大型公司里面如何防止程序员接触到核心代码？

像 BAT 这类公司，假如我是刚刚入职的程序员，现在公司要我做一个专题模块，做好了要集成测试，这个专题模块要用户登录才能用，那么必须 include 这个 Passport 模块，而这个模块的源代码里面肯定有一些加密算法，私钥等等信息，不能让我们这些小程序员看到里面的代码，那么具体怎么做测试呢？他们如何保证核心业务代码的安全？

yjxjn

2016-06-29 08:31:32 +08:00

IBM 是这么干的，你要是在互联网上泄露代码了，一经发现，等着走人吧，甚至有可能法务会起诉你，代码可以看，唯独对于数据库权限，一般只有 select 权限，也就几个表，不是很重要，对于非常 confidential 的表来说，如果业务需要的话，才临时给你付权限，一旦项目结束，直接 revoke 掉......

murmur

2016-06-29 08:48:08 +08:00

@fluyy 算法没有专利。。你申请专利必须叫一种 xxxx 的装置 /设备 /方法，我当年复习软考还特意背过这里

Wenwei

2016-06-29 08:53:36 +08:00

想多了，即使给你整套的代码，那么多年的代码和配置，想必你也 run 不起来。况且不同的系统可能采用不同的语言来写。

bitsjx

2016-06-29 09:28:10 +08:00

代码都在内网服务器上，和外网直接是隔离的，即使看了也没啥啊，反正也拿不出来，但是如果不让看，那怎么工作？

tabris17

2016-06-29 09:34:46 +08:00

@yjxjn 但是对 DBA 来说想访问啥数据就访问啥数据吧。就像 CIA 和 NSA 安全等级再完备，也防不住斯诺登吧

tsungkang

2016-06-29 09:40:12 +08:00

@Wenwei 哈哈，这话我赞同，我现在这公司大部分代码是可以直接拉下来瞧的，全部拉下来有 1G 多（这还只是源代码，生成了以后得有 6G 多……），不过嘛，其实知道了大概原理以后我表示对这些源代码也没啥兴趣了，留着还浪费硬盘空间。再说了，即便给我我也跑不起来，没那运行环境。

stormpeach

2016-06-29 09:46:15 +08:00

编译型语言底层用二进制文件。
web 开发你还藏着掖着？还让不让人加班了？

Jehovah

2016-06-29 09:46:50 +08:00

我已經掌握了沙縣小吃的核心技術了！你們要加盟嗎？！

mechgouki

2016-06-29 10:15:39 +08:00

现在的软件开发就算给你全部代码也没有用关键是人和团队啊

cocalrush

2016-06-29 10:50:59 +08:00

公钥私钥测试环境一套生产环境一套... 给你并不会影响什么啊. 加密算法都是公开的

ethego

2016-06-29 10:51:43 +08:00

我厂是这么解决的：同时存在几套环境，生产、线上、日常、测试等等等等，像私钥这种东西每个环境都是隔离的，开发环境只保证程序能正常运行。如果个人要拿真正的用户数据需要像 db 团队进行申请，由 dba 或者自己去线上系统导，数据会经过一次脱敏。

ethego

2016-06-29 10:52:33 +08:00

内部各模块之间调用全部走 api 的，与开发无关的模块无权限浏览。

hongcha

2016-06-29 11:10:55 +08:00

朋友你想多了，基本都是走网络请求接口调用 api/rpc, 你要是 include 了，后面人家更新了算法密钥，你不得跟着更新，耦合太大了

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/288901

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.