Seguridad en los Proyectos.
 

Hola a todos...

Explico mi situación para poder hacer luego la pregunta:

Necesito incorporar a alguien que me ayude en un par de proyectos, y quiero saber como puedo evitar que se terminen llevando los fuentes (robando, por decirlo de alguna forma) sin autorización.

La arquitectura que tengo es: tanto fuentes, proyectos y bases de datos en un servidor donde se accede desde los puestos de trabajo.

Saludos.

Si van a trabajar de programador, es "casi" imposible que puedas evitar que se lleven el código, salvo que no les permitas usar pendrive, internet, cd, etc.

Concuerdo con lo que dice Casimiro y aunque tomes las mejores medidas es bastante dificil.

De todos modos ten en cuenta hacer un buen proceso de selección, realizando un estudio de seguridad y validando las referencias y blindar las actividades del colaborador con acuerdos legales entre las partes.

La unica es que lo tengas al lado, lo hagas quitarse toda la ropa (y le proveas otra), le hagas examen fisico tipo carcel, y tengas una red aislada con una estacion de trabajo en tu control, que ademas, reseteas luego de que parta.

Masomenos asi.

---

Por otro lado, la forma normal de hacer esto es con un contrato y quizas un NDA (Non-disclosure-agrement). Aunque en mi experiencia (que he hecho algunos asi) el super-codigo que hay que "proteger" no es en lo absoluto tanta cosa.

---

Mas importante que el codigo, son los datos. Las BD, en especial si tienen informacion financiera o personal, eso es otro tema. Pero hacer el aparato de seguridad (que es SOLAMENTE PONERLE ALARMAS) es un cuento que pocos sabran hacer bien.

---
Hay muy pocas industrias donde ser paranoico en esto tiene algo de sentido (banca, financieras, espionaje, infraestructura de alto perfil (como plantas nuclear o red electrica o control de aviones, trenes, etc), y tambien cosas ilegales!).

Ademas, imponer restricciones de seguridad se debe compensar con una buena paga. En los proyectos que me piden algo asi les recargo por eso. En los otros de los que he leido, la gente gana de US200/hora en adelante.

---
P.D: Y si realmente la compensación lo vale, la MAS FACIL es que contrates gente de la que tengas un grado de confianza. Aqui solo en el club seguro hay varios asi (osea: Por lo general cualquier usuario de "renombre" no va a fastidiar su reputación volviéndose estúpido de repente). Te aseguro que es la MAS FACIL y fiable posible. Este es uno de los chistes de una comunidad como esta ;)

Mi preocupación viene porque tengo desarrollados proyectos de gran envergadura y no me gustaría que cayeran en otras manos...

Son años y años de trabajo...

Por otro lado pienso que por mas que tenga los códigos si no conoce la lógica del negocio no servirán de mucho...

En fin quería saber si había alguna forma o herramienta que se encargara de eso...

Por eso, en el caso de Colombia, para el manejo de la información personal sensible se aplican las normas de la SIC.

Se puede tener una DB donde el equipo de desarrollo ingrese y no permitirles acceso a la DB de producción y si alguna información de la DB de producción se requiere para replicar un incidente, se lleva a desarrollo modificando la información sensible.

Capaz sea un poco paranoico.... o celoso... (siempre he sido celoso por mis códigos)

Tal vez es momento de hacer un análisis personal para permitirme crecer....

Sobre los datos no es el problema, porque las DB que tengo son todas de desarrollo, las DB de producción solamente las accedo de forma local.

Poneme cámaras, sacame la ropa, intalame spyware, lo que sea para controlarme que no te robe siquiera una línea. Pero con MI LAPIZ y MI PAPEL, y lo más importante MI CABEZA y MI MEMORIA te violo toda la seguridad que quieras y me la paso por los huevos.

Nada le impide a cualquier otro desarrollador que pongas a tu equipo se lleve parte del know how. Con un cuadernito y su propia lapicera, o incluso usando su propias neuronas recordando partes de código, o más importante que el código: el diseño de como fue planteado, organizado, estructurado. Listo. ya te van "robando" para que en el día de mañana aparezca un fork.
Legalmente no puedes hacer nada si ellos llevan sus propios artículos de trabajo. No les puedes confiscar su propio cuaderno que ellos dispongan.

Hecha la ley, hecha la trampa.

Como suele suceder, se intenta proteger las cosas por la vía equivocada.

Tu problema es que estás muy pegado al valor del código... Estamos en una nueva forma de hacer negocio. El pensamiento de info libre, y la filosofía free y/o open source guste o no está marcando cada vez más tendencia. Ya lo que importa no es el código, que de todas formas legalmente tu ya tienes el derecho de autoría por el simple hecho de haberlo creado. Lo que debes hacer es ahora validar el derecho comercial de hacer uso de esa manifestación de la idea. Eso se hace registrando el software en el departamento estatal que disponga tu país encargado de avalar los derechos de propiedad intelectual.

Hoy lo que más vale es el servicio agregado que le das al software: soporte, mantenimiento, facilidades de ampliación y nuevas updates, etc. Como será de loco que les está funcionando que hasta disponen el código de forma libre... ¡y hacen plata!

No te digo que abandones la filosofía del software propietario. Simplemente te digo que es medio duro, costoso, y hasta en cierta forma inútil que te pongas en defensiva y cerrarte demasiado. Por proteger demasiado el código de alguien de tu equipo capaz que le des más motivos para que te "robe".

Si bien hay proyectos del tipo libres que están ganando terreno, también hay cosas que ameritan no divulgar por cuestiones de seguridad o por tener info más sensible.

Es posible convivir en el mundo propietario y dar buen servicio, es posible estar en el mundo del software libre y/o de código abierto y dar buen servicio... y ¿en el medio? En el medio puedes estar tu si te lo propones. De por si, ya todos los desarrolladores finales como tu, yo, y muchos (por no decir todos) los que estamos acá en el foro estamos en el medio. Tenemos opciones para elegir, hay herramientas libres como pagas muy atractivas que nos hacen pensar en nuevas formas de trabajar.

No todo necesariamente tiene (o tendría) que ser totalmente libre y/o abierto... no todo necesariamente tiene (o tendría) que ser totalmente cerrado.

Hay varios tipos de licenciamiento que permiten ser más o menos abiertos, o cerrados. GPL evolucionó y dio origen a su variante Lesser: LGPL. E incluso desde la versión GPL 2 ya permite tener partes más cerradas. Otras licencias como BSD y derivadas también tienen sus atractivos. Incluso nada te impide a vos elaborar tu propia licencia "gris".

Cuida a tu base instalada ( clientes) y a tus empleados.

Utiliza alguna clausula de confidencialidad en el contrato. No le pongas puertas al campo.

Piensa si te es preferible contratar a alguien de otro país, que si quiere hacerte la competencia que se patee las empresas para que le contraten.

Ten en cuenta que el mejor producto necesita mercado. Y tú lo tienes, además de reputación. Un programador quiere programar, no "vender". Y si te tienes que encontrar con él en un cliente, le llevas ventaja.

Y como ya te han dicho, si contratas a un profesional, no va a tirar su reputación a la basura. Ganar la reputación cuensta mucho y perderla muy poco.

Saludos

Lo que yo he implementado y para nada es la solución, pero funciona de alguna manera, es modularizar las aplicaciones en DLL's, asi las personas que necesiten trabajar en el DLL_1, nunca se les entrega los fuentes de los restantes, se arman proyectos donde se liguen los .LIB, asi evito que un programador tenga al mismo tiempo todos los fuentes.
Saludos.

Básicamente, no debes trabajar con alguien si no confías en él. Y si el código o los datos tienen tanto valor, ahí están los contratos y las leyes. :-)

Y para que se despeluquen, es sabido que empresas como Google/ Facebook tienen TODO EL CÓDIGO en un solo repositorio y que TODOS LOS DESARROLLADORES tienen acceso a TODO EL CÓDIGO.

http://danluu.com/monorepo/

https://code.facebook.com/posts/2186...l-at-facebook/

Desmenuza el proyecto en varias partes, y encarga cada una a un tipo distinto, incluso de entrada le puedes decir : haz con el código lo que te salga de ... :D , y así te quitas una preocupación de encima, que bastantes hay con intentar sacar adelante un proyecto.