在眾多廠商、企業都在盡力強調數據安全、落地各種防護方案時，關于代碼安全，尤其是企業的核心代碼防護仿佛并沒有被時常提及，是否代碼的敏感性、重要程度已不如數據？企業保護核心代碼的措施又應該是怎樣的？本期話題我們以核心代碼安全為話題，就相關問題展開討論。

　　現在有企業會把核心代碼開放給大部分甚至所有部門員工，而不像數據一樣設置各種權限，這是否說明現在代碼安全已經不像數據安全那么重要了？

　　A1：

　　代碼安全要看行業的，如果是快速迭代的互聯網模式，老的代碼沒什么用，也就不用怎么保護了。要是傳統軟件的代碼就不一樣了，你看微軟什么時候公開過代碼庫。

　　A2：

　　現在企業中都有專門的代碼倉庫來保管代碼，分組織、項目、人員來管理的。

　　A3：

　　代碼安全根據行業來區分，例如公司是專門從事軟件開發行業、軟件服務的，他們的核心資產就是代碼，那么他們會對代碼安全要求很嚴格；如果行業并不是靠這行吃飯的，代碼算不上核心資產，那么自然也就不會那么重視。

　　A4：

　　沒錯，看行業，尤其是制造等硬件底層的一些代碼，開發環境都得隔離，代碼落地加密處理，敏捷開發的前端沒這個必要。

　　A5：

　　重不重要取決于對公司的價值。代碼如果是核心產品，必然很重要。代碼庫也會設置各種權限，尤其是核心代碼。

　　A6：

　　我這并沒有開放給大部分員工，一般是項目相關的會有權限。但是我現在沒遇到特別好用的代碼管理軟件，Git雖然優秀，但是其實面向的還是開源軟件開發，在容錯性上做的很好，但是權限和安全性是不足的。比如某人如果取消了權限，但是Clone到本地的代碼一樣能用。舉個例子，某云的Devcloud也明顯就是社區作風，代碼庫的創建者可以自行刪掉代碼庫，真的是震撼了我。

　　Q：現在認為核心代碼脫離了公司測試環境，根本就毫無用處， 跑不起來，那核心代碼的安全價值該如何衡量？

　　A1：

　　核心代碼的安全我認為應該分兩方面來考量吧，第一是自身的安全考量，比如遭受安全事件后的影響程度；第二是從合作伙伴來考慮，比如華為就對合作伙伴有專門的標準，要求必需滿足某些指標才會采購。

　　A2：

　　確實有這種聲音。但被競爭對手拿到也不是那么絕對。安全價值或者說對公司的價值更多的是產品依賴度和知識產權。

　　A3：

　　題干說的這種核心代碼應該是“瘦”核心，只要最重要的工作，其他都通過中、外圍系統的完成，要有接口和相應的能力，不然核心代碼只能跑非常少的功能。

　　A4：

　　除非特別大公司的特別大的業務系統的某個模塊，其他的不存在跑不起來，毫無用處這個概念。無論是設計思路的竊取還是攻擊漏洞的暴露，代碼保護還是重要的，重要程度取決于老板預算。

　　A5：

　　這個說法應該是我老東家當年提的吧，號稱的代碼太吃資源了，被偷走了也跑不起來。結果，201x年的時候，真的有離職員工做競品，結果現在互聯網大廠普通員工都要簽競業協議了。而且也專門設置了安全部門來檢查員工是否拉不該拉的代碼，特別是離職前。

　　A6：

　　代碼不出網這是基本要求，所謂和核心代碼放出來的，只是現在的開源文化，放出一個公版，其他就不細說了。

　　A7：

　　小規模業務的代碼，離開公司絕對能跑起來，客戶端代碼離開公司絕對可以跑起來。基本上就是輪子造的多的公司，可能代碼沒法直接Run起來，但是核心業務的核心代碼，根本不需要直接Run，直接抄里面的功能邏輯就行。

　　不過說實在，現在大多數企業也沒有核心代碼吧，寫的大多數是垃圾。代碼泄露更大的問題是增加攻擊面。

　　A8：

　　打個比方，開源那些機器人項目，人家的機器人18歲能蹦能跳，你把開源抄過來，看上去像腦血栓，真正的核心，不管是核心功能還是存在隱患，不太可能讓所有人都能訪問。

　　A9：

　　這部分的差異可能不是代碼，有的時候是數據。甚至是日積月累的，這是真正的技術壁壘。比如搜索頭部公司為啥會一騎絕塵，就是網頁庫這個后來者很難追趕了，成本極高。

　　A10：

　　感覺死代碼是最沒用的技術壁壘，太容易被復制了。

　　A11：

　　但好像還是有很多人復制了代碼，也不會用。

　　A12：

　　國內不是卷嘛，研發核心人員把代碼拿著出去又成立一個公司，產品五折，這種例子不要太多。

　　A13：

　　話說代碼倉庫開放不是會產生硬編碼的泄漏嗎？硬編碼那才是影響巨大。

　　A14：

　　對，所以杜絕硬編碼，因代碼泄露感覺是不可避免的。

　　Q：如果需要建立核心代碼安全保護機制，研發和安全部門應該如何制定？

　　A1：

　　分級管理，最小化知悉。核心代碼權限申請需要審批。

　　A2：

　　這種的措施挺多的了，比如代碼開發環境完全隔離，代碼開發不落地，都在云平臺上實施。根據不同的行業，實施的方案也不同。游戲開發需要使用大量的美術資源，就無法適用上面的方法。

　　包括零信任方案，也有推出相關的解決方案。還有制度要求、技術要求、懲罰措施、定期審計。不同的公司支持力度不同，預算不同，也就有了不同的方案。

　　A3：

　　技術層面，我們這邊搞的是代碼落地加密，實施比較快，但是也有一些不足，比如加密客戶端對MAC兼容性不太友好。

　　A4：

　　1.完善的代碼設計、開發、測試、上線流程。

　　2.獨立開發、測試、上線環境。

　　3.審計。

　　A5：

　　看老板預算，有多少錢辦多少事情，我現在這種情況，只能做到所有代碼庫在我管轄范圍之內，并且代碼提交和和拉取記錄有備份，也就是防一下離職前的大規模代碼拉取。至于電腦上的管控，成本太高，就不做了。

　　A5：

　　暗水印技術。

　　A6：

　　那得拍多少呀？

　　A7：

　　不一定要拍很多，比如游戲行業，他只要拍一點開發畫面，對于游戲接下來的計劃、發行方案都有影響。

　　A8：

　　能詳細說說嗎，在代碼上加水印，還是在屏幕上加水??？

　　A9：

　　放拍照當然是屏幕水印了，源文件加上會影響文件屬性。

　　A10：

　　水印技術更多是為了泄漏后增強可追溯性，并不能防止拍照或截圖。不過在心理上，會造成一定的震懾。

　　A11：

　　類似隱寫，你可以了解一下。就是你拍照看不出什么東西，但是查到了根據圖片的暗水印信息就能定位是誰泄露出去的。

　　A12：

　　暗水印是在文擋或屏幕里加不可見點陣，通過反選，或者調色能把點陣顯示出來，然后根據點陣特征溯源。

　　話題二：數據安全和個人信息保護，在涉及到數據加密脫敏時誰來負責，這兩個崗位的職責區分是什么？

　　A1：

　　前者負責方案，后者負責審核、審計。

　　A2：

　　在這個場景內，個信更多偏需求方，數安偏方案和執行。

　　A3：

　　目前大家墨守陳規的是個信和數據交融相錯。

　　A4：

　　數據安全包含個人信息，但是由于PII比較重要，所以專門拿出來做隱私管理，至于加密之類的歸屬數據安全。

　　A5：

　　那說起來，個信這塊，還是偏向于前端能不能收；數據這塊，偏向于要不要加密、怎么加，是這么理解嗎？至于要不要加密，得結合個信一起討論（總覺得這個地方是雙方共同的點，一個偏向法律要求，一個偏向技術實現）。

　　A6：

　　我覺得這么理解吧，個人信息主要在于前期收集、收集范圍、告知用戶權力、數據所有者權力，如何處置收集到個人信息（根據當地政策），收集到了，那就是歸屬數據安全進行管理。因為個人信息主要就是違法收集信息問題和過度收集信息。

　　我覺得企業如果在做PII管理，可以融入數據安全流程，主要是在收集到的數據如果進行管理，例如加密、脫敏、以及后續共享傳輸等方面，還有授權控制。

　　A7：

　　我指的是加密，不是收集。數據安全僅僅處理已經拿到的數據，而不管能不能拿這個數據。

　　A8：

　　我們是歸公司總經理管，成立數據安全小組，負責人由高層擔任，包括了法務和研發負責人，安全只是干活的。規則可以安全訂，訂完其他人審核。通過之后下發是以高層的名義來。

　　A9：

　　所以你們的用戶隱私協議要寫好，告知用戶他的權力、數據所有者的權力，所以國內一些隱私協議寫的很長，就是讓用戶不想看，出賣自己的隱私。這也算是一些小動作吧，在法律范圍內，數據所有者增加自己持有個人信息的處置權。

　　A10：

　　增加了自己的處置權，也意味著自己需要對數據提供保護義務和責任。

　　A11：

　　所以，回歸到問題本身，數據安全和個信的分工。

　　A12：

　　剛開始就已經說明了，如果有能力情況下肯定是分工的。但是實際工作過程中也是融入數據安全進行協同的，我不知道為什么要分的那么清楚，而且前期很多時候法務就可以搞定，都不用安全。

更多信息可以來這里獲取==>>電子技術應用-AET<<