我想开始一个项目,技术上基于另一个项目的代码 - 一个克隆。例如。无论如何,论坛或网上商店。我将购买代码库。但是理论上可能的是,开发者/销售者能够操纵远程的东西,例如:导出客户数据库或只是用代码更改/删除文件并使代码无用,如果他愿意的话。
在这种情况下,有什么策略(也许是最佳实践)来保护自己?
答案 0 :(得分:0)
唯一可行的选择是由有能力检测此类安全漏洞的人员进行代码审查。这绝不是一个廉价的过程,也不会有任何成功的保证。
即使编写和审查旨在保密的代码的团队通常也无法填补所有可能的安全漏洞,最终一些黑客会发现这些漏洞并利用它们。以OpenSSL中的heartbleed错误为例。
无论是具有恶意意图的开发者还是黑客攻击其他优秀代码,都采用相同的方法。为防止客户数据库被下载,请将其置于具有自身安全性的单独层。如果数据库服务器一次只为一个客户提供Web应用程序而不提供列表,那么下载整个数据库非常困难。
黑客确实设法更改和删除服务器上的代码。为了缓解这个问题,应该使用tripwire系统来检测这些变化,然后可以通过简单的备份恢复代码。