PHP 多人开发如何保证代码的安全性

@lzhr C 就靠不走了？谁忽悠你的

借鉴 SPA 思想，做接口，然后接口按照 token 给权限，一人对应一个权限，离职以后直接全部作废。

@saintatgod 我有说 C 不能拷贝吗？

IT 公司千千万，每年跳槽的码农万万千，还有众多外包公司以及外包公司的码农，可以说，想要做到技术层面的保密难上加难。如果哪家公司真的因为这个层面的问题被搞倒闭了（几乎没怎么听说吧？ 9x 年那阵 IT 刚起步的时候不算），说真的，它也没资格在市场上生存下去

我碰到过一家电商公司，所有开发两台电脑，一台内网开发机，一台外网查询资料，供参考。

但是我不建议这样，其实你的代码没有你想象那样值钱。

简单点 分仓库 rpc 复杂点核心代码二进制 php 调用

@zjsxwc 代码的生命周期往往比你想象的长。直接拿开源的，这个恐怕并不是普遍情况，因为开源代码都有使用协议。

代码本身并不值钱= =！基本的信任还是要有的。我以前也犯过同样的错误，弄伤别人感情了。不合适。
现在找几个程序员像素级别 copy 一个站跟玩一样。代码能值几个钱。给你个淘宝，你能运营成现在淘宝这样的规模？

基本靠信任。。。算法基本靠 C ..帐号配置文件服务器和本地不一样。。。

@msg7086 你的代码不值钱不要紧，安全呢？被别人去审计代码里的漏洞，然后给你使绊子，你防得住？

@msg7086 中小公司同行之间相互下黑手的情况太多了，我们网站就被竞争对手搞了好几次。我们老板说，要是把他逼急了豁出去自己网站不开了也要整跨他们的网站。我都不敢想要是那家公司拿到我们的代码会做出什么事，甚至我们也特别想拿到他们公司的代码，就差派间谍过去了。你可能是没有过这种经历吧。

@linpf 你说得没错，我们是只给大型企业做内部系统的，所以的确没有这些经历。
不过除非是编码水平不过关，否则代码里并不会留下太多的把柄。
你想，如果对方为了搞你，看了下你的代码就发现了能攻击的漏洞，那你们公司的程序员测试员都在干啥呢，他们看自己的代码看了几个月几年了，为什么没把这些漏洞修复呢，对不对。
Linux 内核也有漏洞，但是他们的漏洞藏得很深，触发条件非常边界，这是情有可原的。但是一个网站让人审计了代码就发现漏洞，这真的不应该。

@msg7086 小公司哪有专业的测试，程序员都身兼数职。

@msg7086 反正我都不敢说自己写的代码没有逻辑漏洞，但是老板也不会说给你 1 个月时间去找漏洞去。那么多开发任务还压着没做完呢。在这种情况下，只要保证我代码不公开，那么有这 bug 也一般不会有人知道。因为连我自己都不知道。

分系统吧，比如核心逻辑（比如用户登录）单独弄成一个系统，其他系统访问只能走 http，代码楼主一个人保管，保证安全

@linpf 我在团队里立下的规矩是自己写的代码应该要有自己的测试，因为我们公司已经吃过没有测试的苦头了（几万行代码没有测试，随便改一个小功能要测半个月还大概率血崩），所以除非是超小型的项目，否则再怎么样也要写好自动化测试。

当然了这又是另一个话题了。

@msg7086 人力充足自然好啊，但是写自动化测试的成本恐怕要比代码本身还要高。

@linpf 从成本而言，我进公司之前我们技术部做了一个新版本开发计划，重做 UI，加入一个客户催了半天的功能，更换底层平台，预计 3 个月完工交付。
我进公司的时候他们已经做了一年半了，进度到一半，特别去招了一个 QA 团队，每个星期用人手测出来的 Bug 比 Feature sub-task 还多。第二年做完以后发布了测试版，结果没几个月就把客户做到一半的数据盘删个精光。等开发部的人全走光以后，我把各种代码抽出来重写重做重设计以后，到第三年年中的时候总算 Bug 数量减少到我们的客服能够忍受客户抱怨的程度了。

为了三个功能，在没自动化测试的情况下写了三年还只能勉强看，要是从头照着规矩认真写的话都够我写两遍了。
我相信自动化测试的成本绝对不会比代码本身还要高，至少从带来的收益来看，是很划算的。

从你描述里来说，测试成本就已经比代码开发成本要高了。但是测试在中小公司里是选配的，尤其是做自己公司的项目，可能根本不会招测试~

所以说，像这种没有经过专业测试的代码，哪敢让代码泄露出去。

@msg7086 而且不要高估了小公司程序员的水平。竞争公司一个程序员，还通过一个朋友介绍加了我，提问我一些技术问题……当然他不知道我是在他竞争对手公司~~二三线城市，市场就这么大，圈子就这么大。人都是对跟自己差不多的人才会有嫉妒心和报复心的。没几个人眼红 BAT 做那么大，但是一个人他身边的谁要是做大了做强了，那可是要眼红的。