是最佳实践)来保护自己?
问问题
42 次
1 回答
0
唯一可行的选择是由有能力检测此类安全漏洞的人员进行代码审查。这绝不是一个廉价的过程,也不会有任何成功的保证。
即使是编写和审查设计为安全的代码的团队也常常无法填补所有可能的安全漏洞,最终一些黑客发现了这些漏洞并加以利用。以 OpenSSL 中的 heartbleed bug 为例。
无论是具有恶意意图的开发人员还是黑客攻击他本来不错的代码,都适用相同的方法。为了防止您的客户数据库被下载,请将其放在具有自身安全性的单独层上。如果数据库服务器一次只为 Web 应用程序提供一个客户而不提供列表,那么下载整个数据库非常困难。
黑客确实设法更改和删除服务器上的代码。为了缓解这种情况,应该使用绊线系统来检测这些变化,然后可以从简单的备份中恢复代码。
于 2014-05-14T17:56:48.323 回答