这可能不是最技术性的问题,但我只是感兴趣,尽管如此......
像谷歌这样的大公司如何避免员工窃取他们的代码?也许我错了,但我会假设他们的搜索算法的源代码(除其他外)对他们的竞争对手(即微软)是有价值的。
我想我最好这样说:
是什么阻止了一个有足够权限的不道德员工访问谷歌的特定项目代码存储库并将大量代码复制到闪存驱动器并将其带到他们的竞争对手?
这可能不是最技术性的问题,但我只是感兴趣,尽管如此......
像谷歌这样的大公司如何避免员工窃取他们的代码?也许我错了,但我会假设他们的搜索算法的源代码(除其他外)对他们的竞争对手(即微软)是有价值的。
我想我最好这样说:
是什么阻止了一个有足够权限的不道德员工访问谷歌的特定项目代码存储库并将大量代码复制到闪存驱动器并将其带到他们的竞争对手?
害怕被起诉?
像谷歌这样的公司内部的东西也被划分了。所以不是每个人都可以访问所有代码。如果有人可以访问代码,你可以打赌谷歌知道他们何时访问它。我确信他们有某种算法可以查看是否有人非常快速地下载了很多文件。搜索算法显然不是一个小文件,它是一个巨大的应用程序。
所有这些都可以让他们追踪谁从内部窃取了代码。还有一个事实是,任何有自尊心的公司或有损失的公司(即微软)都不会从某人那里得到这样的东西。他们甚至可能会告诉谷歌这件事。
它被称为协议。只有少数人知道代码的想法。然后,那几个人不得不向其他人讲述一个非常尴尬的重大秘密。所以没有人能说出来,否则他们就会在公众面前露面。这可以很简单,就像他们喜欢某样东西一样,而不是像他们一路杀了人一样害羞。
许多雇主,包括我工作过的雇主,都完全屏蔽了闪存驱动器。
但是,在许多情况下,这是为了保护非技术机密信息。
认真保护其资产的公司将可以访问其核心系统的日志记录和主动扫描以检测可疑模式。对持有敏感个人信息的政府机构(例如税务、社会保障)的员工实施类似的安全措施。可以标记和调查在分配的案例之外访问数据的用户。
我怀疑(但不知道)类似的扫描可以在高价值的源代码存储库中实现。
一些组织阻止使用可移动媒体(据报道,一些机构对维基解密采取了此类政策),在某些情况下,通过物理粘合 USB/媒体端口。这将潜在的窃贼限制在可以扫描的材料的网络传输中。
我认为codethis一针见血。一些夜间操作可能会感兴趣,但微软、雅虎等 - 不会用十英尺长的杆子接触被盗代码。夜间飞行将没有基础设施。如果你没有告诉任何人它被盗了——你不可能走进一家在你的拇指驱动器上拥有完整的蜘蛛/搜索算法的公司并宣布你是上周写的。
更大的威胁是搜索算法的细节泄露。整体而言,SEO 人员相当阴暗——许多人会因为关于算法如何对页面进行排名或降级的可靠事实而扼杀。即便如此,谷歌已经证明了能够如此迅速地改变他们的排名算法,以至于这并不重要。
另一方面,谷歌没有那么多超级机密代码。他们的大部分很酷的东西(MapReduce 等)都是公开的(参见 Hadoop)。这个问题可能更适用于像 Adobe 这样的公司。他们的一些 Photoshop 算法真的很酷,如果他们出去了,可能会伤害他们——但同样,没有合法的公司会碰它。
我认为像谷歌这样的公司会在他们的源代码存储库/版本控制系统上实施访问控制。因此,他们的员工只能访问他们参与的源代码。如果他们被分配到不同的项目,他们的访问权限可能会从以前的存储库中撤消。和普通的内部文件一样,有安全意识的公司会允许任何员工自由下载文件吗?