Question

软件公司要如何保障源代码的安全不会被外泄，不会被员工泄漏？

Answer 1

先回答你的问题，然后扩展开说说我的看法。 有些公司是这样做的：为工作场所划分保护级别。 为每台服务器和计算机定义保护级别，并制定相应保护级别下的保护策略，包括授权和访问方法。 将场所分为工作区和上网区，工作区不连外网，上网区是员工共享的非专用机。 封闭所有计算机的外部接口，比如USB口、光驱没有刻录功能、disable蓝牙，不允许计算机和U盘或手机等外设交换数据。 所有对外发的数据统一由高层来接口审核。所有计算机安装后台监控软件，监控操作行为。 普通员工不配置笔记本电脑。 办公空间安装摄像头监视异常行为。 和员工签署保密协议。等等上面的措施的确能起到一定保护作用，但是不能保证绝对不发生问题：公司开展业务必然要和外部进行信息交流，即使在硬件上做到了上述这些，如果真有居心不良的员工，那么只是增加了作案的难度，只要能上网，想把信息传到外部还是有办法的，比如把想窃取的信息通过编码的方式打包到正常外发的文件里。 可以在摄像头死角的地方，暴力破坏计算机，或者把计算机硬盘拆下来拿回去研究。 最不济还可以把核心代码写到笔记上，你总不能不让员工写读书笔记吧。 互联网公司产品的很多代码都是基于开源框架演化来的，有些开源许可是基于GPL的，是要求其衍生物是免费开放源代码的。虽然有很多公司会取巧地绕开这个限定条件。 对于游戏公司，设计、策划、代码的保护是蛮重要的，因为开发期的游戏设计一旦外漏，很可能就失去了市场先机。 照我看，除了专用算法、特定的格式保护、极少数产品本身固有的设计、某些特殊行业（比如网游）之外，很多代码都是通用的，可开放的。有以下一些建议：清晰自己所在的行业特点，对代码外泄做个风险评估，确定保护代码安全的思路和策略； 划分核心代码和非核心代码，分别制定保护策略； 在核心代码上下功夫，能接触这些代码的人一定是可以信任的人，尽可能地少，但也要考虑备份人选； 把核心代码做成编译好的库供程序调用，这样就能降低核心代码泄漏的风险； 员工入职签署保密协议； 选拔高层注重品德和忠诚度，签订竞业保护协议； 最后公司领导要有一个开放心态，正因为有开源的出现，才促进了计算机软件的发展，固守着自己的一亩三分地，早晚要被对手超越。想在竞争中脱颖而出，首先要去除管理者的保守心态。开放、公平竞争才让公司更有底气和信心。