АГ
Кстати говоря кто и чем сейчас защищает код на php ??
От копирования и т.д.
От копирования и т.д.
от чего?
Size: a a a
2021 January 11
VC
доступом по ssh ключам only
ВУ
не, серьезно. вот представь, я тебе скину код нашего проекта. и первое, что ты скажешь, — что это за говно, я знаю, как нормально написать. с трейтами и импортами)
VC
и шо?
OО
не, серьезно. вот представь, я тебе скину код нашего проекта. и первое, что ты скажешь, — что это за говно, я знаю, как нормально написать. с трейтами и импортами)
Ну по факту я смогу развернуть такой же сервис теоретически.
Потом отрефакторю с трейтами )
Потом отрефакторю с трейтами )
AD
не, серьезно. вот представь, я тебе скину код нашего проекта. и первое, что ты скажешь, — что это за говно, я знаю, как нормально написать. с трейтами и импортами)
Полиция трейтов ломает сервера и осуждает проекты
AK
да нах он кому сдался)
ну, как вариант когда фрилансишь, то перед деплоем на сервер клиента - обфускация или как оно... вдруг типа клиент не заплатит
ВУ
Ну по факту я смогу развернуть такой же сервис теоретически.
Потом отрефакторю с трейтами )
Потом отрефакторю с трейтами )
ну сам по себе код без команды, которая его написала или получила знания по наследству, это только 1% бизнеса, дай бог
ВУ
другое дело, что зная код, можно понять, где он уязвим. но для этого не обфусцироваться надо, а пентесты делать
ВУ
потому что тогда даже не зная код можно войти в проект
OО
ну сам по себе код без команды, которая его написала или получила знания по наследству, это только 1% бизнеса, дай бог
Бизнес так не считает )) Я с ним кстати согласен оч много зависит и от проекта конечно.
ИЛ
Кстати говоря кто и чем сейчас защищает код на php ??
От копирования и т.д.
От копирования и т.д.
это не ты писал?
Здравствуйте, извините если этот вопрос не совсем уместен в данной группе, но тем не менее задам: как контролировать доступ удаленных программистов к кодовой базе проектов? Сейчас видится способ как создать отдельную учетную запись и дать программисту доступ через удаленных рабочий стол, попутно погируя все действия программиста, а и в идеале просто ведя запись экрана все время, что программист работает. Может кто-то знает готовые софтины на этот случай? Не хотелось 6ы, чтобы программист мог полностью скопировать все исходные коды проекта себе и пользоваться на свое усмотрение (украсть продукт компании) Так же очевидны ответы в виде заключения договоров, NDA и прочего, но больше интересует в данный момент техническая сторона вопроса и ее реализации
Здравствуйте, извините если этот вопрос не совсем уместен в данной группе, но тем не менее задам: как контролировать доступ удаленных программистов к кодовой базе проектов? Сейчас видится способ как создать отдельную учетную запись и дать программисту доступ через удаленных рабочий стол, попутно погируя все действия программиста, а и в идеале просто ведя запись экрана все время, что программист работает. Может кто-то знает готовые софтины на этот случай? Не хотелось 6ы, чтобы программист мог полностью скопировать все исходные коды проекта себе и пользоваться на свое усмотрение (украсть продукт компании) Так же очевидны ответы в виде заключения договоров, NDA и прочего, но больше интересует в данный момент техническая сторона вопроса и ее реализации
OО
это не ты писал?
Здравствуйте, извините если этот вопрос не совсем уместен в данной группе, но тем не менее задам: как контролировать доступ удаленных программистов к кодовой базе проектов? Сейчас видится способ как создать отдельную учетную запись и дать программисту доступ через удаленных рабочий стол, попутно погируя все действия программиста, а и в идеале просто ведя запись экрана все время, что программист работает. Может кто-то знает готовые софтины на этот случай? Не хотелось 6ы, чтобы программист мог полностью скопировать все исходные коды проекта себе и пользоваться на свое усмотрение (украсть продукт компании) Так же очевидны ответы в виде заключения договоров, NDA и прочего, но больше интересует в данный момент техническая сторона вопроса и ее реализации
Здравствуйте, извините если этот вопрос не совсем уместен в данной группе, но тем не менее задам: как контролировать доступ удаленных программистов к кодовой базе проектов? Сейчас видится способ как создать отдельную учетную запись и дать программисту доступ через удаленных рабочий стол, попутно погируя все действия программиста, а и в идеале просто ведя запись экрана все время, что программист работает. Может кто-то знает готовые софтины на этот случай? Не хотелось 6ы, чтобы программист мог полностью скопировать все исходные коды проекта себе и пользоваться на свое усмотрение (украсть продукт компании) Так же очевидны ответы в виде заключения договоров, NDA и прочего, но больше интересует в данный момент техническая сторона вопроса и ее реализации
OО
это не ты писал?
Здравствуйте, извините если этот вопрос не совсем уместен в данной группе, но тем не менее задам: как контролировать доступ удаленных программистов к кодовой базе проектов? Сейчас видится способ как создать отдельную учетную запись и дать программисту доступ через удаленных рабочий стол, попутно погируя все действия программиста, а и в идеале просто ведя запись экрана все время, что программист работает. Может кто-то знает готовые софтины на этот случай? Не хотелось 6ы, чтобы программист мог полностью скопировать все исходные коды проекта себе и пользоваться на свое усмотрение (украсть продукт компании) Так же очевидны ответы в виде заключения договоров, NDA и прочего, но больше интересует в данный момент техническая сторона вопроса и ее реализации
Здравствуйте, извините если этот вопрос не совсем уместен в данной группе, но тем не менее задам: как контролировать доступ удаленных программистов к кодовой базе проектов? Сейчас видится способ как создать отдельную учетную запись и дать программисту доступ через удаленных рабочий стол, попутно погируя все действия программиста, а и в идеале просто ведя запись экрана все время, что программист работает. Может кто-то знает готовые софтины на этот случай? Не хотелось 6ы, чтобы программист мог полностью скопировать все исходные коды проекта себе и пользоваться на свое усмотрение (украсть продукт компании) Так же очевидны ответы в виде заключения договоров, NDA и прочего, но больше интересует в данный момент техническая сторона вопроса и ее реализации
Нет это не я )) Там что-то вообще аДЪ
ВУ
Бизнес так не считает )) Я с ним кстати согласен оч много зависит и от проекта конечно.
бизнес много чего считает) только потом выяснится, что ты там в sql без плейсхолдера инжетишь в одном месте или файервол в симфони неверно сконфигурил в ямлике и это обернется реальной проблемой. например, утечкой данных, которые можно продать. а код на пхп никому не нужен, уж поверь мне. поэтому я бы силы бросил на анализ более реальных векторов атак
АГ
самое главное, чтобы базу не слили. а это все равно найдется кому сделать.
ВУ
ну и потом как вообще код-то может быть скомпрометирован? в репозитории он лежит исходно, там всё понятно, надо репо защищать. а на проде как? я к тому, что если к тебе зашли на сервер и увидели файлики, то последнее что они будут делать, это классики на php изучать. первым делом найдут твой config/db.php и пойдут в бд
ВУ
ну либо если надо встроить свой код в имеющийся (хотя я не уверен, что это что-то осмысленное), то обфускация не спасёт от этого
ВУ
короче все должно начинаться с модели угроз, оценки рисков и т.д. тут важны не только меры на уровне приложения, но и организационные. например, если у вас секретарша пароль от почты на монитор клеит, то это может быть куда важнее, чем исходный код на сервере.
единственная аргументация для обфускации — это отправка кода на лицензирование или анализ. там есть какие-то заморочки из-за того что php скриптовый язык и не одним файлом поставляется. но это отдельный разговор, я решения такого кейса так на практике и не увидел
единственная аргументация для обфускации — это отправка кода на лицензирование или анализ. там есть какие-то заморочки из-за того что php скриптовый язык и не одним файлом поставляется. но это отдельный разговор, я решения такого кейса так на практике и не увидел
ИЛ
ну и потом как вообще код-то может быть скомпрометирован? в репозитории он лежит исходно, там всё понятно, надо репо защищать. а на проде как? я к тому, что если к тебе зашли на сервер и увидели файлики, то последнее что они будут делать, это классики на php изучать. первым делом найдут твой config/db.php и пойдут в бд
а там переменные окружения!
тогда придётся вламываться с исполнением кода
тогда придётся вламываться с исполнением кода