Chráníme své klíčové hodnoty

Náš manažer zkoumá možnosti zabezpečení nejcennějšího majetku své firmy zdrojového kódu. Člověk by si myslel...


Náš manažer zkoumá možnosti zabezpečení nejcennějšího majetku své firmy
zdrojového kódu.

Člověk by si myslel, že pro firmu, která tvoří a prodává software, by měla být
ochrana vytvořeného kódu prvořadá. Proto bude asi těžké uvěřit, že naše
společnost dosud neučinila žádné kroky k zajištění komplexnější ochrany
softwaru, který je její obživou, a neměl by tedy padnout do špatných rukou.
Naštěstí už i vyšší management získává určité povědomí o tomto problému, takže
mě požádali, zda bych se nemohl poohlédnout po dostupných technologiích pro
ochranu zdrojového kódu.
Potřeba něco udělat je přitom naléhavější než kdykoliv předtím dnes je totiž
velmi jednoduché si najít místo k uložení třeba i gigabajtu zdrojového kódu
(což je velmi slušná část našeho současného softwarového inventáře), ať už díky
dostupnosti levných USB pamětí, externích pevných disků nebo i kvůli vysokému
diskovému prostoru v archivech veřejných e-mailů, jako jsou Google nebo Yahoo.
Kdybychom kód ponechali nechráněný, mohl by být přesunut mimo firmu v méně než
10 minutách.
A pokud vychytralí programátoři získají kód, mohou jej například okopírovat,
použít pod jinou značkou a následně se ziskem prodávat, a to vše v rozmezí
několika dnů. Jestli si myslíte, že přeháním, vzpomeňte si na více než 800 MB
zdrojového kódu produktu Internetworking Operating System společnosti Cisco,
který byl zhruba před rokem odeslán na jistý ruský web.
Naši programátoři používají pro ukládání a otevírání různých verzí zdrojového
kódu open source aplikaci Concurrent Versions System (CVS). Ta týmům vývojářů
rovněž umožňuje sdílet kontrolu nad různými verzemi souborů (zdrojového kódu)
ve společném úložišti. Problémem je, že jakmile jednou vývojář získá kód z
úložiště, neexistuje žádný kontrolní mechanismus, který by mu zabránil, aby jej
zkopíroval, přemístil nebo přenesl na jiné úložné zařízení či na FTP server.
Ačkoliv bychom našim programátorům rádi důvěřovali, vždy je možné, že peníze či
nátlak někoho přimějí k tomu, aby nedostatečné kontroly využil. A dokonce i
kdyby se to nestalo, stále může do naší sítě proniknout červ nebo jiný typ
škodlivého kódu, zneužít počítač některého uživatele a poskytnout vnějšímu
útočníkovi přístup k lokálně uloženému zdrojovému kódu. Ostatně diskutovat o
metodách a motivacích ke krádežím zdrojového kódu bychom mohli celé hodiny.
Naštěstí došlo na trhu ochrany zdrojového kódu k poměrně výrazným pokrokům.
Jedním z nich je software, jenž je nainstalován na vývojářův desktop a poté
pracuje tak, že zabrání, aby byla definovaná data kopírována, tisknuta nebo
přenášena kamkoliv jinam než do úložiště zdrojového kódu či na dedikovaný
server. Na tomto typu technologie je zajímavá především její schopnost
definovat, na které adresáře a soubory by měla být ochrana aplikována. To
znamená, že pokud by vývojáři otevřeli zdrojový kód, byli by nuceni udržovat
jej v určitém adresáři, z něhož by nebylo možné kopírovat, tisknout a přenášet
soubory. Mohli by nicméně volně kopírovat či tisknout ostatní firemní data,
jako jsou e-maily nebo jiné dokumenty, jež by byla k dispozici v jiném
adresáři, na nějž by nebyla tato omezení aplikována. Některé typy takového
softwaru rovněž umožňují definovaná data šifrovat.

Vhodné produkty
Robustní systémy zmíněného typu nabízejí například společnosti Microsoft a
Adobe Systems, ale jeví se jako specificky zaměřené na určité produkty. My však
potřebujeme něco, co by bylo na konkrétním produktu nezávislé. Dané řešení by
zkrátka mělo být schopno chránit data pocházející z kteréhokoliv softwarového
nástroje využívaného naší firmou. Jedním z výrobců, který v tomto směru, jak se
zdá, nabízí dobrý potenciál, je Vormetric. Její produkt CoreGuard by patrně
mohl splnit všechny naše požadavky. Umožňuje šifrování, kontrolu přístupu,
ochranu integrity, varování i reporting, a především může být nakonfigurován
tak, aby byl vůči uživateli transparentní, takže vývojářům umožní pracovat jako
obvykle.
Další zajímavá technologie monitoruje síťový provoz, aby odhalila výskyt
zdrojového kódu v datovém toku. Příkladem takového systému je produkt firmy
Tablus, který "prozkoumává" úložiště zdrojového kódu a využívá speciální
technologii pro analýzu dat. Potom pracuje způsobem podobným IDS
(Intrusion-Detection Software), přičemž monitoruje síť a hledá v datovém
streamu stopu zdrojového kódu, který před tím už zanalyzoval.
Ať už nakonec použijeme kterýkoliv přístup, hlavní zřetel musí být brán na
uživatele. Budeme muset provést značný objem testů, abychom se ujistili, že tím
neovlivníme možnost vývojářů dělat svoji práci. V naší firmě zacházíme s
programátory jako v bavlnce, neboť to oni píší software, který nám vydělává
peníze. Pokud vývojářům něco brání v práci, mohlo by to nakonec ovlivnit
životní cyklus produktu, a to by se dotklo schopnosti generovat příjmy.
Protože má workflow vývojářů tak vysoké priority, oceníme zřejmě přednosti
pasivnějšího řešení tedy síťové metody. Ta nicméně uživatelům nezabrání v
kopírování dat na lokální úložná média, jako jsou CD-R disky nebo USB paměti.
Zřejmě nejlepší cestou, jak data zabezpečit, je přístup vedený na dvou
frontách, s nímž bychom mohli ochránit desktopy i monitorovat síť. Avšak
veškerá taková aktivita by musela být řízená, a na to teď nemáme dostatek
volných pracovníků.
Pravděpodobně některé z výrobců požádáme, aby k nám přišli své produkty
představit, a teprve poté začneme s jejich testováním. Doufáme, že se nám
nakonec povede nalézt správný přístup, jak uspokojit potřeby informační
bezpečnosti a přitom ponechat vývojářům volné ruce, aby mohli dělat svoji
práci. A když bude vše dobře fungovat, měli bychom být schopni rozšířit
technologii, kterou si vybereme, i na další segmenty firmy, například na právní
oddělení, na oddělení lidských zdrojů či strategického plánování.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.