Security in Programmierteams

jclux · 09.01.2012, 16:56

Hallo,

in Programmierteams arbeitet man oft an wichtigen und teuren Kundenprojekten mit immensem Wert. Auch die eigene Entwicklungsumgebung muss geschützt werden. Mich würde interessieren, wie Ihr Euren Code (lokal und beim Kunden), Passwörter, Rechner vor Missbrauch, Diebstahl und Manipulation und ähnliches schützt.

Jedes Programmierteam hat da oft sein eigenes Konzept. Mich interessieren praxisnahe Tipps für alle Bereiche (z.B. Passwörter schützen mit 1Password, Code beim Kunden schützen mit Zend Encoder, Daten auf lokalen Rechnern und Notebooks verschlüsseln mit Truecrypt, etc.)

Vorab bereits vielen Dank für Eure Anregungen und Euer Feedback

JCLux

nikosch · 09.01.2012, 17:25

Also wenn Du ein Buch daraus machst, möchte ich aber Anteile.

dreamcatcher · 09.01.2012, 17:38

Wie wärs wenn jeder nen Puzzlestück dazu beiträgt?
Und am Ende fasst Du, jclux es für die Community zusammen.

Chriz · 09.01.2012, 23:22

Dann hoste die Anwendung doch selbst, dann hast du das Problem nicht. Ich frage mich wo diese Aengste immer herkommen, in welchen Milieus bewegst du dich, wenn du Angst davor hast, dass dir wichtige Kunden den Code einfach klauen? Vielleicht hatte ich ja auch nur Glueck mit meinen Arbeitgebern, aber die zahlen alle fuer Anwendungen bzw. halten sich an die Lizenzvereinbarungen. Ich weiss das ist weniger was du hoeren moechtest, aber diese Seite wuerde mich ja schon einmal interessieren, da mir das alles semiprofessionell vorkommt, aber immer wieder ein anderer Anschein erweckt wird. Vielleicht taeusche ich mich auch.

Peter MacFu · 10.01.2012, 16:40

Zitat:

Zitat von Chriz

Dann hoste die Anwendung doch selbst, dann hast du das Problem nicht. Ich frage mich wo diese Aengste immer herkommen, in welchen Milieus bewegst du dich, wenn du Angst davor hast, dass dir wichtige Kunden den Code einfach klauen? Vielleicht hatte ich ja auch nur Glueck mit meinen Arbeitgebern, aber die zahlen alle fuer Anwendungen bzw. halten sich an die Lizenzvereinbarungen. Ich weiss das ist weniger was du hoeren moechtest, aber diese Seite wuerde mich ja schon einmal interessieren, da mir das alles semiprofessionell vorkommt, aber immer wieder ein anderer Anschein erweckt wird. Vielleicht taeusche ich mich auch.

Ich glaube mit der Zeit kommt man zur Erfahrung, dass man nicht einfach hoffen sollte, das niemand was schlimmes macht. Wenn ich einen sechstelligen Betrag für eine Software ausgeben würde, möchte ich auch nicht, dass da jemand anderes Einsicht hat oder diese benutzt bzw. veräußert.

jclux · 11.01.2012, 09:03

Zitat:

Zitat von Chriz

Dann hoste die Anwendung doch selbst, dann hast du das Problem nicht. Ich frage mich wo diese Aengste immer herkommen, in welchen Milieus bewegst du dich, wenn du Angst davor hast, dass dir wichtige Kunden den Code einfach klauen? Vielleicht hatte ich ja auch nur Glueck mit meinen Arbeitgebern, aber die zahlen alle fuer Anwendungen bzw. halten sich an die Lizenzvereinbarungen. Ich weiss das ist weniger was du hoeren moechtest, aber diese Seite wuerde mich ja schon einmal interessieren, da mir das alles semiprofessionell vorkommt, aber immer wieder ein anderer Anschein erweckt wird. Vielleicht taeusche ich mich auch.

Es geht hier nicht darum, dass man dem Autraggeber nicht vertraut, sondern darum vertrauliche Informationen zu schützen. Gerade wenn man sich im Umfeld von Sicherheit und Vertraulichkeit bewegt, ist es auch dem Auftraggeber wichtig, dass Daten bzw. Quellcode nicht einfach einsehbar ist (auch wenn es die eigenen Mitarbeiter sind). Das hat etwas mit Professionalität zu tun. Auch wenn es nicht direkt sicherheitsrelevant ist, hat ein Kunde doch ein besseres Gefühl, wenn er sieht, dass man sich darüber Gedanken macht.

xm22 · 11.01.2012, 11:41

Zitat:

dass Daten bzw. Quellcode nicht einfach einsehbar ist (auch wenn es die eigenen Mitarbeiter sind). Das hat etwas mit Professionalität zu tun

Wenn man aber bedenkt, dass es kaum möglich ist, php so zu verschlüsseln, dass kein darauf zugreifen kann, dann wirkt das eher wie gewollt und nicht gekonnt.. Der Kunde wird dann eher in falscher Sicherheit gewiegt.

splasch · 11.01.2012, 14:10

Zitat:

dass Daten bzw. Quellcode nicht einfach einsehbar ist (auch wenn es die eigenen Mitarbeiter sind).

Deswegen haben ja Mitarbeiter keinen Zugang zum Server und können damit eben auch keinen Quellcode einsehen. Das selbe Prinzip wird eben auch oft verwendet um den Kunden die Arbeit Presentieren zu können.

Den Quellcode bekommt der Kunde im Regelfall nach der Bezahlung. Auch die Presentation kann von aussen hin wenn Gewünscht über einen Geschützen Zugang abgesichert werden. So kann nur der Kunde mit den Zugangsdaten sich die Presentation anschauen. Bzw auch dort ausgibig Testen.

Die Presentation kann aber auch direkt beim Kunden erfolgen wenn gewünscht hier brauchst du nur deinen Laptop mitnehmen und im das Produkt presentieren.

Mfg Splasch

mquadrat · 13.01.2012, 10:27

Meist hört der Schutz beim Unterzeichnen eines NDA auf. Zumindest hat von uns noch nie ein Kunde verlangt unsere Platten zu verschlüsseln. Testdaten fordern wir immer anonymisiert an.

jclux · 13.01.2012, 16:38

Mhh, die Diskusssion geht nicht so richtig in die Richtung wie ich mir sie vorgestellt habe. Es geht nicht vorrangig darum dem Kunden den Quellcode vorzuenthalten. Es geht mir darum dem Kunden zu verdeutlichen, dass der Code, den ich für ihn geschrieben (evtl. sogar mit persönlichen Infos zu seinem Unternehmen) habe sicher ist. Das niemand der an meinen Rechner kommt diese Daten erhält, dass niemand der sich Zugang zum Server beschafft diese Daten erhält, etc.

Es geht mir um eine ganzheitliche (auch organisatorische) Absicherung privater bzw. schützenswerter Informationen von der Entwicklung bis zum Betrieb.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Security packages	hansleee	PHP Einsteiger	6	02.02.2011 14:06
[Erledigt] PHP Script sichern vor Angriffen	Extremefall	PHP Tipps 2009	32	28.12.2009 14:33
Security im Formular		PHP Tipps 2006	3	28.02.2006 23:26
[solved] security images??		PHP Tipps 2005-2	5	08.08.2005 22:32
Module im Eingenbau die 2te (SESSIONS and Security)	ChewyF5	PHP-Fortgeschrittene	8	05.08.2005 11:16
Security Info	Basti	Off-Topic Diskussionen	14	28.12.2004 16:56

09.01.2012, 16:56
jclux Neuer Benutzer Registriert seit: 22.09.2011 Beiträge: 23 PHP-Kenntnisse: Fortgeschritten	Security in Programmierteams Hallo, in Programmierteams arbeitet man oft an wichtigen und teuren Kundenprojekten mit immensem Wert. Auch die eigene Entwicklungsumgebung muss geschützt werden. Mich würde interessieren, wie Ihr Euren Code (lokal und beim Kunden), Passwörter, Rechner vor Missbrauch, Diebstahl und Manipulation und ähnliches schützt. Jedes Programmierteam hat da oft sein eigenes Konzept. Mich interessieren praxisnahe Tipps für alle Bereiche (z.B. Passwörter schützen mit 1Password, Code beim Kunden schützen mit Zend Encoder, Daten auf lokalen Rechnern und Notebooks verschlüsseln mit Truecrypt, etc.) Vorab bereits vielen Dank für Eure Anregungen und Euer Feedback JCLux


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

09.01.2012, 17:25
nikosch moderatives Dielektrikum Registriert seit: 21.05.2008 Beiträge: 35.987 PHP-Kenntnisse: Fortgeschritten	Also wenn Du ein Buch daraus machst, möchte ich aber Anteile. __________________ -- One pixel is still too big. Please make it smaller. ASAP. Initiative Mittelstand. Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers. --

09.01.2012, 17:38
dreamcatcher Erfahrener Benutzer Registriert seit: 28.12.2010 Beiträge: 602 PHP-Kenntnisse: Anfänger	Wie wärs wenn jeder nen Puzzlestück dazu beiträgt? Und am Ende fasst Du, jclux es für die Community zusammen.

09.01.2012, 23:22
Chriz Moderator Registriert seit: 11.05.2008 Beiträge: 6.267	Dann hoste die Anwendung doch selbst, dann hast du das Problem nicht. Ich frage mich wo diese Aengste immer herkommen, in welchen Milieus bewegst du dich, wenn du Angst davor hast, dass dir wichtige Kunden den Code einfach klauen? Vielleicht hatte ich ja auch nur Glueck mit meinen Arbeitgebern, aber die zahlen alle fuer Anwendungen bzw. halten sich an die Lizenzvereinbarungen. Ich weiss das ist weniger was du hoeren moechtest, aber diese Seite wuerde mich ja schon einmal interessieren, da mir das alles semiprofessionell vorkommt, aber immer wieder ein anderer Anschein erweckt wird. Vielleicht taeusche ich mich auch. __________________ "Nuschel ich?" - "Was?"

13.01.2012, 10:27
mquadrat Erfahrener Benutzer Registriert seit: 02.09.2009 Beiträge: 1.019 PHP-Kenntnisse: Fortgeschritten	Meist hört der Schutz beim Unterzeichnen eines NDA auf. Zumindest hat von uns noch nie ein Kunde verlangt unsere Platten zu verschlüsseln. Testdaten fordern wir immer anonymisiert an. __________________ Wir suchen PHP Entwickler (Vollzeit) im Raum Darmstadt / Rhein-Main. Infos via E-Mail mueller@new-frontiers.de

13.01.2012, 16:38
jclux Neuer Benutzer Registriert seit: 22.09.2011 Beiträge: 23 PHP-Kenntnisse: Fortgeschritten	Mhh, die Diskusssion geht nicht so richtig in die Richtung wie ich mir sie vorgestellt habe. Es geht nicht vorrangig darum dem Kunden den Quellcode vorzuenthalten. Es geht mir darum dem Kunden zu verdeutlichen, dass der Code, den ich für ihn geschrieben (evtl. sogar mit persönlichen Infos zu seinem Unternehmen) habe sicher ist. Das niemand der an meinen Rechner kommt diese Daten erhält, dass niemand der sich Zugang zum Server beschafft diese Daten erhält, etc. Es geht mir um eine ganzheitliche (auch organisatorische) Absicherung privater bzw. schützenswerter Informationen von der Entwicklung bis zum Betrieb.