欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  后端开发

大型公司里面如何防止程序员接触到核心代码?

程序员文章站 2022-05-27 20:47:30
...
像BAT这类公司,假如我是刚刚入职的程序员,现在公司要我做一个专题模块,做好了要集成测试,这个专题模块要用户登录才能用,那么必须include这个Passport模块,而这个模块的源代码里面肯定有一些加密算法,私钥等等信息,不能让我们这些小程序员看到里面的代码,那么具体怎么做测试呢?他们如何保证核心业务代码的安全?

回复内容:

像BAT这类公司,假如我是刚刚入职的程序员,现在公司要我做一个专题模块,做好了要集成测试,这个专题模块要用户登录才能用,那么必须include这个Passport模块,而这个模块的源代码里面肯定有一些加密算法,私钥等等信息,不能让我们这些小程序员看到里面的代码,那么具体怎么做测试呢?他们如何保证核心业务代码的安全?

大公司一般都把passport做成服务了。你只能看到接口,不能看到实现~

给你个封装好的dll和头文件就可以
dll已经去掉符号表了 你也看不到源码
有头文件+dll(或导出的静态文件lib)可以编译了 你哪里还看得到源码

不知道为啥被踩了下
现在的程序员已经分不出来编译和外部服务如RPC调用了吗
分不出来的话 当我白说

BAT里据我所知 T/B的核心代码大部分都是C++的,因为实时性更好,A家的主力是Java。
用C++做核心有几个好处和必不可少的场景
1) 游戏,图形图像的渲染,想象一个游戏玩的过程中卡了50ms,频繁的丢帧是多么苦逼的一个事
2) 实时调用,想象做导航的过程中,车速100公里结果服务器端GC了,数据延迟100ms再发送多么痛苦一个事吧。

会C++的话,你就知道我说的是啥意思了。
内核大部分是C++写的,无他,知识产权保护的好,想想自己做了一个没有JNI的Android App,分分钟被对手逆向的事吧。
加密算法也一样,远程调用和服务只使用非准实时的情况,对数据敏感的肯定是带着头文件和库一起编译的

大公司并不怕程序员接触到核心代码,你所认为的一些核心代码,在公司保密级别里面,可能密级并不高。他们更注重的,是系列化的管理规范。
1、稍大一点的公司,都会有一整套规范的权限控制管理,你什么级别,能下什么代码,能连什么库,都有相应的规定。
2、保密协议之类的都会让你签吧?防火防盗防商业间谍,协议只是一部分,真正的机密在企业发展部(类似部门)手里。
3、具体到开发里你说的模块,如果是 C++系的,跟楼上无辜被踩的同学说的一样,给你 dll 或者lib 你自己拿去编译着玩就行了。Java的话,会把这些模块封装成服务,再或者搭建成 Saas 或者是 Paas,你自己去调就行了,一般中大型的公司都会搭着这类的开发平台。

建议看一下RPC,大型公司肯定会剥离各个模块,模块间使用RPC调用,调用时不用关心其他模块的内部逻辑,也看不到其他模块的代码。

我厂是通用组件由专门负责组件的部门提供,给你的是已经编译好的库,你访问不到库的代码。
要是你发现库有bug或者疑似有bug自己是没法追踪的,拉个群和有关部门撕逼去吧。

百度、阿里、腾讯之类的大公司用 Git 吗?他们如何管理源代码?
https://www.zhihu.com/question/22438484
如何看待为了防止代码泄漏而限制员工上网? 公司IT如何管理和架构才能防止代码外泄?
https://www.zhihu.com/question/19983270

很有参考意义